Behandlingen av personuppgifter vid Försvarsmakten
och Försvarets radioanstalt
BetÀnkande av Utredningen om behandlingen av personuppgifter vid Försvarsmakten
och Försvarets radioanstalt
Stockholm 2018
SOU 2018:63
SOU och Ds kan köpas frÄn Norstedts Juridiks kundservice. BestÀllningsadress: Norstedts Juridik, Kundservice, 106 47 Stockholm Ordertelefon:
Webbadress: www.nj.se/offentligapublikationer
För remissutsÀndningar av SOU och Ds svarar Norstedts Juridik AB pÄ uppdrag av Regeringskansliets förvaltningsavdelning.
Svara pĂ„ remiss â hur och varför
StatsrÄdsberedningen, SB PM 2003:2 (reviderad
En kort handledning för dem som ska svara pÄ remiss.
HÀftet Àr gratis och kan laddas ner som pdf frÄn eller bestÀllas pÄ regeringen.se/remisser
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck: Elanders Sverige AB, Stockholm 2018
ISBN
ISSN
Till statsrÄdet och chefen för Försvarsdepartementet
Regeringen beslutade den 27 april 2017 att tillkalla en sÀrskild ut- redare med uppdrag att göra en översyn av den lagstiftning som gÀller för personuppgiftsbehandling inom Försvarsmakten och För- svarets radioanstalt. Syftet med uppdraget Àr att sÀkerstÀlla att lag- stiftningen Àr anpassad till den tekniska och legala utvecklingen.
Som sÀrskild utredare förordnades samma dag f.d. generaldirek- tören och chefen för Försvarets radioanstalt Ingvar à kesson.
Som sakkunniga i utredningen förordnades samma dag Àmnes- rÄdet och bitrÀdande enhetschefen Mikael Andersson, Försvars- departementet och kanslirÄdet Eva Larsson Behrmann, Försvars- departementet.
Som experter att bitrÀda utredningen förordnades den 2 juni 2017 chefsjuristen Michaela Drà b, Försvarets radioanstalt, avdelnings- chefen Stefan Vestergren, Försvarsmakten, sektionschefen Annika Grahn Sulusi, Försvarsmakten och avdelningsdirektören Christer Hellsten, Försvarets radioanstalt.
Som sekreterare anstÀlldes den 29 maj 2017 hovrÀttsassessorn Alexander Lundén.
Utredningen har antagit namnet Utredningen om behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt.
HÀrmed överlÀmnas betÀnkandet Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63). Upp- draget Àr hÀrmed slutfört.
Stockholm i juli 2018
Ingvar Ă kesson
/Alexander Lundén
InnehÄll
1.1Förslag till lag (2019:000) om behandling
av personuppgifter vid Försvarsmakten ................................ |
 |
|
av personuppgifter vid Försvarets radioanstalt ..................... |
1.3Förslag till lag om Àndring i lagen (2018:218) med
 |
|
dataskyddsförordning............................................................. |
1.4Förslag till lag om Àndring i lagen (2008:717) om
signalspaning i försvarsunderrÀttelseverksamhet.................. |
1.5Förslag till lag om Àndring i brottsdatalagen
(2018:1177) ............................................................................. |
1.6Förslag till förordning (2019:000) om behandling
av personuppgifter vid Försvarsmakten ................................ |
1.7Förslag till förordning (2019:000) om behandling
av personuppgifter vid Försvarets radioanstalt ..................... |
1.8Förslag till förordning om Àndring
i förordningen (2009:969) med instruktion för Statens
inspektion för försvarsunderrÀttelseverksamheten .............. |
5
InnehÄll |
SOU 2018:63 |
1.9Förslag till förordning om Àndring i förordningen
3.3.5Försvarets radioanstalts signalspaning i försvarsunderrÀttelse- och
utvecklingsverksamhet............................................ |
3.3.6Försvarets radioanstalts
4.3Nationell reglering till skydd för den personliga
integriteten............................................................................ |
||
RĂ€tten till personlig integritet .............................. |
6
SOU 2018:63InnehÄll
5.1.4Behandling av personuppgifter hos
 |
Försvarets radioanstalt i vissa fall ......................... |
|
Uppgiftssamlingar ................................................. |
5.1.6Vidarebehandling av personuppgifter
för vissa andra ÀndamÄl.......................................... |
5.1.7Elektroniskt utlÀmnande av och direktÄtkomst
till personuppgifter ................................................ |
5.1.8Information till den enskilde, rÀttelse
6.2.2TillÀmpningsomrÄden för lagen om behandling av personuppgifter
vid Försvarsmakten ............................................... |
6.2.3TillÀmpningsomrÄden för lagen om behandling av personuppgifter
 |
vid Försvarets radioanstalt .................................... |
|
7
InnehÄll |
SOU 2018:63 |
6.3.1Försvar och sÀkerhet som rÀttslig grund för behandling av personuppgifter hos
Försvarsmakten ..................................................... |
6.3.2FörsvarsunderrÀttelseverksamhet som rÀttslig grund för behandling av personuppgifter hos
Försvarsmakten ..................................................... |
6.3.3MilitÀr sÀkerhetstjÀnst som rÀttslig grund för behandling av personuppgifter hos
Försvarsmakten ..................................................... |
6.3.4RÀttsliga grunder för behandling vid
 |
 |
|
 |
allmÀnt tillgÀnglig information............................. |
|
 |
||
 |
6.3.6FörsvarsunderrÀttelseverksamhet som rÀttslig
 |
 |
|
 |
vid Försvarets radioanstalt.................................... |
|
 |
||
 |
 |
|
 |
hos Försvarets radioanstalt ................................... |
6.3.8InformationssÀkerhetsverksamhet som rÀttslig grund för behandling av personuppgifter
hos Försvarets radioanstalt ................................... |
6.3.9RÀttsliga grunder för behandling vid Försvarets radioanstalt av allmÀnt tillgÀnglig
information för vissa ÀndamÄl .............................. |
 |
|
 |
|
historiska ÀndamÄl................................................. |
8
SOU 2018:63 |
InnehÄll |
 |
||
6.4 GrundlÀggande krav pÄ behandling av personuppgifter ..... |
||
GrundlÀggande krav .............................................. |
||
6.4.3Behandling av personnummer
6.4.4Behandling av personuppgifter om den som uppgifterna rör har offentliggjort uppgifterna
 |
eller lÀmnat sitt samtycke...................................... |
|
6.4.7Försvarsmaktens utlÀmnande
av personuppgifter................................................. |
6.4.8Försvarets radioanstalts utlÀmnande
av personuppgifter................................................. |
|
6.5 Gemensamt tillgÀngliga uppgifter........................................ |
6.5.1Personuppgifter som fÄr göras gemensamt
tillgÀngliga .............................................................. |
6.5.2DirektÄtkomst till personuppgifter
hos Försvarsmakten .............................................. |
6.5.3DirektÄtkomst till personuppgifter
hos Försvarets radioanstalt ................................... |
|
6.6 Skyldigheter som personuppgiftsansvarig........................... |
6.6.1Författningsenlig behandling genom lÀmpliga
 |
||
 |
||
 |
personuppgiftsbehandling..................................... |
6.6.3Myndigheterna ska begrÀnsa tillgÄngen
6.6.7BestÀmmelser om konsekvensbedömningar
bör inte införas....................................................... |
9
InnehÄllSOU 2018:63
6.7 Enskildas rÀttigheter............................................................. |
||
6.7.2Enskilds rÀtt till personrelaterad information
hos Försvarsmakten .............................................. |
6.7.3Enskilds rÀtt till personrelaterad information
 |
hos Försvarets radioanstalt................................... |
|
6.7.5RÀtten till rÀttelse, radering och begrÀnsning
av behandlingen ..................................................... |
6.7.6Avgifter samt beslut om avslag vid upprepad
begÀran ................................................................... |
|
6.8 Tillsyn och kontroll.............................................................. |
6.8.1Tillsynsmyndighetens funktion,
uppgifter och befogenheter .................................. |
6.8.2Rapporteringsskyldighet för
6.12.4Ăndring i förordningen (2009:969) med instruktion för Statens inspektion
10
SOU 2018:63 |
InnehÄll |
6.12.5Ăndring i förordningen (1995:1301)
8.1Förslaget till lag om behandling av personuppgifter
vid Försvarsmakten............................................................... |
8.2Förslaget till lag om behandling av personuppgifter
vid Försvarets radioanstalt ................................................... |
8.3Förslaget till lag om Àndring i lagen (2018:218)
 |
|
dataskyddsförordning........................................................... |
8.4Förslaget till lag om Àndring i brottsdatalagen
(2018:1177) ........................................................................... |
8.5Förslaget till lag om Àndring i lagen (2008:717)
11
Sammanfattning
Uppdraget
Sedan nuvarande sÀrskilda regler för personuppgiftsbehandling i För- svarsmaktens och Försvarets radioanstalts verksamheter trÀdde i kraft Är 2007 har det skett en omfattande utveckling och ett reformarbete pÄ personuppgiftsomrÄdet. Bl.a. har Europeiska unionen (EU) enats om en genomgripande dataskyddsreform som genomfördes under vÄren 2018. Reformen omfattade dels en allmÀn dataskyddsförord- ning, dels ett dataskyddsdirektiv som behandlar dataskyddet vid bl.a. brottsbekÀmpning, lagföring och straffverkstÀllighet. En konse- kvens av EU:s reform Àr att den svenska personuppgiftslagen har upphÀvts och att all personuppgiftslagstiftning som anknyter till denna lag dÀrför behöver ses över och anpassas.
Verksamheter inom försvar och nationell sÀkerhet Àr uttryckligen undantagna frÄn EU:s lagstiftningskompetens. Viss verksamhet vid Försvarsmakten och Försvarets radioanstalt regleras emellertid för nÀrvarande av personuppgiftslagen, varför denna utredning fick i upp- drag bl.a. att göra en översyn av de författningar som reglerar per- sonuppgiftsbehandling inom Försvarsmakten och Försvarets radio- anstalt. Utredningen fick Àven i uppdrag att analysera huruvida rÄdande lagstiftning Àr ÀndamÄlsenlig för Försvarsmaktens och För- svarets radioanstalts verksamheter och om den Àr tillrÀcklig i frÄga om skyddet för enskildas personliga integritet.
13
Sammanfattning |
SOU 2018:63 |
Anpassningar och andra Àndringar genom tvÄ nya lagar
TillÀmpningsomrÄdet
Utredningen föreslÄr att viss, sÀrskilt angiven verksamhet hos För- svarsmakten och Försvarets radioanstalt Àven fortsÀttningsvis ska sÀr- regleras i tvÄ nya heltÀckande och sjÀlvstÀndiga lagar. Utredningen föreslÄr samtidigt ett antal Àndringar i förhÄllande till nuvarande reg- ler för personuppgiftsbehandling hos de bÄda myndigheterna. Bl.a. vidgas tillÀmpningsomrÄdet för vilka verksamheter hos de bÄda myn- digheterna som omfattas av den sÀrskilda lagregleringen.
TillÄtna rÀttsliga grunder och behandling för nya ÀndamÄl
Som anförts ovan föreslÄr utredningen vidgade tillÀmpningsomrÄ- den för de bÄda nya lagarna jÀmfört med nuvarande lagstiftning. De nya lagarna innehÄller emellertid ocksÄ tydliga och uttömmande rÀttsliga grunder som anger vilka personuppgiftsbehandlingar som omfattas av de bÄda nya lagarna. För Försvarets radioanstalt införs dessutom bestÀmmelser om s.k. preciserad finalitet, vilket innebÀr förbÀttrad förutsÀgbarhet om i vilka syften Försvarets radioanstalt fÄr vidarebehandla inhÀmtade uppgifter.
RĂ€ttslig grund för Försvarsmakten â Sveriges försvar och sĂ€kerhet
Personuppgiftsbehandling inom Försvarsmaktens huvuduppgifter bör omfattas av en svensk nationell reglering. Försvarsmakten före- slÄs dÀrför fÄ behandla personuppgifter om det Àr nödvÀndig för att planera, förbereda och genomföra verksamhet som rör Sveriges för- svar och sÀkerhet eller internationellt försvars- och sÀkerhetssamar- bete. Uppgiften att bedriva sÄdan verksamhet ska följa av lag, förord- ning eller ett sÀrskilt beslut i vilket regeringen har uppdragit Ät myndigheten att utföra uppgiften.
Försvarsmakten har bl.a. i uppdrag att upprÀtthÄlla och utveckla ett militÀrt försvar som ytterst kan möta ett vÀpnat angrepp samt att försvara Sverige och frÀmja svensk sÀkerhet. Vid höjd beredskap ska Försvarsmakten kunna krigsorganisera, mobilisera och anvÀnda alla krigsförband för att möta ett militÀrt hot mot Sverige och svenska intressen. Krigsorganisationen och planeringen av denna innefattar
14
SOU 2018:63 |
Sammanfattning |
personuppgiftsbehandling av anstÀllda i Försvarsmakten och andra som pÄ annat sÀtt Àr knutna till myndigheten. NÀr Försvarsmakten planerar, förbereder och genomför militÀra operationer och öv- ningar behandlar myndigheten ocksÄ uppgifter om de som deltar i operationerna och övningarna. Personuppgiftsbehandling inom under- rÀttelseverksamhet för att lösa Försvarsmaktens militÀra uppgifter, som inte utgör försvarsunderrÀttelseverksamhet eller militÀr sÀker- hetstjÀnst, omfattas av bestÀmmelsen om den rÀttsliga grunden, lik- som att pröva och anpassa teknisk utrustning och tekniska system. Den rÀttliga grunden ger Försvarsmakten det stöd för personupp- giftsbehandling enligt den föreslagna lagen som krÀvs inom bl.a. dessa verksamheter.
RÀttsliga grunder för Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst
Med vissa Àndringar innehÄller den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten i huvudsak samma rÀttsliga grunder för myndighetens försvarsunderrÀttelseverksamhet och mili- tÀra sÀkerhetstjÀnst som i nuvarande lagstiftning. Kravet att uppgif- ter om en person fÄr behandlas i försvarsunderrÀttelseverksamheten endast om personen har anknytning till en preciserad inriktning för försvarsunderrÀttelseverksamheten tas dock bort.
RÀttsliga grunder för Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet
OcksÄ för denna verksamhet innehÄller den föreslagna lagen om be- handling av personuppgifter vid Försvarets radioanstalt samma rÀtts- liga grunder som i nuvarande lagstiftning. Kravet att uppgifter om en person fÄr behandlas i försvarsunderrÀttelseverksamheten endast om personen har anknytning till en preciserad inriktning för för- svarsunderrÀttelseverksamheten tas dock bort.
15
Sammanfattning |
SOU 2018:63 |
RÀttslig grund för Försvarets radioanstalts informationssÀkerhetsverksamhet
Av Försvarets radioanstalts instruktion framgÄr att Försvarets radio- anstalt har i uppdrag att vara statens resurs för teknisk informa- tionssÀkerhet och ska ha hög kompetens inom informationssÀker- hetsomrÄdet. Förslaget till lag om behandling av personuppgifter vid Försvarets radioanstalt innehÄller en rÀttslig grund som innebÀr att personuppgifter fÄr behandlas i Försvarets radioanstalts informa- tionssÀkerhetsverksamhet om det Àr nödvÀndigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som Àr av betydelse för Sveriges sÀkerhet. Uppgiften att lÀmna stöd till andra verksamheter ska följa av lag eller förordning eller reger- ingsbeslut i ett enskilt fall.
Det finns Àven ett antal tillkommande ÀndamÄl för vilka person- uppgifter som behandlas i informationssÀkerhetsverksamheten bör fÄ behandlas. Personuppgiftsbehandling föreslÄs fÄ ske om det Àr nödvÀndigt för att tillhandahÄlla information som behövs hos den som tar emot uppgifter om informationssÀkerhet samt om det Àr nödvÀndigt för att tillhandahÄlla information som behövs med an- ledning av samverkan med andra som verkar pÄ informationssÀker- hetsomrÄdet sÄvÀl inom som utom landet. Detta bör dock bara fÄ ske i den utstrÀckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutar om det.
En nÀra samverkan mellan försvarsunderrÀttelseverksamheten och informationssÀkerhetsverksamheten Àr enligt utredningen av stor betydelse. För underrÀttelseverksamheten Àr det angelÀget att kunna ta del av uppgifter frÄn informationssÀkerhetsverksamheten nÀr det gÀller att kartlÀgga allvarliga yttre hot mot samhÀllets infra- struktur och frÀmmande underrÀttelseverksamhet. Personuppgifter förslÄs dÀrför Àven fÄ behandlas om det Àr nödvÀndigt för att till- handahÄlla information av detta slag.
InformationssÀkerhetsverksamheten Àr Àven av betydelse för ut- vecklingsverksamheten. Personuppgifter som fÄr behandlas i infor- mationssÀkerhetsverksamheten förslÄs dÀrför Àven fÄ behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs i utvecklingsverksamheten.
16
SOU 2018:63 |
Sammanfattning |
Behandling av personuppgifter i allmÀnt tillgÀnglig information
För att kunna bedriva en effektiv försvarsunderrÀttelseverksamhet utöver den information som inhÀmtas genom hemliga metoder be- höver bÄde Försvarsmakten och Försvarets radioanstalt ocksÄ till- gÄng till allmÀnt tillgÀnglig information. AllmÀnt tillgÀnglig infor- mation kan vara personuppgifter som kan pÄtrÀffas vid sökning pÄ internet eller vid sökningar i öppna databaser. Uppgifterna kan vara gratis eller tillgÀngliga pÄ kommersiell grund. Det kan ocksÄ röra sig om uppgifter som t.ex. en abonnent pÄ ett eller annat sÀtt har sam- tyckt att uppgifterna finns med i elektroniska telefonkataloger eller förteckningar över
Personuppgifter som utgör allmÀnt tillgÀnglig information före- slÄs dÀrför fÄ behandlas av Försvarsmakten om det Àr nödvÀndigt för planering, förberedelse och genomförande av verksamhet som rör Sveriges försvar och sÀkerhet eller internationellt försvars- och sÀker- hetssamarbete, försvarsunderrÀttelseverksamheten, eller den militÀra sÀkerhetstjÀnsten. Motsvarande föreslÄs för Försvarets radioanstalt om det Àr nödvÀndigt för de ÀndamÄl som anges för försvarsunder- rÀttelse- och utvecklingsverksamheten och informationssÀkerhets- verksamheten.
Behandling av kÀnsliga personuppgifter
De föreslagna lagarna, liksom de nuvarande, förbjuder behandling av personuppgifter som grundar sig enbart pÄ kÀnsliga personuppgifter. Författningarna innehÄller undantag frÄn förbudet genom att andra uppgifter fÄr kompletteras med kÀnsliga uppgifter och att kÀnsliga personuppgifter fÄr anvÀndas som sökbegrepp om det Àr absolut nöd- vÀndigt. KÀnsliga personuppgifter i form av biometriska uppgifter fÄr emellertid behandlas sjÀlvstÀndigt, medan behandling av gene- tiska uppgifter föreslÄs vara helt förbjudet för bÄda myndigheterna.
KÀnsliga personuppgifter föreslÄs emellertid fÄ behandlas utan hinder av dessa regler om den som personuppgifterna rör har lÀmnat sitt uttryckliga samtycke eller pÄ ett tydligt sÀtt har offentliggjort uppgifterna. Detta ska dock inte gÀlla genetiska uppgifter.
17
Sammanfattning |
SOU 2018:63 |
LÀngsta tid för behandling
De föreslagna lagarna reglerar lĂ€ngsta tid för behandling, men inne- hĂ„ller inte â som de nuvarande â regler om bevarande och gallring. Lagarna syftar nĂ€mligen till att skydda den personliga integriteten och reglerar inte bevarande och gallring i arkivlagens mening. JĂ€m- fört med nuvarande bestĂ€mmelser har de dĂ€rför formuleras om sĂ„ att det framgĂ„r att det Ă€r frĂ„ga om dataskyddsbestĂ€mmelser. Regler- ingen ska utgĂ„ frĂ„n hur lĂ€nge personuppgifter fĂ„r behandlas.
Utökade möjligheter till elektroniskt utlÀmnande
Regleringen av i vilken utstrÀckning personuppgifter fÄr lÀmnas ut pÄ medium för automatiserad behandling moderniseras för att möta de ökade behoven av att kunna kommunicera elektroniskt. För För- svarsmakten blir det tillÄtet att lÀmna ut personuppgifter elektro- niskt pÄ annat sÀtt Àn genom direktÄtkomst om det inte Àr olÀmpligt, medan utlÀmnande frÄn Försvarets radioanstalt Àr fortsatt mer restriktivt.
Försvarsmakten och Försvarets radioanstalt ska fĂ„ medge varandra och SĂ€kerhetspolisen direktĂ„tkomst till personuppgifter som har gjorts gemensamt tillgĂ€ngliga och som behandlas för vissa syften. Ăven utlĂ€ndska underrĂ€ttelse- och sĂ€kerhetstjĂ€nster kan fĂ„ medges direktĂ„tkomst till uppgifter som Försvarsmakten behandlar för vissa syften, om det t.ex. behövs för samarbetet mot terrorism. SĂ„dan direktĂ„tkomst ska dock endast fĂ„ medges till personuppgifter i en avskild uppgiftssamling och endast om svenska intressen kan moti- vera det.
Tillsyn över myndigheternas personuppgiftsbehandling
BÄde Datainspektionen och Statens inspektion för försvarsunder- rÀttelseverksamheten ska pÄ samma sÀtt som i dag utöva tillsyn och kontroll över Försvarsmaktens och Försvarets radioanstalts person- uppgiftsbehandling.
18
SOU 2018:63 |
Sammanfattning |
Konsekvenser för den personliga integriteten
Sammantaget innebÀr förslagen att skyddet för den personliga integ- riteten kommer att vara pÄ samma nivÄ som för nÀrvarande. I viss mÄn kan intrÄnget i personlig integritet öka genom de ökade möjlig- heterna till direktÄtkomst som motiveras av starka försvars- och sÀker- hetsintressen.
IkrafttrÀdande och övergÄngsbestÀmmelser
De nya författningarna och Àndringarna i de befintliga författning- arna föreslÄs trÀda i kraft den 1 oktober 2019. Det krÀvs sÀrskilda övergÄngsbestÀmmelser för bestÀmmelserna om loggning i uppgifts- samlingar. Till de nya lagarna krÀvs det ocksÄ övergÄngsbestÀmmel- ser för Àrenden om tillsyn eller granskning som rör behandlingen av personuppgifter som har pÄbörjats före ikrafttrÀdandet men inte hunnit slutföras.
19
Förkortningar m.m.
2016 Ärs dataskydds- Europaparlamentets och rÄdets direktiv
direktiv |
(EU) 2016/680 av den 27 april 2016 om |
 |
skydd för fysiska personer med avseende |
 |
pÄ behöriga myndigheters behandling av |
 |
personuppgifter för att förebygga, för- |
 |
hindra, utreda, avslöja eller lagföra brott |
 |
eller verkstÀlla straffrÀttsliga pÄföljder, och |
 |
det fria flödet av sÄdana uppgifter och om |
 |
upphÀvande av rÄdets rambeslut |
 |
2008/977/RIF |
brottsdatalagen |
Brottsdatalagen (2018:1177) |
dataskyddsdirektivet |
Europaparlamentets och rÄdets direktiv |
 |
95/46/EG av den 24 oktober 1995 om |
 |
skydd för enskilda personer med avseende |
 |
pÄ behandling av personuppgifter och om |
 |
det fria flödet av sÄdana uppgifter |
dataskydds- |
Europaparlamentets och rÄdets förordning |
förordningen |
(EU) 2016/679 av den 27 april 2016 om |
 |
skydd för fysiska personer med avseende |
 |
pÄ behandling av personuppgifter och om |
 |
det fria flödet av sÄdana uppgifter och om |
 |
upphÀvande av direktiv 95/46/EG (allmÀn |
 |
dataskyddsförordning) |
dataskydds- |
EuroparÄdets konvention av den 28 januari |
konventionen |
1981 om skydd för enskilda vid automatisk |
 |
databehandling av personuppgifter |
 |
21 |
Förkortningar |
SOU 2018:63 |
dataskyddslagen |
Lagen (2018:218) med kompletterande |
 |
bestÀmmelser till EU:s dataskydds- |
 |
förordning |
dataskydds- |
RĂ„dets rambeslut 2008/977/RIF av den |
rambeslutet |
27 november 2008 om skydd av person- |
 |
uppgifter som behandlas inom ramen för |
 |
polissamarbete och straffrÀttsligt |
 |
samarbete |
DI |
Datainspektionen |
dir. |
direktiv |
dnr |
diarienummer |
EU |
Europeiska unionen |
Europadomstolen |
Europeiska domstolen för de mÀnskliga |
 |
rÀttigheterna |
Europakonventionen |
Europeiska konventionen den 4 november |
 |
1950 angÄende skydd för de mÀnskliga |
 |
rÀttigheterna och de grundlÀggande |
 |
friheterna |
Europeiska unionens stadga om de grund- |
|
 |
lÀggande rÀttigheterna |
f./ff. |
följande sida/sidor |
FM |
Försvarsmakten |
förordningen (2007:260) om behandling |
|
 |
av personuppgifter i Försvarsmaktens |
 |
försvarsunderrÀttelseverksamhet och |
 |
militÀra sÀkerhetstjÀnst |
22
SOU 2018:63Förkortningar
Lagen (2007:258) om behandling av |
|
 |
personuppgifter i Försvarsmaktens |
 |
försvarsunderrÀttelseverksamhet och |
 |
militÀra sÀkerhetstjÀnst |
FN |
Förenta nationerna |
FRA |
Försvarets radioanstalt |
förordningen (2007:261) om behandling av |
|
 |
personuppgifter i Försvarets radioanstalts |
 |
försvarsunderrÀttelse- och utvecklings- |
 |
verksamhet |
lagen (2007:259) om behandling av person- |
|
 |
uppgifter i Försvarets radioanstalts |
 |
försvarsunderrÀttelse- och utvecklings- |
 |
verksamhet |
FUL |
lagen (2000:130) om försvarsunderrÀttelse- |
 |
verksamhet |
Fö |
Försvarsdepartementet |
IKFN |
förordningen (1982:765) om Försvars- |
 |
maktens ingripanden vid krÀnkningar av |
 |
Sveriges territorium under fred och |
 |
neutralitet m.m. |
JO |
Riksdagens ombudsmÀn |
JK |
Justitiekanslern |
KU |
Konstitutionsutskottet |
MSB |
Myndigheten för samhÀllsskydd |
 |
och beredskap |
23
Förkortningar |
SOU 2018:63 |
NCT |
Nationellt centrum för |
 |
terrorhotbedömning |
OSL |
offentlighets- och sekretesslagen |
 |
(2009:400) |
prop. |
regeringens proposition |
PUL |
personuppgiftslagen (1998:204) |
Riksarkivets författningssamling |
|
Riksarkivets myndighetsspecifika |
|
 |
föreskrifter |
rskr. |
Riksdagsskrivelse |
Signalspaningslagen |
lagen (2008:717) om signalspaning |
 |
i försvarsunderrÀttelseverksamhet |
Siun |
Statens inspektion för försvarsunder- |
 |
rÀttelseverksamheten |
SOU |
Statens offentliga utredningar |
TDV |
Tekniskt detekterings- och varningssystem |
TF |
Tryckfrihetsförordningen (1949:105) |
24
1 Författningsförslag
1.1Förslag till lag (2019:000) om behandling av personuppgifter vid Försvarsmakten
HÀrigenom föreskrivs följande.
1 kap. AllmÀnna bestÀmmelser
Syftet med lagen
1 § Syftet med denna lag Àr att sÀkerstÀlla att Försvarsmakten kan behandla personuppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling.
Lagens tillÀmpningsomrÄde
2 § Denna lag gÀller vid Försvarsmaktens behandling av personupp- gifter som rör Sveriges försvar och sÀkerhet.
3 § Lagen gÀller vid sÄdan behandling av personuppgifter som Àr helt eller delvis automatiserad eller om uppgifterna ingÄr i eller Àr av- sedda att ingÄ i en strukturerad samling av personuppgifter som Àr till- gÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.
4 § Vid behandling av personuppgifter enligt denna lag gÀller inte lagen (2018:218) med kompletterande bestÀmmelser till EU:s data- skyddsförordning.
25
Författningsförslag |
SOU 2018:63 |
FörhÄllandet till annan reglering
5 § BestÀmmelserna i denna lag ska inte tillÀmpas i den utstrÀck- ning det skulle inskrÀnka skyldigheten enligt 2 kap. tryckfrihetsför- ordningen att lÀmna ut personuppgifter.
Personuppgiftsansvar
6 § Försvarsmakten Àr personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under myndighetens ledning eller pÄ dess vÀgnar.
7 § Försvarsmakten fÄr vara gemensamt personuppgiftsansvarig med annan endast i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
Definitioner
8 § I denna lag anvÀnds följande uttryck med nedan angiven be- tydelse.
Uttryck |
Betydelse |
Behandling av personuppgifter |
En ÄtgÀrd eller kombination av |
 |
ÄtgÀrder som vidtas i frÄga om per- |
 |
sonuppgifter eller uppsÀttningar |
 |
av personuppgifter, oavsett om |
 |
det görs automatiserat eller inte, |
 |
t.ex. insamling, registrering, orga- |
 |
nisering, strukturering, lagring, |
 |
bearbetning eller Àndring, fram- |
 |
tagning, lÀsning, anvÀndning, ut- |
 |
lÀmnande, spridning eller till- |
 |
handahÄllande pÄ annat sÀtt, |
 |
justering, sammanföring, begrÀns- |
 |
ning, radering eller förstöring. |
26
SOU 2018:63Författningsförslag
Biometriska uppgifter |
Personuppgifter som rör en per- |
 |
sons fysiska, fysiologiska eller |
 |
beteendemÀssiga kÀnnetecken, |
 |
som tagits fram genom sÀrskild |
 |
teknisk behandling och som möj- |
 |
liggör eller bekrÀftar unik identi- |
 |
fiering av personen i frÄga. |
Dataskyddsombud |
En fysisk person som utses av |
 |
den personuppgiftsansvarige för |
 |
att sjÀlvstÀndigt se till att person- |
 |
uppgifter behandlas författnings- |
 |
enligt och pÄ ett korrekt sÀtt. |
Genetiska uppgifter |
Personuppgifter som rör en per- |
 |
sons nedÀrvda eller förvÀrvade |
 |
genetiska kÀnnetecken och som |
 |
hÀrrör frÄn analys av ett spÄr av |
 |
eller ett prov frÄn personen i |
 |
frÄga. |
Logg |
Behandlingshistorik som sparas |
 |
viss tid. |
Mottagare |
Den till vilken personuppgifter |
 |
lÀmnas ut, med undantag av en |
 |
myndighet som med stöd av för- |
 |
fattning utövar tillsyn, kontroll |
 |
eller revision. |
Personuppgift |
Varje upplysning om en identi- |
 |
fierad eller identifierbar fysisk |
 |
person som Àr i livet. |
Personuppgiftsansvarig |
Den som ensam eller tillsam- |
 |
mans med andra bestÀmmer Ànda- |
 |
mÄlen med och medlen för be- |
 |
handlingen av personuppgifter. |
27
FörfattningsförslagSOU 2018:63
PersonuppgiftsbitrÀde |
Den som, med stöd av ett skrift- |
 |
ligt avtal eller annan skriftlig |
 |
överenskommelse, behandlar per- |
 |
sonuppgifter för den personupp- |
 |
giftsansvariges rÀkning. |
Tredje part |
NÄgon annan Àn den som per- |
 |
sonuppgiften rör, personupp- |
 |
giftsansvarige, dataskyddsombu- |
 |
det, personuppgiftsbitrÀdet och |
 |
sÄdana personer som under den |
 |
personuppgiftsansvariges eller per- |
 |
sonuppgiftsbitrÀdets direkta an- |
 |
svar har rÀtt att behandla person- |
 |
uppgifter. |
Uppgiftssamling |
En samling med uppgifter som |
 |
med hjÀlp av automatiserad be- |
 |
handling Àr gemensamt tillgÀng- |
 |
liga. |
2 kap. Behandling av personuppgifter
RĂ€ttsliga grunder
Försvar och sÀkerhet
1 § Försvarsmakten fÄr behandla personuppgifter om det Àr nödvÀn- digt för att planera, förbereda och genomföra verksamhet som rör
1.Sveriges försvar och sÀkerhet, eller
2.internationellt försvars- och sÀkerhetssamarbete. Försvarsmaktens uppgift att bedriva sÄdan verksamhet som anges
iförsta stycket ska följa av lag, förordning eller ett sÀrskilt beslut i vilket regeringen uppdragit Ät myndigheten att utföra uppgiften.
28
SOU 2018:63 |
Författningsförslag |
SÀrskilt om försvarsunderrÀttelseverksamhet
2 § Personuppgifter fÄr behandlas i Försvarsmaktens försvarsunder- rÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksam- het som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet.
3 § De personuppgifter som Försvarsmakten har fÄtt tillgÄng till i myndighetens försvarsunderrÀttelseverksamhet fÄr fortsatt behand- las i den verksamheten, om det behövs för att fullgöra den.
Vad som sÀgs i första stycket gÀller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslut- ning till lagen.
SÀrskilt om militÀr sÀkerhetstjÀnst
4 § Personuppgifter fÄr behandlas i Försvarsmaktens militÀra sÀker- hetstjÀnst för att upptÀcka, förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhets- intressen, om det Àr nödvÀndigt för att
1.klarlÀgga verksamhet som innefattar hot mot Sveriges sÀker- het, eller
2.vidta ÄtgÀrder som hindrar eller försvÄrar sÀkerhetshotande verksamhet.
5 § Uppgifter om en person fÄr behandlas för de ÀndamÄl som anges i 4 § endast om
1.uppgifterna Àr nödvÀndiga för att kartlÀgga verksamhet som innefattar brott som kan hota Sveriges sÀkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvar- ande brottslighet enligt tidigare lagstiftning,
2.uppgifterna Àr nödvÀndiga för att kartlÀgga underrÀttelseverk- samhet riktad mot Försvarsmakten och dess sÀkerhetsintressen,
3.uppgifterna Àr nödvÀndiga för att kartlÀgga annan sÀkerhets- hotande verksamhet Àn som avses i 1 och som innefattar brott eller ÄsidosÀttande av Äligganden i anstÀllning hos Försvarsmakten, och det finns sÀrskilda skÀl till att uppgiften ska behandlas,
4.personen har lÀmnat uppgifter om sÀkerhetshotande verksam- het och personuppgifterna Àr nödvÀndiga för att bedöma personens trovÀrdighet, eller
29
Författningsförslag |
SOU 2018:63 |
5.uppgifterna avser information som har framkommit i samband med sÀkerhetsprövning enligt sÀkerhetsskyddslagen (1996:627) eller
iannat fall Àr nödvÀndiga för att utföra en uppgift som rör sÀker- hetsskydd.
6 § Personuppgifter som behandlas enligt 5 § ska förses med upp- lysning om pÄ vilken av de angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av nÄgot annat Àn antagande om att personen har utövat eller kommer att utöva brotts- lig verksamhet ska det sÀrskilt anges att personen inte Àr misstÀnkt för brottslig verksamhet, om det inte pÄ annat sÀtt klart framgÄr att sÄdan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan sÀkerhetshotande verksamhet ska förses med en sÀrskild upplysning om detta, om det inte pÄ annat sÀtt klart framgÄr att sÄdant antagande inte finns.
Personuppgifter som behandlas enligt 5 § första stycket
7 § Trots vad som sÀgs i 5 och 6 §§ fÄr personuppgifter som ingÄr i eller har uppkommit i samband med anvÀndning av totalförsvarets telekommunikations- och informationssystem behandlas för att för- hindra obehörig insyn i och pÄverkan av dessa system. Det gÀller Àven sÄdana uppgifter som avses i 15, 16, 18 och 19 §§. Behandling som sÀrskilt syftar till att identifiera en person fÄr dock endast utföras om bestÀmmelserna i 5 § 1, 2 eller 3 tillÀmpas.
Ăvriga rĂ€ttsliga grunder
8 § Personuppgifter som utgör allmÀnt tillgÀnglig information fÄr behandlas av Försvarsmakten om det Àr nödvÀndigt för de ÀndamÄl som anges i 1, 2 och 4 §§.
9 § Personuppgifter fÄr behandlas av Försvarsmakten om det Àr nöd- vÀndigt för diarieföring, arkivering, handlÀggning av ett Àrende eller för att utföra annan liknande uppgift som Äligger myndigheten.
30
SOU 2018:63 |
Författningsförslag |
10 § Försvarsmakten fÄr behandla personuppgifter för vetenskap- liga, statistiska eller historiska ÀndamÄl inom denna lags tillÀmp- ningsomrÄde.
11 § Försvarsmakten fÄr behandla personuppgifter för att kunna tillgodose enskildas behov av information enligt 5 kap. och kunna lÀmna information vid tillsyn eller kontroll.
GrundlÀggande krav
ĂndamĂ„l
12 § Personuppgifter fÄr bara behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl.
Personuppgifter fÄr inte behandlas för nÄgot ÀndamÄl som Àr oför- enligt med det ÀndamÄl för vilket personuppgifterna ursprungligen behandlades.
Författningsenlig och korrekt behandling
13 § Personuppgifter ska behandlas författningsenligt och pÄ ett korrekt sÀtt.
Personuppgifternas kvalitet
14 § Personuppgifter som behandlas ska vara adekvata och rele- vanta i förhÄllande till ÀndamÄlen med behandlingen och, om det Àr nödvÀndigt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas pÄ ett objektivt sÀtt med respekt för mÀnniskovÀrdet.
Fler personuppgifter fÄr inte behandlas Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen.
31
Författningsförslag |
SOU 2018:63 |
KĂ€nsliga personuppgifter
15 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening eller som rör hÀlsa, sexualliv eller sexuell lÀggning fÄr inte behandlas.
NÀr uppgifter om en person behandlas fÄr de dock kompletteras med sÄdana uppgifter som avses i första stycket, om det Àr absolut nödvÀndigt för syftet med behandlingen.
16 § Biometriska uppgifter fÄr behandlas endast om det Àr absolut nödvÀndigt för ÀndamÄlet för behandlingen. Genetiska uppgifter fÄr inte behandlas.
17 § Vid sökning fÄr personuppgifter som avslöjar ras, etniskt ur- sprung, politiska Äsikter, religiös eller filosofisk övertygelse eller med- lemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀgg- ning anvÀndas som sökbegrepp om det Àr absolut nödvÀndigt för syftet med behandlingen. Detsamma gÀller biometriska uppgifter.
Personnummer
18 § Uppgifter om personnummer eller samordningsnummer fÄr behandlas bara nÀr det Àr klart motiverat med hÀnsyn till
1.ÀndamÄlet med behandlingen,
2.vikten av en sÀker identifiering, eller
3.nÄgot annat beaktansvÀrt skÀl.
Om den som uppgifterna rör har offentliggjort uppgifterna eller lÀmnat sitt samtycke
19 § Utan hinder av vad som föreskrivs i 15, 16 och 18 §§ fÄr per- sonuppgifter behandlas, om den som personuppgifterna rör har lÀmnat sitt uttryckliga samtycke eller pÄ ett tydligt sÀtt har offentliggjort uppgifterna.
Första stycket gÀller inte genetiska uppgifter.
32
SOU 2018:63 |
Författningsförslag |
Behandling av personuppgifter i vissa fall
20 § Hantering av information som innebÀr behandling av person- uppgifter ska inte anses oförenlig med bestÀmmelserna i 1, 2, 4, 5, 7, 8 och
LÀngsta tid som personuppgifter fÄr behandlas
21 § Personuppgifter som behandlas automatiserat fÄr inte behand- las under lÀngre tid Àn vad som behövs för nÄgot eller nÄgra av de ÀndamÄl som anges i
Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i ett en- skilt fall besluta att personuppgifter fÄr behandlas under endast viss tid eller bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.
UtlÀmnande av personuppgifter
22 § Personuppgifter som behandlas med stöd av denna lag fÄr föras över till andra lÀnder eller internationella organisationer endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvars- makten ska kunna fullgöra sina uppgifter inom ramen för inter- nationellt försvars- och sÀkerhetssamarbete.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall om det Àr nödvÀndigt för verksamheten vid Försvarsmakten.
23 § Personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst om det inte Àr olÀmpligt.
Elektroniskt utlÀmnande genom direktÄtkomst Àr tillÄtet bara i den utstrÀckning som anges i 3 kap.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begrÀnsning av möjligheten att lÀmna ut personupp- gifter elektroniskt enligt första stycket.
33
Författningsförslag |
SOU 2018:63 |
3 kap. Gemensamt tillgÀngliga uppgifter
Personuppgifter som fÄr göras gemensamt tillgÀngliga
1 § Personuppgifter fÄr göras gemensamt tillgÀngliga om det behövs för nÄgot av de ÀndamÄl som anges i 2 kap. Personuppgifter som endast ett fÄtal personer har tillgÄng till anses inte som gemensamt tillgÀngliga.
Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.
DirektÄtkomst
FörsvarsunderrÀttelseverksamhet
2 § Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretess- lagen (2009:400) fÄr SÀkerhetspolisen och Försvarets radioanstalt medges direktÄtkomst till personuppgifter som utgör bearbetnings- underlag och analysresultat inom försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar.
3 § Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrÀttelse- och sÀkerhetssam- arbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det, en utlÀndsk under- rÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgif- ter som behandlas med stöd av 2 kap. 2 § och som finns i uppgifts- samlingar.
DirektÄtkomst i andra fall
4 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter eller sÀrskilt beslut om vilka som i andra fall Àn de som anges i 2 § och 3 § fÄr ha direktÄtkomst till gemensamt tillgÀng- liga uppgifter.
34
SOU 2018:63 |
Författningsförslag |
Ăvriga bestĂ€mmelser
5 § Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela
1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktÄtkomsten, och
2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.
4 kap. Skyldighet som personuppgiftsansvarig
à tgÀrder för att sÀkerstÀlla författningsenlig behandling
1 § Försvarsmakten ska, genom lÀmpliga tekniska och organisato- riska ÄtgÀrder, sÀkerstÀlla att behandlingen av personuppgifter Àr för- fattningsenlig och skydda rÀttigheterna för dem som uppgifterna rör.
2 § Försvarsmakten ska sÀkerstÀlla att det förs loggar över person- uppgiftsbehandling av gemensamt tillgÀngliga uppgifter. Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om loggar.
3 § TillgÄngen till personuppgifter ska alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
SÀkerheten för personuppgifter
4 § Försvarsmakten ska vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot för- lust eller annan oavsiktlig skada.
Dataskyddsombud
5 § Försvarsmakten ska inom myndigheten utse ett eller flera data- skyddsombud och anmÀla till tillsynsmyndigheten nÀr dataskydds- ombud utses och entledigas.
35
Författningsförslag |
SOU 2018:63 |
6 § Dataskyddsombudet ska
1.sjÀlvstÀndigt kontrollera att Försvarsmakten behandlar person- uppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt full- gör sina skyldigheter,
2.informera och ge rÄd till Försvarsmakten och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,
3.samrÄda med tillsynsmyndigheten, och
4.föra en förteckning över de kategorier av behandlingar som Försvarsmakten ansvarar för och som Àr helt eller delvis automati- serade.
Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en förteckning som avses i första stycket 4 ska innehÄlla.
Om Försvarsmakten bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas, ska data- skyddsombudet anmÀla det till tillsynsmyndigheten.
PersonuppgiftsbitrÀden
7 § Försvarsmakten fÄr, om det Àr lÀmpligt, anlita personuppgifts- bitrÀden för behandling av personuppgifter pÄ Försvarsmaktens vÀgnar. Innan ett personuppgiftsbitrÀde anlitas, ska Försvarsmakten försÀkra sig om att bitrÀdet kommer att vidta de lÀmpliga tekniska och organi- satoriska ÄtgÀrder som krÀvs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda rÀttigheterna för den som uppgifterna rör.
8 § PersonuppgiftsbitrÀdets behandling av personuppgifter ska reg- leras i ett skriftligt avtal eller annan skriftlig överenskommelse.
9 § Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personupp- giftsbitrÀde utan skriftligt tillstÄnd av Försvarsmakten.
10 § Ett personuppgiftsbitrÀde eller den eller de personer som arbetar under bitrÀdets eller Försvarsmaktens ledning ska behandla person- uppgifter i enlighet med instruktioner frÄn Försvarsmakten.
36
SOU 2018:63 |
Författningsförslag |
Om ett personuppgiftsbitrÀde, i strid med Försvarsmaktens in- struktioner, bestÀmmer ÀndamÄlen med och medlen för behandlingen, ska bitrÀdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.
11 § Det som sÀgs om Försvarsmaktens skyldigheter i
5 kap. Enskildas rÀttigheter
RĂ€tten till information
AllmÀn information
1 § Försvarsmakten ska göra följande allmÀnna information till- gÀnglig.
1.Myndighetens identitet och kontaktuppgifter.
2.Uppgifter om dataskyddsombudet.
3.ĂndamĂ„len med behandlingen.
4.RÀtten enligt 3 § att begÀra att fÄ information om behandling av personuppgifter och att fÄ del av dem.
5.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen enligt 6 §.
Information som ska lÀmnas om uppgifterna samlas in frÄn personen sjÀlv
2 § Om uppgifter om en person samlas in frÄn personen sjÀlv, ska Försvarsmakten nÀr personuppgifterna erhÄlls, sjÀlvmant lÀmna föl- jande information till den som uppgifterna rör:
1.uppgift om att det Àr Försvarsmakten som Àr personuppgifts- ansvarig för behandlingen,
2.uppgift om ÀndamÄlen med behandlingen, och
3.all övrig information som behövs för att den som uppgifterna rör ska kunna ta till vara sina rÀttigheter i samband med behandlingen, sÄ- som information om mottagarna av uppgifterna, skyldighet att lÀmna uppgifter och rÀtten att ansöka om information och fÄ rÀttelse.
37
Författningsförslag |
SOU 2018:63 |
Information som ska lÀmnas efter begÀran
3 § Försvarsmakten Àr skyldig att en gÄng per kalenderÄr till den som begÀr det lÀmna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökan- den fÄ del av dem och fÄ följande skriftliga information.
1.Vilka personuppgifter om den sökande som behandlas.
2.VarifrÄn personuppgifterna kommer.
3.Den rÀttsliga grunden för behandlingen.
4.ĂndamĂ„len med behandlingen.
5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven i annat land eller internationella organisationer.
6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.
7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen enligt 6 §.
UtlÀmnande enligt första stycket behöver inte omfatta person- uppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.
En ansökan enligt första stycket ska göras skriftligen hos För- svarsmakten och vara undertecknad av den sökande sjÀlv. Informa- tion enligt första stycket ska lÀmnas inom en mÄnad frÄn det att ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.
BegrÀnsning av rÀtten till information
4 § Informationsskyldigheten i 2 och 3 §§ gÀller inte i den utstrÀck- ning sekretess hindrar att uppgifterna lÀmnas ut.
Om förutsÀttningarna i första stycket Àr uppfyllda, Àr Försvars- makten inte skyldig att lÀmna ut skÀlen för beslut enligt första stycket eller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behand- lingen enligt 6 §.
5 § Informationsskyldigheten i 2 och 3 §§ gÀller inte personupp- gifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller som utgör minnesanteckning eller liknande.
38
SOU 2018:63 |
Författningsförslag |
Informationsskyldigheten gÀller dock om uppgifterna har lÀm- nats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller historiska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats lÀngre Àn ett Är.
RÀtten till rÀttelse, radering och begrÀnsning av behandlingen
6 § Försvarsmakten ska pÄ begÀran av den som personuppgiften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.
Försvarsmakten ska ocksÄ underrÀtta tredje part till vilken upp- gifterna har lÀmnats ut om ÄtgÀrden, om den som personuppgiften rör begÀr det eller om en mera betydande skada eller olÀgenhet för denne skulle kunna undvikas genom en underrÀttelse.
NÄgon underrÀttelse behöver dock inte lÀmnas, om sekretess hind- rar det eller detta Àr omöjligt eller skulle innebÀra en oproportionerligt stor arbetsinsats.
Avgiftsfri information
7 § Information enligt 1 och 2 §§ ska lÀmnas utan avgift. Information och uppgifter enligt 3 § ska lÀmnas utan avgift en
gÄng per kalenderÄr. Om nÄgon begÀr information och uppgifter en- ligt 3 § oftare Àn en gÄng per kalenderÄr, fÄr Försvarsmakten avslÄ begÀran.
6 kap. Tillsyn
Tillsyn över personuppgiftsbehandlingen
1 § Den myndighet som regeringen bestÀmmer ska utöva allmÀn tillsyn över Försvarsmaktens behandling av personuppgifter enligt denna lag.
Tillsynsmyndigheten ska ge rÄd och stöd till Försvarsmakten om myndighetens skyldigheter enligt lag eller annan författning eller nÀr det i övrigt Àr pÄkallat.
39
Författningsförslag |
SOU 2018:63 |
Befogenheter
Utredningsbefogenheter
2 § Tillsynsmyndigheten har rÀtt att av Försvarsmakten eller ett personuppgiftsbitrÀde pÄ begÀran fÄ
1.tillgÄng till personuppgifter som behandlas,
2.upplysningar om och dokumentation av behandlingen av per- sonuppgifter och sÀkerhets- och skyddsÄtgÀrder,
3.tilltrÀde till sÄdana lokaler som har anknytning till behandling av personuppgifter och tillgÄng till utrustning och andra medel för behandling av personuppgifter, och
4.det bitrÀde och annan information som behövs för tillsynen.
Förebyggande befogenheter
3 § Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom rÄd, rekommendationer eller pÄpekanden försöka förmÄ Försvarsmakten eller personuppgifts- bitrÀdet att vidta ÄtgÀrder för att minska den risken.
Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att plane- rad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning. Detsamma gÀller om pÄgÄende behandling riske- rar att stÄ i strid med lag eller annan författning.
Korrigerande befogenheter
4 § Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning, eller att Försvars- makten eller ett personuppgiftsbitrÀde annars inte fullgör sina skyl- digheter, fÄr tillsynsmyndigheten
1.genom sÄdana ÄtgÀrder som anges i 3 § första stycket försöka förmÄ Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀr- der för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, eller
2.förelÀgga Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att full- göra andra skyldigheter.
40
SOU 2018:63 |
Författningsförslag |
Om ett förelÀggande utfÀrdas ska det av förelÀggandet framgÄ nÀr ÄtgÀrderna senast ska vara genomförda och, om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas.
7 kap. SkadestÄnd och överklagande
SkadestÄnd
1 § Den personuppgiftsansvarige ska ersÀtta den som personupp- giften rör för skada och krÀnkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.
ErsÀttningsskyldigheten kan i den utstrÀckning det Àr skÀligt, jÀmkas om den personuppgiftsansvarige visar att felet inte berodde pÄ denne.
Ăverklagande
2 § Försvarsmaktens beslut om information som ska lÀmnas enligt 5 kap. 2 och 3 §§ och om rÀttelse och underrÀttelse till tredje part enligt 5 kap. 6 § fÄr överklagas hos allmÀn förvaltningsdomstol. Andra beslut enligt denna lag fÄr inte överklagas.
PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.
3 § Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrÀtt.
1.Denna lag trÀder i kraft den 1 oktober 2019.
2.BestÀmmelsen i 4 kap. 2 § om loggning behöver inte tillÀmpas pÄ automatiserade system för behandling av personuppgifter som inrÀttats före ikrafttrÀdandet förrÀn den 1 maj 2024.
3.Ărenden om tillsyn eller granskning av Försvarsmaktens person- uppgiftsbehandling som Datainspektionen eller Statens inspektion för försvarsunderrĂ€ttelseverksamheten inte har avgjort före ikrafttrĂ€dan- det handlĂ€ggs enligt Ă€ldre föreskrifter.
41
Författningsförslag |
SOU 2018:63 |
1.2Förslag till lag (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt
HÀrigenom föreskrivs följande.
1 kap. AllmÀnna bestÀmmelser
Syftet med lagen
1 § Syftet med denna lag Àr att sÀkerstÀlla att Försvarets radioanstalt kan behandla personuppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling.
Lagens tillÀmpningsomrÄde
2 § Denna lag gÀller vid behandling av personuppgifter i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet samt informationssÀkerhetsverksamhet.
3 § Lagen gÀller vid sÄdan behandling av personuppgifter som Àr helt eller delvis automatiserad eller om uppgifterna ingÄr i eller Àr av- sedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.
4 § Vid behandling av personuppgifter enligt denna lag gÀller inte lagen (2018:218) med kompletterande bestÀmmelser till EU:s data- skyddsförordning.
FörhÄllandet till annan reglering
5 § BestÀmmelserna i denna lag ska inte tillÀmpas i den utstrÀck- ning det skulle inskrÀnka skyldigheten enligt 2 kap. tryckfrihetsför- ordningen att lÀmna ut personuppgifter.
42
SOU 2018:63 |
Författningsförslag |
Personuppgiftsansvar
6 § Försvarets radioanstalt Àr personuppgiftsansvarig för den be- handling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under myndighetens ledning eller pÄ dess vÀgnar.
7 § Försvarets radioanstalt fÄr vara gemensamt personuppgifts- ansvarig med annan endast i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
Definitioner
8 § I denna lag anvÀnds följande uttryck med nedan angiven be- tydelse.
Uttryck |
Betydelse |
 |
 |
 |
Behandling av personuppgifter |
En ÄtgÀrd eller kombination av |
|||
 |
ÄtgÀrder som vidtas i frÄga om |
|||
 |
personuppgifter |
eller |
uppsÀtt- |
|
 |
ningar av personuppgifter, oav- |
|||
 |
sett om det görs automatiserat |
|||
 |
eller inte, t.ex. insamling, regi- |
|||
 |
strering, |
organisering, |
struktu- |
|
 |
rering, lagring, bearbetning eller |
|||
 |
Ă€ndring, |
framtagning, |
lÀsning, |
|
 |
anvÀndning, utlÀmnande, sprid- |
|||
 |
ning eller tillhandahÄllande pÄ |
|||
 |
annat sÀtt, justering, sammanför- |
|||
 |
ing, begrÀnsning, |
radering eller |
||
 |
förstöring. |
 |
 |
|
Biometriska uppgifter |
Personuppgifter som rör en per- |
|||
 |
sons fysiska, fysiologiska eller |
|||
 |
beteendemÀssiga |
kÀnnetecken, |
||
 |
som tagits fram genom sÀrskild |
43
FörfattningsförslagSOU 2018:63
 |
teknisk behandling och som möj- |
|||
 |
liggör eller bekrÀftar unik identi- |
|||
 |
fiering av personen i frÄga. |
|||
Dataskyddsombud |
En fysisk person som utses av |
|||
 |
den personuppgiftsansvarige för |
|||
 |
att sjÀlvstÀndigt se till att person- |
|||
 |
uppgifter behandlas författnings- |
|||
 |
enligt och pÄ ett korrekt sÀtt. |
|||
Genetiska uppgifter |
Personuppgifter som rör en per- |
|||
 |
sons |
nedÀrvda eller |
förvÀrvade |
|
 |
genetiska kÀnnetecken och som |
|||
 |
hÀrrör frÄn analys av ett spÄr av |
|||
 |
eller ett prov frÄn personen i |
|||
 |
frÄga. |
 |
 |
 |
Logg |
Behandlingshistorik som sparas |
|||
 |
viss tid. |
 |
 |
|
Mottagare |
Den till vilken personuppgifter |
|||
 |
lÀmnas ut, med undantag av en |
|||
 |
myndighet som med stöd av för- |
|||
 |
fattning utövar tillsyn, kontroll |
|||
 |
eller revision. |
 |
||
Personuppgift |
Varje upplysning om en identi- |
|||
 |
fierad |
eller |
identifierbar fysisk |
|
 |
person som Àr i livet. |
 |
||
Personuppgiftsansvarig |
Den som ensam eller tillsam- |
|||
 |
mans |
med |
andra |
bestÀmmer |
 |
ÀndamÄlen med och medlen för |
|||
 |
behandlingen av personuppgifter. |
44
SOU 2018:63Författningsförslag
PersonuppgiftsbitrÀde |
Den som, med stöd av ett skrift- |
 |
ligt avtal eller annan skriftlig |
 |
överenskommelse, behandlar per- |
 |
sonuppgifter för den personupp- |
 |
giftsansvariges rÀkning. |
Tredje part |
NÄgon annan Àn den som person- |
 |
uppgiften rör, personuppgiftsan- |
 |
svarige, dataskyddsombudet, per- |
 |
sonuppgiftsbitrÀdet och sÄdana |
 |
personer som under den person- |
 |
uppgiftsansvariges eller person- |
 |
uppgiftsbitrÀdets direkta ansvar |
 |
har rÀtt att behandla person- |
 |
uppgifter. |
Uppgiftssamling |
En samling med uppgifter som |
 |
med hjÀlp av automatiserad be- |
 |
handling Àr gemensamt tillgÀng- |
 |
liga. |
2 kap. Behandling av personuppgifter
RĂ€ttsliga grunder
FörsvarsunderrÀttelseverksamhet
1 § Personuppgifter fÄr behandlas i Försvarets radioanstalts för- svarsunderrÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunder- rÀttelseverksamhet och lagen (2008:717) om signalspaning i försvars- underrÀttelseverksamhet.
2 § De personuppgifter som Försvarets radioanstalt har fÄtt till- gÄng till i myndighetens försvarsunderrÀttelseverksamhet fÄr fortsatt behandlas i den verksamheten, om det behövs för att fullgöra den.
Vad som sÀgs i första stycket gÀller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslut- ning till lagen.
45
Författningsförslag |
SOU 2018:63 |
3 § Personuppgifter som behandlas med stöd av 1 och 2 §§ fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs
1.i verksamhet hos berörda myndigheter som avses i 2 § första stycket lagen (2000:130) om försvarsunderrÀttelseverksamhet,
2.med anledning av samarbete med andra lÀnder och interna- tionella organisationer enligt lagen (2000:130) om försvarsunder- rÀttelseverksamhet och lagen (2008:717) om signalspaning i försvars- underrÀttelseverksamhet,
3.i utvecklingsverksamheten för de ÀndamÄl som anges i 4 §,
4.i informationssÀkerhetsverksamheten för de ÀndamÄl som an- ges i 6 §, eller
5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
Utvecklingsverksamhet
4 § Om det Àr nödvÀndigt för försvarsunderrÀttelseverksamheten fÄr Försvarets radioanstalt behandla personuppgifter för att
1.följa förÀndringar i signalmiljön i omvÀrlden, den tekniska ut- vecklingen och signalskyddet, och
2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.
5 § Personuppgifter som behandlas med stöd av 4 § fÄr Àven be- handlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs
1.med anledning av samverkan med annan avseende utvecklings- verksamhet,
2.med anledning av samarbete om utvecklingsverksamhet med andra lÀnder eller internationella organisationer enligt lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet,
3.i försvarsunderrÀttelseverksamheten för de ÀndamÄl som anges
i1 och 2 §§,
4.i informationssÀkerhetsverksamhet för de ÀndamÄl som anges
i6 §, eller
46
SOU 2018:63 |
Författningsförslag |
5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
InformationssÀkerhetsverksamhet
6 § Personuppgifter fÄr behandlas i Försvarets radioanstalts infor- mationssÀkerhetsverksamhet om det Àr nödvÀndigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verk- samheter som Àr av betydelse för Sveriges sÀkerhet. Uppgiften att lÀmna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.
7 § Personuppgifter som behandlas med stöd av 6 § fÄr Àven be- handlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs
1.i verksamhet hos den som tar emot uppgifter om informa- tionssÀkerhet,
2.med anledning av samverkan med andra som verkar pÄ infor- mationssÀkerhetsomrÄdet sÄvÀl inom som utom landet i den ut- strÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det,
3.i försvarsunderrÀttelseverksamheten för de ÀndamÄl som anges
i1 § andra stycket 5 och 7 lagen (2008:717) om signalspaning i för- svarsunderrÀttelseverksamhet, eller
4.i utvecklingsverksamheten för de ÀndamÄl som anges i 4 §.
Ăvriga rĂ€ttsliga grunder
8 § Personuppgifter som utgör allmÀnt tillgÀnglig information fÄr behandlas av Försvarets radioanstalt om det Àr nödvÀndigt för de Ànda- mÄl som anges i 1, 2, 4 och 6 §§.
9 § Försvarets radioanstalt fÄr behandla personuppgifter för veten- skapliga, statistiska eller historiska ÀndamÄl inom denna lags tillÀmp- ningsomrÄde.
47
Författningsförslag |
SOU 2018:63 |
10 § Försvarets radioanstalt fÄr behandla personuppgifter för att kunna tillgodose enskildas behov av information enligt 5 kap. och kunna lÀmna information vid tillsyn eller kontroll.
GrundlÀggande krav
ĂndamĂ„l
11 § Personuppgifter fÄr bara behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl.
Personuppgifter fÄr inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket personuppgifterna ursprung- ligen behandlades.
Författningsenlig och korrekt behandling
12 § Personuppgifter ska behandlas författningsenligt och pÄ ett korrekt sÀtt.
Personuppgifternas kvalitet
13 § Personuppgifter som behandlas ska vara adekvata och rele- vanta i förhÄllande till ÀndamÄlen med behandlingen och, om det Àr nödvÀndigt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas pÄ ett objektivt sÀtt med respekt för mÀnniskovÀrdet.
Fler personuppgifter fÄr inte behandlas Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen.
KĂ€nsliga personuppgifter
14 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening eller som rör hÀlsa, sexualliv eller sexuell lÀggning fÄr inte behandlas.
48
SOU 2018:63 |
Författningsförslag |
NÀr uppgifter om en person behandlas fÄr de dock kompletteras med sÄdana uppgifter som avses i första stycket, om det Àr absolut nödvÀndigt för syftet med behandlingen.
15 § Biometriska uppgifter fÄr behandlas endast om det Àr absolut nödvÀndigt för ÀndamÄlet för behandlingen. Genetiska uppgifter fÄr inte behandlas.
16 § Vid sökning fÄr personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning anvÀndas som sökbegrepp om det Àr absolut nödvÀndigt för syftet med behandlingen. Detsamma gÀller biometriska uppgifter.
Om den som uppgifterna rör har offentliggjort uppgifterna
17 § Utan hinder av vad som föreskrivs i 14 och 15 §§ fÄr person- uppgifter behandlas, om den som personuppgifterna rör pÄ ett tyd- ligt sÀtt offentliggjort uppgifterna.
Första stycket gÀller inte genetiska uppgifter.
Behandling av personuppgifter i vissa fall
18 § Hantering av information som innebÀr behandling av per- sonuppgifter ska inte anses oförenlig med bestÀmmelserna i 1, 4, 6, 8 och
LÀngsta tid som personuppgifter fÄr behandlas
19 § Personuppgifter som behandlas automatiserat fÄr inte be- handlas under lÀngre tid Àn vad som behövs för nÄgot eller nÄgra av de ÀndamÄl som anges i
Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter fÄr behandlas under endast
49
Författningsförslag |
SOU 2018:63 |
viss tid eller bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.
UtlÀmnande av personuppgifter
20 § Personuppgifter som behandlas med stöd av denna lag fÄr föras över till en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet eller en interna- tionell organisation endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för internationellt försvarsunderrÀttelse- och sÀkerhetssamarbete.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvarets radioanstalt.
21 § Personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst om regeringen har meddelat föreskrifter eller sÀrskilt beslutat om det.
Elektroniskt utlÀmnande genom direktÄtkomst Àr tillÄtet bara i den utstrÀckning som anges i 3 kap.
3 kap. Gemensamt tillgÀngliga uppgifter
Personuppgifter som fÄr göras gemensamt tillgÀngliga
1 § Personuppgifter fÄr göras gemensamt tillgÀngliga och behand- las i uppgiftssamlingar om det behövs för nÄgot av de ÀndamÄl som anges i 2 kap.
Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.
50
SOU 2018:63 |
Författningsförslag |
DirektÄtkomst
FörsvarsunderrÀttelseverksamhet
2 § Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretess- lagen (2009:400) fÄr SÀkerhetspolisen och Försvarsmakten medges direktÄtkomst till personuppgifter som utgör analysresultat inom försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar.
3 § Om det behövs för samarbetet mot terrorism eller för annat internationellt sÀkerhetssamarbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direkt- Ätkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § och som finns i uppgiftssamlingar.
InformationssÀkerhetsverksamhet
4 § Om det behövs för samarbetet mot
DirektÄtkomst i andra fall
5 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter eller sÀrskilt beslut om vilka som i andra fall Àn i
Ăvriga bestĂ€mmelser
6 § Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela
1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktÄtkomsten, och
2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.
51
Författningsförslag |
SOU 2018:63 |
4 kap. Skyldighet som personuppgiftsansvarig
à tgÀrder för att sÀkerstÀlla författningsenlig behandling
1 § Försvarets radioanstalt ska, genom lÀmpliga tekniska och orga- nisatoriska ÄtgÀrder, sÀkerstÀlla att behandlingen av personuppgifter Àr författningsenlig och skydda rÀttigheterna för dem som uppgift- erna rör.
2 § Försvarets radioanstalt ska sÀkerstÀlla att det i uppgiftsamlingar förs loggar över personuppgiftsbehandling. Regeringen eller den myn- dighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om loggar.
3 § TillgÄngen till personuppgifter ska alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
SÀkerheten för personuppgifter
4 § Försvarets radioanstalt ska vidta lÀmpliga tekniska och organi- satoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.
Dataskyddsombud
5 § Försvarets radioanstalt ska inom myndigheten utse ett eller flera dataskyddsombud och anmÀla dessa till tillsynsmyndigheten nÀr dataskyddsombud utses och entledigas.
6 § Dataskyddsombudet ska
1.sjÀlvstÀndigt kontrollera att Försvarets radioanstalt behandlar personuppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter,
2.informera och ge rÄd till Försvarets radioanstalt och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,
3.samrÄda med tillsynsmyndigheten, och
52
SOU 2018:63 |
Författningsförslag |
4.föra en förteckning över de kategorier av behandlingar som Försvarets radioanstalt ansvarar för och som Àr helt eller delvis auto- matiserade.
Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en förteckning som avses i första stycket 4 ska innehÄlla.
Om Försvarets radioanstalt bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas, ska dataskyddsombudet anmÀla det till tillsynsmyndigheten.
PersonuppgiftsbitrÀden
7 § Försvarets radioanstalt fÄr, om det Àr lÀmpligt, anlita person- uppgiftsbitrÀden för behandling av personuppgifter pÄ Försvarets radioanstalts vÀgnar. Innan ett personuppgiftsbitrÀde anlitas, ska Försvarets radioanstalt försÀkra sig om att bitrÀdet kommer att vidta de lÀmpliga tekniska och organisatoriska ÄtgÀrder som krÀvs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda rÀttigheterna för den som uppgifterna rör.
8 § PersonuppgiftsbitrÀdets behandling av personuppgifter ska reg- leras i ett skriftligt avtal eller annan skriftlig överenskommelse.
9 § Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personupp- giftsbitrÀde utan skriftligt tillstÄnd av Försvarets radioanstalt.
10 § Ett personuppgiftsbitrÀde eller den eller de personer som arbe- tar under bitrÀdets eller Försvarets radioanstalts ledning ska behandla personuppgifter i enlighet med instruktioner frÄn Försvarets radio- anstalt.
Om ett personuppgiftsbitrÀde, i strid med Försvarets radioanstalts instruktioner, bestÀmmer ÀndamÄlen med och medlen för behand- lingen, ska bitrÀdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.
11 § Det som sÀgs om Försvarets radioanstalts skyldigheter i
53
Författningsförslag |
SOU 2018:63 |
5 kap. Enskildas rÀttigheter
RĂ€tten till information
AllmÀn information
1 § Försvarets radioanstalt ska göra följande allmÀnna information tillgÀnglig.
1.Myndighetens identitet och kontaktuppgifter.
2.Uppgifter om dataskyddsombudet.
3.ĂndamĂ„len med behandlingen.
4.RÀtten enligt 2 § att begÀra att fÄ information om behandling av personuppgifter och att fÄ del av dem.
5.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen enligt 5 §.
Information som ska lÀmnas efter begÀran
2 § Försvarets radioanstalt Àr skyldig att utan onödigt dröjsmÄl en gÄng per kalenderÄr till den som begÀr det lÀmna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behand- las sÄdana uppgifter ska sökanden fÄ del av dem och fÄ följande skriftliga information.
1.Vilka personuppgifter om den sökande som behandlas.
2.VarifrÄn personuppgifterna kommer.
3.Den rÀttsliga grunden för behandlingen.
4.ĂndamĂ„len med behandlingen.
5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven i annat land eller internationella organisationer.
6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.
7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen enligt 5 §.
UtlÀmnande enligt första stycket behöver inte omfatta person- uppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.
En ansökan enligt första stycket ska göras skriftligen hos För- svarets radioanstalt och vara undertecknad av den sökande sjÀlv. Infor- mation enligt första stycket ska lÀmnas inom en mÄnad frÄn det att
54
SOU 2018:63 |
Författningsförslag |
ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.
BegrÀnsning av rÀtten till information
3 § Informationsskyldigheten i 2 § gÀller inte i den utstrÀckning sekretess hindrar att uppgifterna lÀmnas ut.
Om förutsÀttningarna i första stycket Àr uppfyllda, Àr Försvarets radioanstalt inte skyldig att lÀmna ut skÀlen för beslut enligt första stycket eller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behandlingen enligt 5 §.
4 § Informationsskyldigheten i 2 § gÀller inte personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjor- des eller som utgör minnesanteckning eller liknande.
Informationsskyldigheten gÀller dock om uppgifterna har lÀm- nats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller historiska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats lÀngre Àn ett Är.
RÀtten till rÀttelse, radering och begrÀnsning av behandlingen
5 § Försvarets radioanstalt ska pÄ begÀran av den som personupp- giften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.
Försvarets radioanstalt ska ocksÄ underrÀtta tredje part till vilken uppgifterna har lÀmnats ut om ÄtgÀrden, om den som personupp- giften rör begÀr det eller om en mera betydande skada eller olÀgenhet för denne skulle kunna undvikas genom en underrÀttelse.
NÄgon underrÀttelse behöver dock inte lÀmnas, om sekretess hindrar det eller detta Àr omöjligt eller skulle innebÀra en opropor- tionerligt stor arbetsinsats.
55
Författningsförslag |
SOU 2018:63 |
Avgiftsfri information
6 § Information enligt 1 § ska lÀmnas utan avgift.
Information och uppgifter enligt 2 § ska lÀmnas utan avgift en gÄng per kalenderÄr. Om nÄgon begÀr information och uppgifter enligt 2 § oftare Àn en gÄng per kalenderÄr, fÄr Försvarets radioanstalt avslÄ begÀran.
6 kap. Tillsyn
Tillsyn över personuppgiftsbehandlingen
1 § Den myndighet som regeringen bestÀmmer ska utöva allmÀn tillsyn över Försvarets radioanstalts behandling av personuppgifter enligt denna lag.
Tillsynsmyndigheten ska ge rÄd och stöd till Försvarets radio- anstalt om myndighetens skyldigheter enligt lag eller annan författ- ning eller nÀr det i övrigt Àr pÄkallat.
2 § I lagen (2008:717) om signalspaning i försvarsunderrÀttelse- verksamhet finns det sÀrskilda bestÀmmelser om kontroll som rör Försvarets radioanstalts behandling av personuppgifter i försvars- underrÀttelse- och utvecklingsverksamheten.
Befogenheter
Utredningsbefogenheter
3 § Tillsynsmyndigheten har rÀtt att av Försvarets radioanstalt eller ett personuppgiftsbitrÀde pÄ begÀran fÄ
1.tillgÄng till personuppgifter som behandlas,
2.upplysningar om och dokumentation av behandlingen av per- sonuppgifter och sÀkerhets- och skyddsÄtgÀrder,
3.tilltrÀde till sÄdana lokaler som har anknytning till behandling av personuppgifter och tillgÄng till utrustning och andra medel för behandling av personuppgifter, och
4.det bitrÀde och annan information som behövs för tillsynen.
56
SOU 2018:63 |
Författningsförslag |
Förebyggande befogenheter
4 § Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom rÄd, rekommendationer eller pÄpekanden försöka förmÄ Försvarets radioanstalt eller personupp- giftsbitrÀdet att vidta ÄtgÀrder för att minska den risken.
Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att plane- rad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning. Detsamma gÀller om pÄgÄende behandling riske- rar att stÄ i strid med lag eller annan författning.
Korrigerande befogenheter
5 § Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning, eller att Försvarets radio- anstalt eller ett personuppgiftsbitrÀde annars inte fullgör sina skyl- digheter, fÄr tillsynsmyndigheten
1.genom sÄdana ÄtgÀrder som anges i 4 § första stycket försöka förmÄ Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att upp- fylla andra skyldigheter, eller
2.förelÀgga Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter.
Om ett förelÀggande utfÀrdas ska det av förelÀggandet framgÄ nÀr ÄtgÀrderna senast ska vara genomförda och, om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas.
7 kap. SkadestÄnd och överklagande
SkadestÄnd
1 § Den personuppgiftsansvarige ska ersÀtta den som personupp- giften rör för skada och krÀnkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.
57
Författningsförslag |
SOU 2018:63 |
ErsÀttningsskyldigheten kan i den utstrÀckning det Àr skÀligt, jÀm- kas om den personuppgiftsansvarige visar att felet inte berodde pÄ denne.
Ăverklagande
2 § Försvarets radioanstalts beslut om information som ska lÀmnas enligt 5 kap. 2 § och om rÀttelse och underrÀttelse till tredje part en- ligt 5 kap. 5 § fÄr överklagas hos allmÀn förvaltningsdomstol. Andra beslut enligt denna lag fÄr inte överklagas.
PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.
3 § Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrÀtt.
1.Denna lag trÀder i kraft den 1 oktober 2019.
2.BestÀmmelsen i 4 kap. 2 § om loggning behöver inte tillÀmpas pÄ uppgiftssamlingar som inrÀttats före ikrafttrÀdandet förrÀn den
1maj 2024.
3.Ărenden om tillsyn eller granskning av Försvarets radioanstalts personuppgiftsbehandling som Datainspektionen eller Statens in- spektion för försvarsunderrĂ€ttelseverksamheten inte har avgjort före ikrafttrĂ€dandet handlĂ€ggs enligt Ă€ldre föreskrifter.
58
SOU 2018:63 |
Författningsförslag |
1.3Förslag till lag om Àndring i lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning
HÀrigenom föreskrivs att 1 kap. 3 § lagen (2018:218) med komplet- terande bestÀmmelser till EU:s dataskyddsförordning ska ha föl- jande lydelse.
Nuvarande lydelseFöreslagen lydelse
1 kap.
3 §
BestÀmmelserna i 2 § gÀller inte i verksamhet som omfattas av
1. lagen (2007:258) om behand- |
1. lagen (2019:000) om behand- |
ling av personuppgifter i Försvars- |
ling av personuppgifter vid Försvars- |
maktens försvarsunderrÀttelseverk- |
makten, |
samhet och militÀra sÀkerhetstjÀnst, |
 |
2. lagen (2007:259) om behand- |
2. lagen (2019:000) om behand- |
ling av personuppgifter i Försvarets |
ling av personuppgifter vid För- |
radioanstalts försvarsunderrÀttelse- |
svarets radioanstalt, eller |
och utvecklingsverksamhet, eller |
 |
3. 6 kap. polisdatalagen |
3. 6 kap. polisdatalagen |
(2010:361). |
(2010:361). |
Denna lag trÀder i kraft den 1 oktober 2019.
59
Författningsförslag |
SOU 2018:63 |
1.4Förslag till lag om Àndring i lagen (2008:717) om signalspaning
i försvarsunderrÀttelseverksamhet
HÀrigenom föreskrivs att 2 a och 12 a §§ lagen (2008:717) om signal- spaning i försvarsunderrÀttelseverksamhet ska ha följande lydelser.
Nuvarande lydelseFöreslagen lydelse
2 a §
InhÀmtning fÄr inte avse signaler mellan en avsÀndare och mot- tagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmtningen, ska upptagningen eller uppteck- ningen förstöras sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats.
Första stycket tillÀmpas inte i |
Första stycket tillÀmpas inte i |
|
frÄga om signaler mellan sÀndare |
frÄga om signaler som utvÀxlas |
|
och mottagare pÄ utlÀndska stats- |
autonomt mellan tekniska system |
|
fartyg, statsluftfartyg eller mili- |
i sÄdana fall dÀr signalerna inte |
|
tÀra fordon. |
innehÄller personuppgifter. Första |
|
 |
 |
stycket tillÀmpas inte heller i frÄga |
 |
 |
om övriga signaler mellan sÀn- |
 |
 |
dare och mottagare pÄ utlÀndska |
 |
 |
statsfartyg, statsluftfartyg eller |
 |
 |
militÀra fordon. |
 |
12 a § |
|
I lagen (2007:259) om be- |
I lagen (2019:000) om be- |
|
handling |
av personuppgifter i |
handling av personuppgifter vid |
Försvarets |
radioanstalts försvars- |
Försvarets radioanstalt finns ytter- |
underrÀttelse- och utvecklingsverk- |
ligare bestÀmmelser om behand- |
|
samhet finns ytterligare bestÀm- |
lingen av inhÀmtade personupp- |
|
melser om behandlingen av in- |
gifter. |
|
hÀmtade personuppgifter. |
 |
Denna lag trÀder i kraft den 1 oktober 2019.
60
SOU 2018:63 |
Författningsförslag |
1.5Förslag till lag om Àndring i brottsdatalagen (2018:1177)
HÀrigenom föreskrivs att 1 kap. 4 § brottsdatalagen (2018:1177) ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
1kap. 4 §
Lagen gÀller inte vid SÀkerhetspolisens behandling av person- uppgifter som rör nationell sÀkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell sÀkerhet frÄn SÀkerhets-
polisen. |
 |
Lagen gÀller inte heller i sÄdan |
Lagen gÀller inte heller i sÄdan |
verksamhet som omfattas av lagen |
verksamhet som omfattas av lagen |
(2007:258) om behandling av per- |
(2019:000) om behandling av per- |
sonuppgifter i Försvarsmaktens för- |
sonuppgifter vid Försvarsmakten. |
svarsunderrÀttelseverksamhet och |
 |
militÀra sÀkerhetstjÀnst. |
 |
Denna lag trÀder i kraft den 1 oktober 2019.
61
Författningsförslag |
SOU 2018:63 |
1.6Förslag till förordning (2019:000) om behandling av personuppgifter vid Försvarsmakten
HÀrigenom föreskrivs följande.
1 kap. AllmÀnna bestÀmmelser
Syfte
1 § I denna förordning finns kompletterande föreskrifter till lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. Uttryck som anvÀnds i förordningen har samma innebörd som i den lagen.
Gemensamt personuppgiftsansvar
2 § Försvarsmakten fÄr vara gemensamt personuppgiftsansvarig med SÀkerhetspolisen, Nationella operativa avdelningen i Polismyn- digheten, Myndigheten för samhÀllsskydd och beredskap, Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets rekryter- ingsmyndighet.
3 § NÀr Försvarsmakten Àr gemensamt personuppgiftsansvarig med annan ska myndigheten sÀkerstÀlla att de förpliktelser var och en har i egenskap av personuppgiftsansvarig regleras i en skriftlig överens- kommelse. Vid sÄdan överenskommelse kvarstÄr Försvarsmaktens författningsenliga skyldigheter.
Den som personuppgiften rör fÄr, trots en sÄdan överenskom- melse som avses i första stycket, utöva sina rÀttigheter gentemot var och en av de personuppgiftsansvariga.
62
SOU 2018:63 |
Författningsförslag |
2 kap. Behandling av personuppgifter
UtlÀmnande av personuppgifter
1 § SÀkerhetspolisen, Polismyndigheten, Myndigheten för samhÀlls- skydd och beredskap, Migrationsverket, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Totalför- svarets rekryteringsmyndighet, Fortifikationsverket och Försvars- högskolan har rÀtt att vid direktÄtkomst enligt 3 kap. 6, 7, 9 och 10 §§ ta del av de personuppgifter som omfattas av Ätkomsten.
2 § Försvarsmakten fÄr inom ramen för internationellt försvars- och sÀkerhetssamarbete överföra personuppgifter till en utlÀndsk myndig- het eller en internationell organisation, om överföringen tjÀnar den svenska statsledningen eller det svenska totalförsvaret.
Ăverföringen av personuppgifter enligt första stycket fĂ„r inte vara till skada för svenska intressen.
3 kap. Gemensamt tillgÀngliga uppgifter
Uppgiftssamlingar
FörsvarsunderrÀttelseverksamhet
1 § Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för för- svarsunderrÀttelseverksamhet som innehÄller personuppgifter. Upp- giftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att Försvarsmakten ska kunna bedriva verksamhet enligt lagen (2000:130) om försvarsunderrÀttelseverksamhet.
2 § En uppgiftssamling för försvarsunderrÀttelseverksamhet fÄr endast innehÄlla
1.identifieringsuppgifter,
2.uppgifter om de omstÀndigheter och hÀndelser som ger anled- ning att anta att den som behandlingen rör har betydelse för för- svarsunderrÀttelseverksamheten,
3.upplysningar om varifrÄn uppgiften kommer och om en upp- giftslÀmnares trovÀrdighet, och
4.allmÀnt tillgÀnglig information som finns pÄ internet eller i öppna databaser.
63
Författningsförslag |
SOU 2018:63 |
NÀr personuppgifter som avses i första stycket och som finns i rapportunderlag och underrÀttelserapporter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas, ska de bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.
MilitÀr sÀkerhetstjÀnst
3 § Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för sÀker- hetsunderrÀttelsetjÀnst som innehÄller personuppgifter. Uppgiftssam- lingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att upp- tÀcka och klarlÀgga sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen samt allmÀnt tillgÀnglig information som finns pÄ internet eller i öppna databaser.
NÀr personuppgifter som avses i första stycket och som finns i rapportunderlag och underrÀttelserapporter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas, ska de bevaras för historiska, sta- tistiska eller vetenskapliga ÀndamÄl.
4 § Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för sÀker- hetsskyddstjÀnst som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen.
5 § Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för sig- nalkontroll som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att förhindra obehörig insyn i och pÄverkan av totalförsvarets telekommunika- tions- och informationssystem.
Personuppgifter i en uppgiftssamling för signalkontroll fÄr inte behandlas lÀngre Àn ett Är efter att behandlingen av uppgifterna pÄ- börjades.
64
SOU 2018:63 |
Författningsförslag |
Ăvrig verksamhet
6 § För sÄdan verksamhet som inte utgör försvarsunderrÀttelseverk- samhet eller militÀr sÀkerhetstjÀnst fÄr Försvarsmakten bestÀmma vilka uppgiftssamlingar myndigheten ska ha och vad de ska innehÄlla.
DirektÄtkomst
Försvar och sÀkerhet
7 § Försvarets materielverk fÄr medges direktÄtkomst till person- uppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. DirektÄtkomsten fÄr endast avse personuppgifter som rör Försvarsmaktens materiel- och logistikförsörjning och som har gjorts gemensamt tillgÀngliga.
8 § Totalförsvarets rekryteringsmyndighet fÄr medges direktÄtkomst till personuppgifter om som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. DirektÄtkomsten fÄr endast avse personuppgifter som rör totalför- svarspliktiga och Försvarsmaktens krigsorganisation och som har gjorts gemensamt tillgÀngliga.
9 § Finlands försvarsmakt fÄr medges direktÄtkomst till person- uppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten om det behövs för planering, förberedelser och genomförande av stöd inom ramen för lagen (2019:000) om operativt militÀrt stöd mellan Sverige och Finland. DirektÄtkomsten fÄr endast avse personuppgifter som har gjorts gemensamt tillgÀngliga.
FörsvarsunderrÀttelseverksamhet
10 § Regeringskansliet, SÀkerhetspolisen, Nationella operativa av- delningen i Polismyndigheten, Myndigheten för samhÀllsskydd och beredskap, Inspektionen för strategiska produkter, Försvarets mate- rielverk, Totalförsvarets forskningsinstitut och Tullverket fÄr med- ges direktÄtkomst till personuppgifter som utgör analysresultat och
65
Författningsförslag |
SOU 2018:63 |
underrÀttelser och som finns i uppgiftssamlingar för försvarsunder- rÀttelseverksamhet.
11 § Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrÀttelse- och sÀkerhetssamar- bete fÄr en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgifter som behandlas enligt 2 kap. 2 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmak- ten och som finns i en uppgiftssamling som Försvarsmakten upprÀttat i syfte att dela informationen med mottagaren.
Innan direktÄtkomst medges en utlÀndsk underrÀttelse- eller sÀker- hetstjÀnst enligt första stycket ska Försvarsmakten underrÀtta Reger- ingskansliet (Försvarsdepartementet).
MilitÀr sÀkerhetstjÀnst
12 § SÀkerhetspolisen, Nationella operativa avdelningen i Polis- myndigheten, Myndigheten för samhÀllsskydd och beredskap, Migra- tionsverket, Försvarets materielverk, Försvarets radioanstalt, Total- försvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet, Fortifikationsverket och Försvarshögskolan fÄr medges direktÄt- komst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 1 och 2 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för sÀker- hetsunderrÀttelsetjÀnst.
13 § SÀkerhetspolisen fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 5 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för sÀkerhetsskyddstjÀnst.
14 § Om det behövs för samarbetet mot sÀkerhetshotande verk- samhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen fÄr en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direkt- Ätkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § 1 och 2 och som finns i en avskild uppgiftssamling som Försvars- makten upprÀttat i syfte att dela informationen med mottagaren.
66
SOU 2018:63 |
Författningsförslag |
Innan direktÄtkomst medges en utlÀndsk underrÀttelse- eller sÀker- hetstjÀnst enligt första stycket ska Försvarsmakten underrÀtta Reger- ingskansliet (Försvarsdepartementet).
Omfattning av direktÄtkomst
15 § Försvarsmakten beslutar om omfattningen av direktÄtkomst som följer av lag, förordning eller regeringens beslut i enskilt fall.
16 § Försvarsmakten ska sÀkerstÀlla att förutsÀttningarna för direkt- Ätkomsten dokumenteras.
TillgÄngen till uppgifter hos mottagaren ska vara förbehÄllen de personer som pÄ grund av sina arbetsuppgifter behöver ha tillgÄng till uppgifterna.
DirektÄtkomst fÄr inte medges innan Försvarsmakten har för- sÀkrat sig om att mottagaren uppfyller kraven pÄ behörighet och sÀkerhet.
4 kap. Skyldigheter som personuppgiftsansvarig
Tekniska och organisatoriska ÄtgÀrder
1 § De ÄtgÀrder som Försvarsmakten ska vidta enligt 4 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska vara rimliga med beaktande av behandlingens art, omfattning, sam- manhang och ÀndamÄl och de sÀrskilda riskerna med behandlingen.
2 § Försvarsmakten ska föra loggar i myndighetens informations- system som innehÄller gemensamt tillgÀngliga uppgifter. Av loggarna ska framgÄ vilken medarbetare eller annan som lÀst, skapat, Àndrat eller raderat personuppgifter samt tidpunkten för ÄtgÀrden.
Skyldigheten enligt första stycket gÀller inte informationssystem som Ànnu inte börjat anvÀndas.
67
Författningsförslag |
SOU 2018:63 |
Behörigheter
3 § För tilldelning av behörighet för Ätkomst till personuppgifter ska det sÀrskilt beaktas att det, utöver behovet av uppgifterna, stÀlls krav pÄ utbildning och erfarenhet.
Försvarsmakten ansvarar för att det inom myndigheten finns ruti- ner för tilldelning, förÀndring, borttagning och regelbunden upp- följning av behörigheter för Ätkomst till personuppgifter.
SĂ€kerheten vid behandling av personuppgifter
4 § SkyddsÄtgÀrder enligt 4 kap. 4 § lagen (2019:000) om behand- ling av personuppgifter vid Försvarsmakten ska Ästadkomma en sÀkerhetsnivÄ som Àr lÀmplig med beaktande av
1.de tekniska möjligheter som finns,
2.vad det skulle kosta att genomföra ÄtgÀrderna,
3.behandlingens art, omfattning, sammanhang och ÀndamÄl,
4.de sÀrskilda risker som finns med behandlingen av person- uppgifterna,
5.om kÀnsliga personuppgifterna behandlas, och
6.hur integritetskÀnsliga övriga personuppgifter som behandlas Àr.
AnmÀlan av övertrÀdelser
5 § Försvarsmakten ska ha interna rutiner för anmÀlan av över- trÀdelser av bestÀmmelser om personuppgiftsbehandling som garan- terar att anmÀlarens identitet skyddas.
Dataskyddsombud
6 § Försvarsmakten ska sÀkerstÀlla att dataskyddsombud ges möj- lighet att delta i de frÄgor som rör skyddet av personuppgifter.
Försvarsmakten ska se till att dataskyddsombud kan utföra de uppgifter som anges i 4 kap. 6 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten genom att tillhandahÄlla nöd- vÀndiga resurser, ge tillgÄng till dokumentation om behandling av personuppgifter och vid behov medge Ätkomst till personuppgifter
68
SOU 2018:63 |
Författningsförslag |
som behandlas. Försvarsmakten ska ocksÄ se till att dataskyddsom- bud ges möjlighet att upprÀtthÄlla sin sakkunskap.
Förteckning över kategorier av behandlingar
7 § Den förteckning över kategorier av behandlingar av personupp- gifter som Àr helt eller delvis automatiserade som ska föras av data- skyddsombudet enligt 4 kap. 6 § första stycket 4 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska innehÄlla följande uppgifter.
1.Namnet pÄ och kontaktuppgifter till myndigheten.
2.Namnet pÄ och kontaktuppgifter till gemensamt personupp- giftsansvariga.
3.Namnet pÄ dataskyddsombudet.
4.Namnet pÄ personuppgiftsbitrÀdet.
5.Den rÀttsliga grunden för behandlingen.
6.ĂndamĂ„len med behandlingen.
7.Kategorier av de som berörs av behandlingen.
8.Kategorier av personuppgifter som kan komma att behandlas.
9.Kategorier av tjÀnstemÀn som har tillgÄng till de personupp- gifter som behandlas.
10.SÀkerhetsÄtgÀrder.
11.Kategorier av mottagare till vilka uppgifterna kan komma att lÀmnas ut, Àven i annat land eller internationella organisationer.
12.Ăverföring av personuppgifter till annat land eller internatio- nella organisationer.
PersonuppgiftsbitrÀden
Avtalets eller överenskommelsens innehÄll
8 § Ett avtal eller en annan överenskommelse enligt 4 kap. 8 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska ange vad behandlingen ska avse, hur lÀnge behandlingen ska pÄgÄ, dess art och ÀndamÄl, typen av personuppgifter, kategorier av de som berörs av behandlingen och Försvarsmaktens skyldigheter och rÀttig- heter. I avtalet eller överenskommelsen ska det sÀrskilt föreskrivas att personuppgiftsbitrÀdet ska
69
Författningsförslag |
SOU 2018:63 |
1.behandla personuppgifter bara enligt instruktioner frÄn För- svarsmakten,
2.sÀkerstÀlla att personer som har tillstÄnd att behandla person- uppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,
3.hjÀlpa Försvarsmakten att sÀkerstÀlla att bestÀmmelserna om de rÀttigheter som de som behandlingen rör har följts,
4.radera eller ÄterlÀmna alla personuppgifter till Försvarsmakten nÀr uppdraget har slutförts och, om inte annat följer av lag eller för- ordning, radera befintliga kopior,
5.ge Försvarsmakten tillgÄng till den information som krÀvs för att visa att det som sÀgs i denna bestÀmmelse, 9 § och 4 kap. 7,
6.respektera de villkor som framgÄr av denna bestÀmmelse och 3 kap. 9 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten vid anlitande av ett annat personuppgiftsbitrÀde.
Ăvriga skyldigheter
9 § Det som sÀgs om Försvarsmaktens skyldigheter i 4 § gÀller Àven för personuppgiftsbitrÀden som Försvarsmakten anlitar.
5 kap. Enskildas rÀttigheter
Krav pÄ utformningen av information
1 § Information enligt 5 kap.
Beslut
2 § Beslut enligt 5 kap. 3 och 6 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska vara skriftliga. Beslut som gÄr den sökande emot ska motiveras.
70
SOU 2018:63 |
Författningsförslag |
Av 5 kap. 4 § andra stycket lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten framgÄr att skÀlen för vissa be- slut inte behöver lÀmnas ut.
6 kap. Tillsyn
Tillsynsmyndighet
1 § Datainspektionen Àr tillsynsmyndighet enligt lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten.
AnmÀlningsskyldighet
2 § Om Datainspektionen i sin tillsyn uppmÀrksammar förhÄllan- den som kan utgöra brott, ska myndigheten anmÀla det till à klagar- myndigheten.
Datainspektionen ska samrÄda med à klagarmyndigheten innan en sÄdan anmÀlan görs. Till anmÀlan ska inspektionen foga det under- lag som finns och Àven i övrigt lÀmna det bistÄnd som behövs i anled- ning av anmÀlan.
7 kap. Bemyndiganden
1 § Riksarkivet fÄr, efter samrÄd med Försvarsmakten, meddela föreskrifter om att personuppgifter som inte lÀngre fÄr behandlas enligt 2 kap. 21 § lagen (2019:000) om behandling av personuppgif- ter vid Försvarsmakten ska bevaras.
2 § Försvarsmakten fÄr meddela nÀrmare föreskrifter om verk- stÀllighet av bestÀmmelserna i lagen (2019:000) om behandling av per- sonuppgifter vid Försvarsmakten.
Om föreskrifterna berör integritetsskyddet vid personuppgifts- behandling ska Försvarsmakten samrÄda med Datainspektionen innan föreskrifterna beslutas.
71
Författningsförslag |
SOU 2018:63 |
1.Denna förordning trÀder i kraft den 1 oktober 2019.
2.BestÀmmelserna i 4 kap. 2 § om loggning behöver inte tillÀm- pas pÄ informationssystem som inrÀttats före ikrafttrÀdandet förrÀn den 1 maj 2024.
3.BestÀmmelserna i 4 kap 7 § om innehÄllet i förteckningen över kategorier av behandlingar av personuppgifter som Àr helt eller delvis automatiserade behöver inte tillÀmpas pÄ de behandlingar av person- uppgifter som förtecknats före ikrafttrÀdandet förrÀn den 1 maj 2024.
72
SOU 2018:63 |
Författningsförslag |
1.7Förslag till förordning (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt
HÀrigenom föreskrivs följande.
1 kap. AllmÀnna bestÀmmelser
Syfte
1 § I denna förordning finns kompletterande föreskrifter till lagen (2019:000) om behandling av personuppgifter vid Försvarets radio- anstalt. Uttryck som anvÀnds i förordningen har samma innebörd som i den lagen.
Gemensamt personuppgiftsansvar
2 § Försvarets radioanstalt fÄr med Försvarsmakten och SÀkerhets- polisen ha gemensamt personuppgiftsansvar, inom ramen för myn- dighetsöverskridande samverkan mellan myndigheterna, för att kunna kartlÀgga
1.yttre militÀra hot mot landet,
2.förutsÀttningar för svenskt deltagande i fredsfrÀmjande och humanitÀra internationella insatser eller hot mot sÀkerheten för svenska intressen vid genomförandet av sÄdana insatser,
3.strategiska förhÄllanden avseende internationell terrorism som kan hota vÀsentliga nationella intressen,
4.allvarliga yttre hot mot samhÀllets infrastrukturer, eller
5.frÀmmande underrÀttelseverksamhet mot svenska intressen.
3 § NÀr Försvarets radioanstalt Àr gemensamt personuppgiftsansva- rig med annan ska myndigheten sÀkerstÀlla att de förpliktelser var och en har i egenskap av personuppgiftsansvarig regleras i en skriftlig överenskommelse. Vid sÄdan överenskommelse kvarstÄr Försvarets radioanstalts författningsenliga skyldigheter.
Den som personuppgiften rör fÄr, trots en sÄdan överenskom- melse som avses i första stycket, utöva sina rÀttigheter gentemot var och en av de personuppgiftsansvariga.
73
Författningsförslag |
SOU 2018:63 |
2 kap. Behandling av personuppgifter
UtlÀmnande av personuppgifter
Ăverföring av personuppgifter till myndigheter i andra lĂ€nder och internationella organisationer
1 § Personuppgifter fÄr föras över till en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informationssÀker- hetsomrÄdet eller en internationell organisation, om överföringen tjÀnar den svenska statsledningen eller det svenska totalförsvaret.
Ăverföringen av personuppgifter enligt första stycket fĂ„r inte vara till skada för svenska intressen.
Elektroniskt utlÀmnande
2 § Personuppgifter fÄr lÀmnas ut elektroniskt till statliga myndig- heter pÄ annat sÀtt Àn genom direktÄtkomst.
3 kap. Gemensamt tillgÀngliga uppgifter
Uppgiftssamlingar
FörsvarsunderrÀttelse- och utvecklingsverksamhet
1 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för rÄmaterial som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla obearbetat och automatiskt bearbetat material vars relevans för verksamheten Ànnu inte bedömts.
Personuppgifter i en uppgiftssamling för rÄmaterial fÄr inte be- handlas lÀngre Àn ett Är efter det att behandlingen av uppgifterna pÄbörjades.
2 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för analyser som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla bearbetningsunderlag och analysresultat.
74
SOU 2018:63 |
Författningsförslag |
3 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för underrÀttelser som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla rapportunderlag och fÀrdiga underrÀttelserap- porter.
NÀr personuppgifter i rapportunderlag och underrÀttelserappor- ter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas ska de bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.
4 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för information om signalmiljön som innehÄller personuppgifter. Upp- giftssamlingarna fÄr endast innehÄlla information som rör signalmiljön.
5 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för information om företeelser mot vilka signalspaningen inriktas som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla sÄdan information om fysiska personer och andra kÀllor som Àr nöd- vÀndig eller kan vara nödvÀndig för att verkstÀlla inriktningar av signalspaning.
6 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för information om teknik- och metodikutveckling som innehÄller per- sonuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla information som rör teknik- och metodikutvecklingen.
7 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för signalskydd som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla information som rör signalskyddet.
InformationssÀkerhetsverksamhet
8 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för informationssÀkerhetsverksamhet som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla information om uppdrags- givare, information som rör
75
Författningsförslag |
SOU 2018:63 |
Ăvrigt
9 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för allmÀnt tillgÀnglig information som innehÄller personuppgifter. Upp- giftssamlingarna fÄr endast innehÄlla information som finns eller har funnits pÄ internet eller i öppna databaser.
10 § Vid Försvarets radioanstalt fÄr det finnas uppgiftsamlingar för loggar som förs med stöd av 2 kap. 10 § och 4 kap. 2 § lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt.
DirektÄtkomst
FörsvarsunderrÀttelseverksamhet
11 § Regeringskansliet, SÀkerhetspolisen, Nationella operativa avdel- ningen i Polismyndigheten, Inspektionen för strategiska produkter, Försvarsmakten, Försvarets materielverk, Totalförsvarets forsknings- institut, Myndigheten för samhÀllsskydd och beredskap, och Tull- verket fÄr medges direktÄtkomst till personuppgifter som utgör under- rÀttelser och som finns i uppgiftssamlingar.
InformationssÀkerhetsverksamhet
12 § SÀkerhetspolisen och Försvarsmakten fÄr medges direktÄtkomst till personuppgifter som utgör analysresultat och som behandlas i en uppgiftssamling för informationssÀkerhetsverksamhet.
Omfattning av direktÄtkomst
13 § Försvarets radioanstalt beslutar om omfattningen av direktÄt- komst som följer av lag, förordning eller regeringens beslut i enskilt fall.
14 § Försvarets radioanstalt ska sÀkerstÀlla att förutsÀttningarna för direktÄtkomsten dokumenteras.
TillgÄngen till uppgifter hos mottagaren ska vara förbehÄllen de personer som pÄ grund av sina arbetsuppgifter behöver ha tillgÄng till uppgifterna.
76
SOU 2018:63 |
Författningsförslag |
DirektÄtkomst fÄr inte medges innan Försvarets radioanstalt har försÀkrat sig om att mottagaren uppfyller kraven pÄ behörighet och sÀkerhet.
4 kap. Skyldigheter som personuppgiftsansvarig
Tekniska och organisatoriska ÄtgÀrder
1 § De ÄtgÀrder som Försvarets radioanstalt ska vidta enligt 4 kap. 1, 2 och 4 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt ska vara rimliga med beaktande av behand- lingens art, omfattning, sammanhang och ÀndamÄl och de sÀrskilda riskerna med behandlingen.
2 § Försvarets radioanstalt ska föra loggar i myndighetens infor- mationssystem som innehÄller uppgiftssamlingar för försvarsunder- rÀttelse- och informationssÀkerhetsverksamhet. Av loggarna ska fram- gÄ vilken medarbetare eller annan som lÀst, skapat, Àndrat eller raderat personuppgifter samt tidpunkten för ÄtgÀrden.
Skyldigheten enligt första stycket gÀller inte informationssystem som Ànnu inte börjat anvÀndas.
Behörigheter
3 § För tilldelning av behörighet för Ätkomst till personuppgifter ska det sÀrskilt beaktas att det, utöver behovet av uppgifterna, stÀlls krav pÄ utbildning och erfarenhet.
Försvarets radioanstalt ansvarar för att det inom myndigheten finns rutiner för tilldelning, förÀndring, borttagning och regelbun- den uppföljning av behörigheter för Ätkomst till personuppgifter.
SĂ€kerheten vid behandling av personuppgifter
4 § SkyddsÄtgÀrder enligt 4 kap. 4 § lagen (2019:000) om behand- ling av personuppgifter vid Försvarets radioanstalt ska Ästadkomma en sÀkerhetsnivÄ som Àr lÀmplig med beaktande av
1.de tekniska möjligheter som finns,
2.vad det skulle kosta att genomföra ÄtgÀrderna,
77
Författningsförslag |
SOU 2018:63 |
3.behandlingens art, omfattning, sammanhang och ÀndamÄl,
4.de sÀrskilda risker som finns med behandlingen av personupp- gifterna,
5.om kÀnsliga personuppgifterna behandlas, och
6.hur integritetskÀnsliga övriga personuppgifter som behandlas Àr.
AnmÀlan av övertrÀdelser
5 § Försvarets radioanstalt ska ha interna rutiner för anmÀlan av övertrÀdelser av bestÀmmelser om personuppgiftsbehandling som garanterar att anmÀlarens identitet skyddas.
Dataskyddsombud
6 § Försvarets radioanstalt ska sÀkerstÀlla att dataskyddsombud ges möjlighet att delta i de frÄgor som rör skyddet av personuppgifter.
Försvarets radioanstalt ska se till att dataskyddsombud kan ut- föra de uppgifter som anges i 4 kap. 6 § lagen (2019:000) om behand- ling av personuppgifter vid Försvarets radioanstalt genom att till- handahÄlla nödvÀndiga resurser, ge tillgÄng till dokumentation om behandling av personuppgifter och vid behov medge Ätkomst till per- sonuppgifter som behandlas. Försvarets radioanstalt ska ocksÄ se till att dataskyddsombud ges möjlighet att upprÀtthÄlla sin sakkunskap.
Förteckning över kategorier av behandlingar
7 § Den förteckning över kategorier av behandlingar som ska föras av dataskyddsombudet enligt 4 kap. 6 § första stycket 4 lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt ska innehÄlla följande uppgifter.
1.Namnet pÄ och kontaktuppgifter till myndigheten.
2.Namnet pÄ och kontaktuppgifter till gemensamt personupp- giftsansvariga.
3.Namnet pÄ dataskyddsombudet.
4.Namnet pÄ personuppgiftsbitrÀden.
5.Den rÀttsliga grunden för behandlingen.
6.ĂndamĂ„len med behandlingen.
78
SOU 2018:63 |
Författningsförslag |
7.Kategorier av de som berörs av behandlingen.
8.Kategorier av personuppgifter som kan komma att behandlas.
9.Kategorier av tjÀnstemÀn som har tillgÄng till de personupp- gifter som behandlas.
10.SÀkerhetsÄtgÀrder.
11.Kategorier av mottagare till vilka uppgifterna kan komma att lÀmnas ut, Àven i annat land eller internationella organisationer.
12.Ăverföring av personuppgifter till annat land eller internatio- nella organisationer.
PersonuppgiftsbitrÀden
Avtalets eller överenskommelsens innehÄll
8 § Ett avtal eller en annan överenskommelse enligt 4 kap. 8 § lagen (2019:000) om behandling av personuppgifter vid Försvarets radio- anstalt ska ange vad behandlingen ska avse, hur lÀnge behandlingen ska pÄgÄ, dess art och ÀndamÄl, typen av personuppgifter, kategorier av de som berörs av behandlingen och Försvarets radioanstalts skyl- digheter och rÀttigheter. I avtalet eller överenskommelsen ska det sÀr- skilt föreskrivas att personuppgiftsbitrÀdet ska
1.behandla personuppgifter bara enligt instruktioner frÄn För- svarets radioanstalt,
2.sÀkerstÀlla att personer som har tillstÄnd att behandla person- uppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,
3.hjÀlpa Försvarets radioanstalt att sÀkerstÀlla att bestÀmmel- serna om de rÀttigheter som de som behandlingen rör har följts,
4.radera eller ÄterlÀmna alla personuppgifter till Försvarets radio- anstalt nÀr uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior,
5.ge Försvarets radioanstalt tillgÄng till den information som krÀvs för att visa att det som sÀgs i denna bestÀmmelse, 9 § och 4 kap. 7,
6.respektera de villkor som framgÄr av denna bestÀmmelse och 4 kap. 9 § lagen (2019:000) om behandling av personuppgifter vid För- svarets radioanstalt vid anlitande av ett annat personuppgiftsbitrÀde.
79
Författningsförslag |
SOU 2018:63 |
Ăvriga skyldigheter
9 § Det som sÀgs om Försvarets radioanstalts skyldigheter i 4 § gÀller Àven för personuppgiftsbitrÀden som Försvarets radioanstalt anlitar.
5 kap. Enskildas rÀttigheter
Krav pÄ utformningen av information
1 § Information enligt 5 kap. 1 och 2 §§ lagen (2019:000) om be- handling av personuppgifter vid Försvarets radioanstalt ska vara lÀttillgÀnglig och lÀttbegriplig och lÀmnas i lÀmplig form.
Beslut
2 § Beslut enligt 5 kap. 2 och 5 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt ska vara skriftliga. Beslut som gÄr den sökande emot ska motiveras.
Av 5 kap. 3 § andra stycket lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt framgÄr att skÀlen för vissa beslut inte behöver lÀmnas ut.
6 kap. Tillsyn
Tillsynsmyndighet
1 § Datainspektionen Àr tillsynsmyndighet enligt lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt.
AnmÀlningsskyldighet
2 § Om Datainspektionen i sin tillsyn uppmÀrksammar förhÄllan- den som kan utgöra brott, ska myndigheten anmÀla det till à klagar- myndigheten.
80
SOU 2018:63 |
Författningsförslag |
Datainspektionen ska samrÄda med à klagarmyndigheten innan en sÄdan anmÀlan görs. Till anmÀlan ska inspektionen foga det under- lag som finns och Àven i övrigt lÀmna det bistÄnd som behövs i an- ledning av anmÀlan.
7 kap. Bemyndiganden
1 § Riksarkivet fÄr, efter samrÄd med Försvarets radioanstalt, med- dela föreskrifter om att personuppgifter som inte lÀngre fÄr behand- las enligt 2 kap. 19 § lagen (2019:000) om behandling av personupp- gifter vid Försvarets radioanstalt ska bevaras. SÄdana föreskrifter fÄr dock inte omfatta personuppgifter som inte lÀngre fÄr behandlas en- ligt 3 kap. 1 § denna förordning.
2 § Försvarets radioanstalt fÄr meddela nÀrmare föreskrifter om verk- stÀllighet av bestÀmmelserna i lagen (2019:000) om behandling av per- sonuppgifter vid Försvarets radioanstalt.
Om föreskrifterna berör integritetsskyddet vid personuppgifts- behandling ska Försvarets radioanstalt samrÄda med Datainspektio- nen innan föreskrifterna beslutas.
1.Denna förordning trÀder i kraft den 1 oktober 2019.
2.BestÀmmelserna i 3 kap. 10 § om loggning behöver inte tillÀm- pas pÄ uppgiftssamlingar som inrÀttats före ikrafttrÀdandet förrÀn den 1 maj 2024.
81
Författningsförslag |
SOU 2018:63 |
1.8Förslag till förordning om Àndring i förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrÀttelseverksamheten
HÀrigenom föreskrivs att 1 och 3 §§ förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrÀttelseverk- samheten ska ha följande lydelser.
Nuvarande lydelse |
Föreslagen lydelse |
1 §
Statens inspektion för försvarsunderrÀttelseverksamheten har till uppgift att kontrollera försvarsunderrÀttelseverksamheten hos de myndigheter som enligt förordningen (2000:131) om försvarsunder- rÀttelseverksamhet bedriver sÄdan verksamhet. Inspektionen ska kontrollera att dessa myndigheter, i den försvarsunderrÀttelseverk- samhet som utförs, efterlever lagar och förordningar samt i övrigt fullgör sina skyldigheter.
Inspektionen har Àven till uppgift att lÀmna myndigheterna rÄd och stöd betrÀffande myndig- heternas skyldigheter i den verk- samhet som inspektionen har till uppgift att kontrollera och granska.
3 §
Statens inspektion för försvarsunderrÀttelseverksamheten ska
granska |
 |
behandlingen av uppgifter en- |
den behandling av personupp- |
ligt lagen (2007:258) om behand- |
gifter i Försvarsmaktens försvars- |
ling av personuppgifter i Försvars- |
underrÀttelseverksamhet och mili- |
maktens försvarsunderrÀttelseverk- |
tÀra sÀkerhetstjÀnst som sker med |
samhet och militÀra sÀkerhetstjÀnst |
stöd av lagen (2019:000) om be- |
samt enligt lagen (2007:259) om |
handling av personuppgifter vid |
behandling av personuppgifter i |
Försvarsmakten. Inspektionen ska |
Försvarets radioanstalts försvars- |
Ă€ven granska den behandling av |
underrÀttelse- och utvecklings- |
personuppgifter i Försvarets radio- |
verksamhet. |
anstalts försvarsunderrÀttelse- och |
82
SOU 2018:63 |
Författningsförslag |
utvecklingsverksamhet som sker med stöd av lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt.
Denna förordning trÀder i kraft den 1 oktober 2019.
83
Författningsförslag |
SOU 2018:63 |
1.9Förslag till förordning om Àndring i förordningen (1995:1301) om handlÀggning av skadestÄndsansprÄk mot staten
HÀrigenom föreskrivs att 3 § förordningen (1995:1301) om hand- lÀggning av skadestÄndsansprÄk mot staten ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
3 §
Justitiekanslern handlÀgger ansprÄk pÄ ersÀttning med stöd av
â36 kap. 17 § andra stycket brottsbalken,
â2 kap. 1 § eller 3 kap. 1, 2 eller 4 § skadestĂ„ndslagen (1972:207), om ansprĂ„ket grundas pĂ„ ett pĂ„stĂ„ende om felaktigt beslut eller underlĂ„tenhet att meddela beslut,
â23 § datalagen (1973:289),
âartikel 82 i Europaparlamentets och rĂ„dets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pĂ„ behandling av personuppgifter och om det fria flödet av sĂ„dana uppgifter och om upphĂ€vande av direktiv 95/46/EG (allmĂ€n dataskyddsförordning),
2 kap. 6 § lagen (2007:258) |
7 kap. 1 § lagen (2019:000) |
|
om behandling av personuppgifter |
om behandling av personuppgifter |
|
i Försvarsmaktens försvarsunder- |
vid Försvarsmakten och 7 kap. 1 § |
|
rÀttelseverksamhet |
och militÀra |
lagen (2019:000) om behandling |
sÀkerhetstjÀnst och 2 kap. 5 § lagen |
av personuppgifter vid Försvarets |
|
(2007:259) om |
behandling av |
radioanstalt, |
personuppgifter i Försvarets radio- |
 |
|
anstalts försvarsunderrÀttelse- och |
 |
|
utvecklingsverksamhet, |
 |
âlagen (1998:714) om ersĂ€ttning vid frihetsberövanden och andra tvĂ„ngsĂ„tgĂ€rder, dock inte ansprĂ„k som avses i 8 § i den lagen,
â5 kap. 3 § lagen (2017:496) om internationellt polisiĂ€rt sam- arbete, om ansprĂ„ket grundas pĂ„ ett pĂ„stĂ„ende om felaktigt beslut eller underlĂ„tenhet att meddela beslut,
â26 § lagen (2011:111) om förstörande av vissa hĂ€lsofarliga miss- brukssubstanser,
â46 kap. 20 § skatteförfarandelagen (2011:1244), eller
â44 § kameraövervakningslagen (2013:460).
84
SOU 2018:63 |
Författningsförslag |
Justitiekanslern handlÀgger ocksÄ andra ansprÄk pÄ ersÀttning som grundas pÄ ett pÄstÄende om övertrÀdelse av unionsrÀtten.
Av 4 § följer att vissa ansprÄk pÄ ersÀttning med stöd av 3 kap. 1, 2 eller 4 § skadestÄndslagen handlÀggs av Kammarkollegiet. Förord- ning (2018:303).
Denna förordning trÀder i kraft den 1 oktober 2019.
85
2Utredningens uppdrag och arbete
2.1Utredningsuppdraget
Utredningsuppdraget bestÄr i att göra en översyn av den lagstiftning som gÀller för personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt och för att sÀkerstÀlla att lagstiftningen Àr anpassad till den tekniska och legala utvecklingen.
Utredningen syftar till att analysera om rÄdande lagstiftning Àr ÀndamÄlsenlig för Försvarsmaktens och Försvarets radioanstalts verk- samheter och om den Àr tillrÀcklig i frÄga om skydd för enskildas per- sonliga integritet Uppdraget omfattar Àven att utreda hur person- uppgifter behandlas hos Försvarets radioanstalt i samband med att myndigheten stödjer andra myndigheter och statligt Àgda bolag inom informationssÀkerhetsomrÄdet.
Om EU:s dataskyddsförordning, som trÀdde i kraft den 25 maj 2018, och dÀrtill kopplad svensk författning skapar behov av komp- letterande författningsbestÀmmelser för Försvarsmaktens och För- svarets radioanstalts personuppgiftsbehandling, ska utredningen Àven lÀmna förslag till sÄdana kompletterande bestÀmmelser.
Utredningens direktiv finns i bilaga 1.
TillÀggsdirektiv (förlÀngd tid för uppdraget) finns i bilaga 2.
2.2Genomförande av uppdraget
Utredningsarbetet pÄbörjades i slutet av maj 2017 och har bedrivits pÄ sedvanligt sÀtt med regelbundna utredningssammantrÀden med experter och sakkunniga. Utredningen har sammantrÀtt vid 17 till- fÀllen. Utredningen har besökt Försvarets radioanstalt, Försvarsmakten
87
Utredningens uppdrag och arbete |
SOU 2018:63 |
och Statens inspektion för försvarsunderrÀttelseverksamheten (Siun) vid flera tillfÀllen.
Utredaren och sekreteraren har Àven samrÄtt med Totalförsvars- datautredningen (Fö 2016:01).
Föreningen Dataskydd.net har yttrat sig i en skrift som utred- ningen har tagit del av.
88
3Försvarsmaktens och Försvarets radioanstalts uppgifter
3.1Försvarsmaktens uppgifter
Försvarsmaktens grundlÀggande uppgifter framgÄr av
Försvarsmakten ska vidare, enligt 3 b §
Av instruktionen för Försvarsmakten följer Àven att Försvars- makten, med myndighetens befintliga förmÄga och resurser ska kunna lÀmna stöd till civil verksamhet; ansvara för att samla in, bearbeta
89
Försvarsmaktens och Försvarets radioanstalts uppgifter |
SOU 2018:63 |
och lÀmna Kustbevakningen sjölÀgesinformation; pÄ uppdrag av För- svarets materielverk bedriva exportrelaterad verksamhet inom för- svarssektorn; medverka i statsceremonier och pÄ begÀran av polisen utföra helikoptertransporter som Àr av större vikt för genomföran- det av polisiÀra insatser; bedriva militÀr luftfart; kunna bedriva inter- nationell militÀr
För att upprÀtthÄlla och utveckla ett militÀrt försvar krÀvs utveck- ling av teknik och metodik. Enligt 5 f § instruktionen för Försvars- makten ska Försvarsmakten bl.a. bedriva egna studier och försök för inriktning och utveckling av det militÀra försvaret. Som ett exempel pÄ nÀr Försvarsmakten har behov av att bedriva dessa studier och försök kan nÀmnas regeringens uppdrag till Försvarsmakten att, med stöd av Försvarets radioanstalt, analysera och utveckla förmÄga att genomföra aktiva operationer i cybermiljön för ett förstÀrkt cyber- försvar (Försvarsmaktens regleringsbrev för 2018).
Försvarsmakten ansvarar Àven jÀmte SÀkerhetspolisen för den huvudsakliga tillsynen av sÀkerhetsskyddet i Sverige. Fördelningen myndigheterna emellan innebÀr att SÀkerhetspolisen utövar tillsyn över myndigheter pÄ det civila omrÄdet och Försvarsmakten över myndig- heter som hör till Försvarsdepartementet samt Försvarshögskolan och Fortifikationsverket (39 § sÀkerhetsskyddsförordningen [1996:633]). Sammantaget innebÀr regleringen i sÀkerhetsskyddsförordningen att Försvarsmakten och SÀkerhetspolisen har rÀtt att utöva tillsyn i alla slag av verksamheter som sÀkerhetsskyddslagen (1996:627) gÀller för, med undantag för Regeringskansliet, riksdagen och dess myndigheter och Justiekanslern. Till dessa verksamheter ska i stÀllet SÀkerhets- polisen pÄ begÀran lÀmna rÄd (47 § sÀkerhetsskyddsförordningen).
HÀr kan anmÀrkas att regeringen har föreslagit en ny sÀkerhets- skyddslag (prop. 2017/18:89). Den nya lagen föreslÄs trÀda i kraft den 1 april 2019.
Försvarsmakten har vidare vissa andra arbetsuppgifter som rör Sveriges försvar och sÀkerhet och som anges i lag eller förordning. Nedan ges ett antal exempel pÄ sÄdana uppgifter.
90
SOU 2018:63 |
Försvarsmaktens och Försvarets radioanstalts uppgifter |
1.Enligt förfogandelagen (1978:262) fÄr Försvarsmakten under vissa omstÀndigheter besluta att ta i ansprÄk egendom eller tjÀnster.
2.För att utreda och bedöma en totalförsvarspliktigs förutsÀttningar att fullgöra vÀrnplikt kan Försvarsmakten genomföra annan utred- ning enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt (3 kap. 5 § andra stycket förordningen [1995:238] om totalförsvarsplikt).
3.I lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekÀmpning finns bestÀmmelser om Försvarsmaktens stöd till Polismyndigheten och SÀkerhetspolisen vid terrorism- bekÀmpning i form av insatser som kan innebÀra anvÀndning av vÄld eller tvÄng mot enskilda.
4.Försvarsmakten Àr enligt 4 § instruktionen för Försvarsmakten beslutsmyndighet enligt lagen (2006:939) om kvalificerade skydds- identiteter i fall som avses i 2 § 3 den lagen.
5.Enligt förordningen (1982:314) om utnyttjande av Kustbevak- ningen inom Försvarsmakten ska personal ur Kustbevakningen inom Försvarsmakten anvÀndas för övervakning, transporter och andra uppgifter enligt nÀrmare överenskommelse mellan myndig- heterna.
6.Enligt förordningen (1992:391) om uttagning av egendom för totalförsvarets behov ska Försvarsmakten föra ett register över uttagen egendom och egendomens Àgare.
7.Enligt förordningen om Sveriges försvarsattachéer (FFS 1985:20) ska en försvarsattaché, i det land eller de lÀnder som han eller hon svarar för, följa och bedöma den militÀrpolitiska utvecklingen och utvecklingen i övrigt inom det totala försvaret, hÄlla sig under- rÀttad om den sÀkerhetspolitiska utvecklingen samt i övrigt full- göra uppgifter enligt Försvarsmaktens bestÀmmande.
Internationella samarbeten
Svensk sÀkerhet Àr beroende av internationella samarbeten och Sverige Àr en aktiv medlem i FN och EU. Sverige ingÄr ocksÄ i ett partner- skap med Nato och bedriver bi- och multilaterala samarbeten pÄ försvarsomrÄdet med de nordiska och baltiska lÀnderna, liksom med andra lÀnder, t.ex. Storbritannien, Tyskland och USA.
91
Försvarsmaktens och Försvarets radioanstalts uppgifter |
SOU 2018:63 |
Sverige utvecklar ett sÀrskilt fördjupat försvarssamarbete med Finland. Som ett utslag av detta kan nÀmnas att det i SOU 2018:31 föreslÄs en lag om operativt militÀrt stöd mellan Sverige och Finland. Lagen syftar till att möjliggöra ett snabbare beslutsfattande om att, efter begÀran frÄn Finland, sÀtta in svenska vÀpnade styrkor för att stödja Finland med att hindra krÀnkningar av finskt territorium, samt att begÀra stöd frÄn Finland i form av militÀra styrkor för att möta ett vÀpnat angrepp mot Sverige eller för att hindra krÀnkningar av svenskt territorium. BetÀnkandet bereds i Regeringskansliet.
Försvarsmakten deltar i de internationella samarbeten Sverige har pÄ försvarsomrÄdet, liksom i internationella fredsfrÀmjande och humanitÀra insatser. Försvarsmakten bidrar ocksÄ till ett förstÀrkt underrÀttelsesamarbete inom ramen för EU:s gemensamma utrikes- och sÀkerhetspolitik och EU:s krishanteringsförmÄga. MÄlsÀttningen för det internationella försvarssamarbetet Àr att effektivare anvÀnda resurser och öka den operativa förmÄgan för det svenska försvaret. Den svenska försvarsförmÄgan syftar ytterst till försvar av det egna territoriet men ska ocksÄ betraktas som en del i en gemenskap för stabilitet och sÀkerhet i Europa.
3.2Försvarets radioanstalts uppgifter
Försvarets radioanstalts uppgifter framgÄr av förordningen (2007:937) med instruktion för Försvarets radioanstalt. Av förordningen fram- gÄr bl.a. att Försvarets radioanstalt har till uppgift att bedriva signal- spaning enligt lagen (2008:717) om signalspaning i försvarsunder- rÀttelseverksamhet och anslutande förordning (1 §).
Försvarets radioanstalt ska enligt 2 § förordningen med instruk- tion för Försvarets radioanstalt sÀrskilt
1.följa förÀndringen av signalmiljön i omvÀrlden, den tekniska ut- vecklingen och signalskyddet,
2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten, och
3.utföra matematiska bedömningar av kryptosystem för totalför- svaret.
92
SOU 2018:63 |
Försvarsmaktens och Försvarets radioanstalts uppgifter |
Enligt samma förordning ska Försvarets radioanstalt dÀrutöver upp- rÀtthÄlla kompetensen för de nationella behoven i frÄga om krypto- logi (2 a §) samt bitrÀda andra myndigheter vid vÀrdering, utveck- ling, anskaffning och drift av signalspaningssystem (3 §).
Försvarets radioanstalt ska ocksÄ stödja Försvarsmakten genom att utveckla metodik och utbilda personal inom signalspanings- omrÄdet (3 a §), stödja Försvarsmaktens deltagande i internationella insatser med kompetens, personal och materiel (3 b §), vidmakthÄlla och utveckla signalreferensbibliotek för Försvarsmaktens behov (3 c §).
PÄ uppdrag av Försvarets materielverk ska Försvarets radioanstalt utföra prov och utveckling inom teleteknikomrÄdet (3 d §).
Försvarets radioanstalt ska ha hög teknisk kompetens inom informationssÀkerhetsomrÄdet och fÄr efter begÀran stödja sÄdana statliga myndigheter och statligt Àgda bolag som hanterar informa- tion som bedöms vara kÀnslig frÄn sÄrbarhetssynpunkt eller i ett sÀkerhets- eller försvarspolitiskt avseende. Försvarets radioanstalt ska sÀrskilt kunna stödja insatser vid nationella kriser med
Av Försvarets radioanstalts regleringsbrev för 2018 framgÄr att myndigheten ska fortsatt utveckla och pÄ begÀran kunna placera ut tekniska detekterings- och varningssystem (TDV) vid de mest skydds- vÀrda verksamheterna bland statliga myndigheter och statligt Àgda bolag, som hanterar information som bedöms vara kÀnslig frÄn sÄr- barhetssynpunkt eller i ett sÀkerhets- eller försvarspolitiskt avseende.
Av regleringsbrevet för 2018 framgÄr vidare att myndigheten ska stödja Försvarsmakten i dess uppdrag att fortsÀtta analysera och ut- veckla förmÄga att genomföra aktiva operationer i cybermiljön för ett förstÀrkt cyberförsvar.
93
Försvarsmaktens och Försvarets radioanstalts uppgifter |
SOU 2018:63 |
3.3FörsvarsunderrÀttelseverksamhet
FörsvarsunderrÀttelseverksamhet bedrivs enligt sÀrskild reglering i bl.a. lagen (2000:130) och förordningen (2000:131) om försvarsunderrÀttel- severksamhet, samt i lagen (2008:717) och förordningen (2008:923) om signalspaning i försvarsunderrÀttelseverksamhet.
Av lagen om försvarsunderrÀttelseverksamhet framgÄr att försvars- underrÀttelseverksamhet ska bedrivas till stöd för svensk
AvgrÀnsningen till utlÀndska förhÄllanden innebÀr att försvars- underrÀttelseverksamheten typiskt sett ska inhÀmta, bearbeta, ana- lysera och delge sÄdan information om företeelser och förhÄllanden i andra lÀnder som ger svenska beslutsfattare ett förbÀttrat underlag för beslut och bedömningar i
Enligt 2 § förordningen om försvarsunderrÀttelseverksamhet ska försvarsunderrÀttelseverksamhet bedrivas av Försvarsmakten, För- svarets radioanstalt, Försvarets materielverk och Totalförsvarets forskningsinstitut.
FörsvarsunderrÀttelseverksamheten ska fullgöras genom inhÀmt- ning (teknisk och personbaserad), bearbetning och analys av infor- mation samt rapportering till berörda myndigheter (2 § lagen om försvarsunderrÀttelseverksamhet). Lagen hÀnvisar till att det i lagen
94
SOU 2018:63 |
Försvarsmaktens och Försvarets radioanstalts uppgifter |
(2008:717) om signalspaning i försvarsunderrÀttelseverksamhet finns vissa bestÀmmelser om teknisk inhÀmtning.
De myndigheter som bedriver försvarsunderrÀttelseverksamhet fÄr inte vidta ÄtgÀrder som syftar till att lösa uppgifter som enligt lagar eller andra föreskrifter ligger inom ramen för Polismyndighetens, SÀkerhetspolisens och andra myndigheters brottsbekÀmpande och brottsförebyggande verksamheter. Om det inte finns hinder enligt andra bestÀmmelser, fÄr de myndigheter som bedriver försvarsunder- rÀttelseverksamhet emellertid lÀmna stöd till andra myndigheters brottsbekÀmpande och brottsförebyggande verksamhet (4 § lagen om försvarsunderrÀttelseverksamhet). FörsvarsunderrÀttelseverksamhet som bestÄr i att genom tekniska metoder, sÄsom signalspaning, in- hÀmta kommunikation anses inte utgöra en sÄdan ÄtgÀrd som avses i 4 §. SÄdan verksamhet bedrivs nÀmligen inte pÄ sÄdant sÀtt att den kan störa andra myndigheters verksamhet, och den syftar inte heller till att lösa en föreskriven uppgift för brottsbekÀmpande och brotts- förebyggande verksamhet (jfr prop. 2006/07:63 s. 48).
Enligt 3 § lagen om försvarsunderrÀttelseverksamhet fÄr de myndig- heter som ska bedriva försvarsunderrÀttelseverksamhet, etablera och upprÀtthÄlla samarbete i underrÀttelsefrÄgor med andra lÀnder och inte- rnationella organisationer. Enligt 3 § förordningen om försvarsunder- rÀttelseverksamhet fÄr samarbetet ske endast under förutsÀttning att syftet med samarbetet Àr att tjÀna den svenska statsledningen och det svenska totalförsvaret. Det anges vidare att de uppgifter som myn- digheterna lÀmnar till andra lÀnder och internationella organisationer inte fÄr vara till skada för svenska intressen. I den efterföljande para- grafen föreskrivs att myndigheterna ska anmÀla frÄgor om att etablera och upprÀtthÄlla samarbetet och om viktiga frÄgor som uppkommer i samarbetet till Regeringskansliet (Försvarsdepartementet).
Exempel pÄ vad som utgör försvarsunderrÀttelseverksamhet Àr sÀkerhetspolitiska och militÀrstrategiska bedömningar, analyser av pÄgÄende och framtida konflikter, internationella terroristgrupper, cyberhot, massförstörelsevapen samt biografiska underrÀttelser som avser utlÀndsk militÀr personal eller andra viktiga befattningshavare.
FörsvarsunderrÀttelseverksamheten gÄr ut pÄ att inom ramen för gÀllande inriktningar frÄn uppdragsgivare upptÀcka pÄ förhand okÀnda företeelser och uppgifter av relevans för dessa. Det kan exempelvis röra sig om uppgifter om nya hot mot svenska sÀkerhetsintressen, samhÀllsviktiga funktioner, eller mot svensk hemlig information
95
Försvarsmaktens och Försvarets radioanstalts uppgifter |
SOU 2018:63 |
som inte fÄr hamna hos frÀmmande makt. Verksamheten innebÀr Àven att kartlÀgga redan kÀnda företeelser och följa förÀndringar i dessa för att tidigt fÄ kunskap om aktörers nya ambitioner, avsikter och för- mÄgor.
FörsvarsunderrÀttelseverksamhet Àr ocksÄ ett centralt verktyg vid kartlÀggning i efterhand av hÀndelser som oförutsett intrÀffat, i syfte att finna förklaringar till det intrÀffade samt för att kartlÀgga even- tuella Ànnu inte identifierade inslag i en intrÀffad hÀndelse. Genom sÄdan uppföljning kan ytterligare underrÀttelseinformation produ- ceras som ger dels bÀttre förstÄelse för orsakerna bakom det in- trÀffade, dels kompletterande information om inslag som Ànnu inte identifierats, t.ex. kvarvarande oupptÀckta hot.
3.3.1Försvarsmaktens underrÀttelseverksamhet och militÀra sÀkerhetstjÀnst
Den underrÀttelseverksamhet som bedrivs inom Försvarsmakten kan i rÀttsligt hÀnseende i huvudsak hÀnföras till försvarsunderrÀttelse- verksamhet, militÀr sÀkerhetsunderrÀttelsetjÀnst och övrig militÀr underrÀttelseverksamhet. Den militÀra sÀkerhetstjÀnsten inbegriper, förutom sÀkerhetsunderrÀttelsetjÀnst, sÀkerhetsskydd och signalskydd.
3.3.2Försvarsmaktens försvarsunderrÀttelseverksamhet
Av Försvarsmaktens arbetsordning framgÄr att det Àr chefen för den militÀra underrÀttelse- och sÀkerhetstjÀnsten (Must) som ska planera, leda, genomföra och följa upp försvarsunderrÀttelseverksamheten inom Försvarsmakten (11 kap. 1 § Försvarsmaktens föreskrifter med arbetsordning för Försvarsmakten, FFS 2016:2).
Av lagstiftningen följer att försvarsunderrÀttelseverksamhet ska följa regeringens inriktning och Försvarsmaktens samt ett antal andra myndigheters nÀrmare inriktning. Dessa inriktningar Àr hemliga.
Rapportering sker kontinuerligt i form av föredragningar, dialo- ger och skriftliga rapporter.
För att lösa sina uppgifter har Must ett antal egna kÀllor och möj- ligheten att ha samarbeten med utlÀndska myndigheter och inter- nationella organisationer. Must fÄr Àven information frÄn bland andra
96
SOU 2018:63 |
Försvarsmaktens och Försvarets radioanstalts uppgifter |
SÀkerhetspolisen och Försvarets radioanstalt inom ramen för gÀllande regelverk.
3.3.3Försvarsmaktens militÀra sÀkerhetstjÀnst
Av 3 b § instruktionen för Försvarsmakten framgÄr att Försvars- makten sÀrskilt ska leda och bedriva militÀr sÀkerhetstjÀnst. I sÀker- hetsskyddslagen (1996:627) finns bestÀmmelser om sÀkerhetsskydd. Med sÀkerhetsskydd avses enligt 6 § sÀkerhetsskyddslagen dels skydd mot spioneri, sabotage och andra brott som kan hota rikets sÀkerhet, dels skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets sÀker- het. Vidare avses med sÀkerhetsskydd Àven skydd mot terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott, Àven om brotten inte hotar rikets sÀkerhet.
Den militÀra sÀkerhetstjÀnstens uppgift Àr att skydda de sÀker- hetsintressen som berör Försvarsmakten och dess tillsynsomrÄde enligt sÀkerhetsskyddslagstiftningen. Den militÀra sÀkerhetstjÀnsten ska samverka med SÀkerhetspolisen och Polismyndigheten. Den militÀra sÀkerhetstjÀnsten ska ocksÄ samverka med Myndigheten för samhÀllsskydd och beredskap och andra myndigheter rörande sÀker- hetsintressen som berör totalförsvaret.
SÀkerhetsintressena omfattar, eller kan hÀnföras till personal, materiel, information, anlÀggningar och verksamhet. Med begreppet militÀr sÀkerhetstjÀnst avses sÄvÀl verksamheten som dess organisa- tion. Den militÀra sÀkerhetstjÀnsten bestÄr av sÀkerhetsunderrÀt- telsetjÀnst, sÀkerhetsskyddstjÀnst och signalskyddstjÀnst. Den kan riktas mot hela eller delar av Försvarsmakten, viss funktion eller verksamhet och förband samt verksamhet inom Försvarsmaktens in- tresseomrÄde, t.ex. försvarsindustri (se prop. 2006/07:46 s. 25).
SÀkerhetsunderrÀttelsetjÀnsten har till uppgift att klarlÀgga och ana- lysera den sÀkerhetshotande verksamhetens mÄl, medel och metoder. SÀkerhetshotande verksamhet mot Sverige eller mot insatta förband och insatser i andra lÀnder kan förekomma i form av frÀmmande under- rÀttelseverksamhet, sabotage, subversiv verksamhet, terrorism och kriminalitet. SÀkerhetsunderrÀttelsetjÀnst bedrivs genom planlÀggning, inhÀmtning, bearbetning och analys samt delgivning av sÀkerhets- underrÀttelser.
97
Försvarsmaktens och Försvarets radioanstalts uppgifter |
SOU 2018:63 |
SÀkerhetsskyddstjÀnstens uppgift Àr att ta fram ÄtgÀrder som syftar till att hindra eller försvÄra sÀkerhetshotande verksamhet sÄsom exempelvis obehörigt röjande av hemliga uppgifter som rör Sveriges sÀkerhet, sabotage, stöld och terrorism. SÀkerhetsskyddstjÀnsten ska, utifrÄn hotbild och sÀkerhetshotande verksamhet, ge sÀkerhetsin- tressena relevant skydd i form av informationssÀkerhet, tilltrÀdes- begrÀnsning och sÀkerhetsprövning.
SignalskyddstjÀnsten syftar till att förhindra obehörig insyn i och pÄverkan av telekommunikations- och
En del av signalskyddstjÀnsten Àr kontroll av signalskyddet i tele- kommunikations- och
SÀkerhetsskyddstjÀnsten och signalskyddstjÀnsten syftar gemen- samt till att förebygga, förhindra och motverka sÀkerhetshotande verksamhet. Tillsyn, utbildning, uppföljning och kontroll Àr nöd- vÀndiga bestÄndsdelar för att uppnÄ ett fullgott sÀkerhetsskydd.
Chefen för militÀra underrÀttelse- och sÀkerhetstjÀnsten ansvarar för Försvarsmaktens tillsyn vad avser sÀkerhetsskyddet vid Fortifi- kationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet (11 kap. 12 § första stycket 6 Försvarsmaktens föreskrifter med arbetsordning för Försvarsmakten, FFS 2016:2).
3.3.4Ăvrig militĂ€r underrĂ€ttelseverksamhet
Ăvrig militĂ€r underrĂ€ttelseverksamhet utgörs av den underrĂ€ttelse- tjĂ€nst som Försvarsmakten genomför för att kunna lösa Försvars- maktens militĂ€ra uppgifter sĂ„som dessa uppgifter framtrĂ€der exem- pelvis i Försvarsmaktens instruktion, regleringsbrev eller sĂ€rskilda regeringsbeslut och som inte utgör försvarsunderrĂ€ttelseverksamhet eller militĂ€r sĂ€kerhetstjĂ€nst. Denna underrĂ€ttelseverksamhet syftar frĂ€mst till i att skapa en lĂ€gesbild och ge beslutsunderlag för militĂ€ra chefer.
98
SOU 2018:63 |
Försvarsmaktens och Försvarets radioanstalts uppgifter |
Must bedriver t.ex. militĂ€r underrĂ€ttelsetjĂ€nst till stöd för Ăver- befĂ€lhavaren (ĂB), i enlighet med dennes inriktning. Uppgifterna till Must omfattar stöd med bedömningar för ĂB:s lĂ„ngsiktiga utveck- ling av Försvarsmaktens förmĂ„gor och förband, försvarsplanlĂ€ggning, ledning, planering och genomförande av militĂ€ra insatser i nĂ€r- omrĂ„det och i de internationella insatsomrĂ„dena. Must Ă€r Ă„lagd att kontinuerligt följa den militĂ€ra utvecklingen och verksamheten i nĂ€romrĂ„det.
3.3.5Försvarets radioanstalts signalspaning
i försvarsunderrÀttelse- och utvecklingsverksamhet
Signalspaning, inhÀmtning av signaler i elektronisk form, Àr en in- hÀmtningsmetod i försvarsunderrÀttelseverksamheten som regleras i lagen om signalspaning i försvarsunderrÀttelseverksamhet. Inrikt- ning av signalspaning fÄr endast anges av regeringen, Regeringskansliet, Försvarsmakten, SÀkerhetspolisen och Nationella operativa avdel- ningen vid Polismyndigheten (4 §).
Av 1 § lagen om signalspaning i försvarsunderrÀttelseverksamhet följer att signalspaning endast fÄr avse utlÀndska förhÄllanden och ske i syfte att kartlÀgga vissa i lagen sÀrskilt upprÀknade företeelser:
1.yttre militÀra hot mot landet,
2.förutsÀttningar för svenskt deltagande i fredsfrÀmjande och humanitÀra internationella insatser eller hot mot sÀkerheten för svenska intressen vid genomförandet av sÄdana insatser,
3.strategiska förhÄllanden avseende internationell terrorism och annan grov grÀnsöverskridande brottslighet som kan hota vÀsent- liga nationella intressen,
4.utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av pro- dukter med dubbla anvÀndningsomrÄden och av tekniskt bistÄnd,
5.allvarliga yttre hot mot samhÀllets infrastrukturer,
6.konflikter utomlands med konsekvenser för internationell sÀkerhet,
7.frÀmmande underrÀttelseverksamhet mot svenska intressen, eller
99
Försvarsmaktens och Försvarets radioanstalts uppgifter |
SOU 2018:63 |
8.frÀmmande makts agerande eller avsikter av vÀsentlig betydelse för svensk
Försvarets radioanstalt ska ansöka om tillstÄnd hos Försvarsunder- rÀttelsedomstolen för den signalspaning som fÄr utföras enligt lagen (4 a §), varefter domstolen meddelar tillstÄnd om vissa krav Àr upp- fyllda, bl.a. att syftet med inhÀmtningen inte kan tillgodoses pÄ ett mindre ingripande sÀtt och uppdraget berÀknas ge information vars vÀrde Àr klart större Àn det integritetsintrÄng som inhÀmtning i enlighet med ansökan kan innebÀra (5 §).
Signalspaning i försvarsunderrÀttelseverksamhet syftar alltid till att rapportera underrÀttelser som ger ett kompletterande mervÀrde för uppdragsgivarna utöver den rapportering och det öppna infor- mationsflöde som de i övrigt kan ta del av. Det sker genom att Försvarets radioanstalt inhÀmtar information som Àr relevant för att tillgodose de underrÀttelsebehov som regeringen och andra upp- dragsgivare uttryckt i en inriktning.
Det Àr normalt sett informationen, inte den kÀlla som för stunden hanterar eller förmedlar information, som Àr det centrala. Inom vissa underrÀttelseomrÄden, t.ex. frÀmmande underrÀttelseverksamhet och terrorism, kan dock enskilda kÀllor vara centrala om de i sig kan ut- göra ett hot mot Sverige och svenska intressen.
Signalspaningen Àr en viktig del av Sveriges försvarsunderrÀttelse- verksamhet och bidrar till att ge regeringen underlag för en sjÀlvstÀn- dig svensk
All signalspaning vid Försvarets radioanstalt sker inom ramen för givna inriktningar. De enskilda, i varje givet ögonblick, mest ange- lÀgna konkreta underrÀttelsefrÄgorna kan ofta inte stÀllas i förvÀg dÄ de Ànnu inte Àr kÀnda. OmvÀrlden förÀndras fortlöpande och dÀrmed de konkreta underrÀttelsebehoven. Av detta följer att Försvarets radioanstalt behöver vara vÀl förberedd pÄ nya frÄgestÀllningar genom att stÀndigt utveckla förmÄgor att hitta och identifiera nya relevanta kÀllor till information.
Den information som Försvarets radioanstalt strÀvar efter att finna och rapportera, i syfte att tillgodose uttryckta underrÀttelse- behov, Àr ofta konfidentiell och sÄledes skyddsvÀrd för den kÀlla som
100
SOU 2018:63 |
Försvarsmaktens och Försvarets radioanstalts uppgifter |
hanterar informationen. Informationen Àr dÀrför ofta försedd med nÄgon form av Ätkomstskydd för att förhindra obehörig Ätkomst. För att framgÄngsrikt bedriva försvarsunderrÀttelse- och utveck- lingsverksamhet krÀvs dÀrför aktuell och ingÄende kunskap dels om hur signaler förmedlas och hanteras i elektronisk form, dels om de mekanismer som anvÀnds för att skydda informationen.
För att kunna tillgodose uppdragsgivarnas underrÀttelsebehov behöver Försvarets radioanstalt ingÄende kunskap om signalmiljön för att pÄ ett effektivt sÀtt kunna rikta inhÀmtningskapacitet mot rÀtt delar av signalmiljön samt för att kunna urskilja, extrahera och tyda den relevanta informationen. För detta krÀvs omfattande expertkun- skaper om sÄvÀl signalmiljöns struktur som dess anvÀndning. För- svarets radioanstalt bedriver dÀrför en utvecklingsverksamhet för att etablera och upprÀtthÄlla en tillrÀckligt god förstÄelse av signal- miljön, samt tillrÀckligt god förmÄga att kunna bedriva inhÀmtning, bearbetning och analys av den information som förekommer i signal- miljön. Om det Àr nödvÀndigt för försvarsunderrÀttelseverksamheten fÄr enligt 1 § tredje stycket lagen om signalspaning i försvarsunder- rÀttelseverksamhet signaler i elektronisk form Àven inhÀmtas vid signalspaning för att följa förÀndringar i signalmiljön i omvÀrlden, den tekniska utvecklingen och signalskyddet samt för att fortlöpande utveckla den teknik och metodik som behövs för att bedriva verk- samheten.
Utvecklingsverksamheten har sÄledes inte nÄgot sjÀlvstÀndigt existensberÀttigande, utan syftar enbart till att etablera och vidmakt- hÄlla fortsatt förmÄga som Àr nödvÀndig för försvarsunderrÀttelse- verksamheten.
3.3.6Försvarets radioanstalts informationssÀkerhetsverksamhet
Som beskrivits i avsnitt 3.2 har Försvarets radioanstalt ett sÀrskilt uppdrag att lÀmna stöd sÄ att informationssÀkerheten kan upprÀtt- hÄllas vid de mest skyddsvÀrda verksamheterna i Sverige. Försvarets radioanstalt har Àven till uppgift enligt 17 § förordningen (2015:1053) om totalförsvar och höjd beredskap att tilldela sÀkra kryptografiska funktioner till ett antal civila myndigheter och organisationer.
101
Försvarsmaktens och Försvarets radioanstalts uppgifter |
SOU 2018:63 |
Försvarets radioanstalt möjlighet att hantera de allvarligaste it- angreppen mot de mest skyddsvÀrda verksamheterna krÀver en för- mÄga att upptÀcka dessa samt att kartlÀgga bakomliggande aktörer. Signalspaning har en avgörande betydelse för att Försvarets radio- anstalt ska kunna förse uppdragsgivare med unika underrÀttelser kring
Ett tydligt exempel pÄ detta ömsesidiga utbyte av information Àr det tekniska detekterings- och varningssystem (TDV) som Försva- rets radioanstalt tagit fram pÄ uppdrag av regeringen. TDV erbjuds de mest skyddsvÀrda verksamheter som redan har uppnÄtt en egen god informationssÀkerhet, ofta med stöd av Försvarets radioanstalt. Genom signaturer frÄn signalspaning upptÀcker systemet avancerade angrepp som kommersiella antivirusprogram inte kan hitta. Sam- tidigt kan det Äterkommande stöd som Försvarets radioanstalt ger de mest skyddsvÀrda verksamheterna, ge signalspaningen ny kunskap om tidigare okÀnda angreppsmetoder, tillvÀgagÄngssÀtt eller aktörer. Genom att tillvarata synergierna mellan försvarsunderrÀttelse- och in- formationssÀkerhetsverksamheten skapas sÄledes viktiga mervÀrden.
102
4 GÀllande rÀtt
4.1Internationella överenskommelser
4.1.1Förenta nationerna
Förenta nationernas (FN) allmĂ€nna förklaring om de mĂ€nskliga rĂ€ttig- heterna antogs Ă„r 1948 av FN:s generalförsamling. Förklaringen om- fattar politiska, medborgerliga, sociala, ekonomiska och kulturella rĂ€ttigheter. Ăven om den allmĂ€nna förklaringen inte Ă€r bindande för medlemsstaterna ses den som ett uttryck för den internationella opinionens krav. Skyddet för den personliga integriteten behandlas i artikel 12. DĂ€r anges att ingen fĂ„r utsĂ€ttas för godtyckligt ingri- pande i frĂ„ga om privatliv, familj, hem eller korrespondens och inte heller för angrepp pĂ„ sin heder eller sitt anseende. Var och en har rĂ€tt till lagens skydd mot sĂ„dana ingripanden och angrepp. Vidare anges i artikel 29 att en person endast fĂ„r underkastas sĂ„dana inskrĂ€nk- ningar som har faststĂ€llts i lag och enbart i syfte att trygga tillbörlig hĂ€nsyn till och respekt för andras fri- och rĂ€ttigheter samt för att tillgodose ett demokratiskt samhĂ€lles berĂ€ttigade krav pĂ„ moral, all- mĂ€n ordning och allmĂ€n vĂ€lfĂ€rd. FN har ocksĂ„ antagit den inter- nationella konventionen om medborgerliga och politiska rĂ€ttigheter som trĂ€dde i kraft Ă„r 1976, till vilken Sverige Ă€r ansluten. Skyddet för den personliga integriteten regleras i artikel 17 i konventionen, vilken till sitt innehĂ„ll Ă€r likvĂ€rdig med ovan nĂ€mnda artikel 12 i den all- mĂ€nna förklaringen. KommittĂ©n för de mĂ€nskliga rĂ€ttigheterna har inrĂ€ttats för att övervaka att medlemsstaterna efterlever sina skyldig- heter enligt konventionen. I sammanhanget bör ocksĂ„ nĂ€mnas att FN:s generalförsamling Ă„r 1990 antog riktlinjer om datoriserade register med personuppgifter. Enligt riktlinjerna fĂ„r medlemsstaterna i den nationella lagstiftningen avseende datoriserade register med person- uppgifter inte samla in eller behandla personuppgifter pĂ„ ett olagligt sĂ€tt eller anvĂ€nda uppgifterna för syften som stĂ„r i strid med FN:s
103
GÀllande rÀtt |
SOU 2018:63 |
stadga. ĂndamĂ„let med ett register ska vara specificerat, berĂ€ttigat och pĂ„ nĂ„got sĂ€tt uttryckligt angivet för den som berörs. Detta för att försĂ€kra att alla personuppgifter som samlas in och behandlas Ă€r relevanta och adekvata för det angivna Ă€ndamĂ„let, att uppgifterna inte anvĂ€nds i strid med Ă€ndamĂ„let och att uppgifterna inte bevaras lĂ€ngre Ă€n som krĂ€vs för att uppfylla det angivna Ă€ndamĂ„let.
4.1.2OECD
Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat riktlinjer angÄende integritetsskyddet och flödet av per- sonuppgifter över grÀnserna. Riktlinjerna antogs Är 1980 av OECD:s rÄd samtidigt som en rekommendation till medlemslÀndernas reger- ingar om att beakta riktlinjerna i nationell lagstiftning. Sverige har godtagit rekommendationerna och dÀrmed Ätagit sig att följa rikt- linjerna. Riktlinjerna, som Àr att betrakta som minimiregler, mot- svarar i princip bestÀmmelserna i EuroparÄdets dataskyddskonven- tion och Àr tillÀmpliga pÄ personuppgifter inom bÄde den offentliga och den privata sektorn. Riktlinjerna gÀller sÄvÀl för uppgifter som lagras automatiskt som uppgifter som förs manuellt. Riktlinjerna innehÄller grundlÀggande principer till skydd för den personliga integriteten, bl.a. att personuppgifter ska vara relevanta för de Ànda- mÄl för vilka de ska anvÀndas. Vidare anges att personuppgifterna Àven ska vara riktiga och fullstÀndiga samt hÄllas aktuella. En annan grundlÀggande princip Àr att de ÀndamÄl för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.
4.2EuroparÀtt
4.2.1EuroparÄdet
Europakonventionen
De rÀttigheter som anges i FN:s allmÀnna förklaring om de mÀnsk- liga rÀttigheterna har utvecklats vidare i Europakonventionen.
Europakonventionen gÀller sedan den 1 januari 1995 som lag i Sverige (lagen [1994:1219] om den europeiska konventionen angÄende skydd för de mÀnskliga rÀttigheterna och grundlÀggande friheterna). Av 2 kap. 19 § regeringsformen framgÄr att lag eller annan föreskrift
104
SOU 2018:63 |
GÀllande rÀtt |
inte fĂ„r meddelas i strid med Sveriges Ă„taganden pĂ„ grund av kon- ventionen. Det Ă€r framför allt artikel 8 i konventionen som har bety- delse för skyddet av den personliga integriteten. Av artikeln framgĂ„r att var och en har rĂ€tt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet fĂ„r inte inskrĂ€nka denna rĂ€tt annat Ă€n med stöd av lag och om det i ett demokratiskt samhĂ€lle Ă€r nödvĂ€ndigt med hĂ€nsyn till statens sĂ€kerhet, den allmĂ€nna sĂ€kerheten, landets ekonomiska vĂ€lstĂ„nd, till förebyggande av oord- ning eller brott, till skydd för hĂ€lsa och moral eller för andra per- soners fri- och rĂ€ttigheter. TillĂ€mpningsomrĂ„det för artikeln omfat- tar behandling av personuppgifter om privatliv, familjeliv, hem eller korrespondens. Artikeln innebĂ€r att staten ska avhĂ„lla sig frĂ„n in- grepp i den skyddade rĂ€ttigheten men ocksĂ„ en skyldighet för staten att vidta Ă„tgĂ€rder för att skydda den enskildes privata sfĂ€r (Danelius, H., MĂ€nskliga rĂ€ttigheter i europeisk praxis, 4 uppl., 2012, s. 347 f.). En inskrĂ€nkning i en konventionsskyddad rĂ€ttighet ska ha stöd i lag. Lagen ska vara sĂ„ preciserad att inskrĂ€nkningarna Ă€r förutsebara och att lagen Ă€r allmĂ€nt tillgĂ€nglig. Europadomstolen har i praxis slagit fast att intrĂ„nget ska vara nödvĂ€ndigt, dvs. det ska finnas ett âange- lĂ€get samhĂ€lleligt behovâ och inskrĂ€nkningen ska stĂ„ i rimlig pro- portion till det syfte som ska tillgodoses genom den.
EuroparÄdets dataskyddskonvention
De dataskyddsregler som antagits inom ramen för EuroparÄdet finns i första hand i EuroparÄdets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter1 (ETS 108), den s.k. dataskyddskonventionen. Konventionen, som trÀdde i kraft den 1 oktober 1985, kompletteras av ett antal av ministerkommittén an- tagna icke bindande rekommendationer om hur personuppgifter bör behandlas inom olika omrÄden. Dataskyddskonventionen gÀller för EuroparÄdets 47 medlemsstater, men Àven Mauritius, Senegal, Tunisien och Uruguay Àr parter till konventionen.
Konventionen brukar ses som en precisering av artikel 8 i Europa- konventionen och syftar till att sÀkerstÀlla respekten för grund- lÀggande fri- och rÀttigheter, sÀrskilt den enskildes rÀtt till personlig
1Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108).
105
GÀllande rÀtt |
SOU 2018:63 |
integritet i samband med automatiserad behandling av personupp- gifter (artikel 1). Konventionen tar sikte pĂ„ behandling av personupp- gifter i automatiserade personregister och automatiserad personupp- giftsbehandling i allmĂ€n och enskild verksamhet. Personuppgifterna ska enligt konventionen inhĂ€mtas och behandlas pĂ„ ett korrekt sĂ€tt och de ska vara relevanta med hĂ€nsyn till Ă€ndamĂ„let (artikel 5). Vissa kategorier av personuppgifter fĂ„r inte behandlas genom automati- serad databehandling om inte den nationella lagstiftningen ger ett Ă€ndamĂ„lsenligt skydd (âappropriate safeguardsâ). Till sĂ„dana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott (artikel 6).
Konventionen innehÄller Àven enskildas rÀtt att veta att informa- tion lagras om honom eller henne och rÀtten att vid behov fÄ den korrigerad (artikel 8). Restriktioner nÀr det gÀller rÀttigheterna i kon- ventionen Àr endast möjliga nÀr det handlar om ett överordnat intresse, sÄsom statens sÀkerhet eller försvar (artikel 9).
Enligt artikel 10 i dataskyddskonventionen, som Ă€ven omfattar personuppgiftsbehandling som rör nationell sĂ€kerhet, Ă„tar sig kon- ventionsstaterna att införa lĂ€mpliga sanktioner och rĂ€ttsmedel (âappro- priate sanctions and remediesâ) för övertrĂ€delser av sĂ„dana bestĂ€m- melser i den nationella lag genom vilka de grundlĂ€ggande principer för dataskydd som har angetts i konventionen har genomförts. Konven- tionen anger dock inte vilka krav som stĂ€lls pĂ„ sĂ„dana sanktioner.
EuroparÄdets ministerkommitté antog Är 2001 ett tillÀggsproto- koll till dataskyddskonventionen (ETS 181). Det innehÄller bestÀm- melser om tillsynsmyndigheter och överföring av personuppgifter till lÀnder som inte Àr bundna av konventionen. TillÀggsprotokollet trÀdde i kraft den 1 juli 2004. Av protokollet framgÄr bl.a. att varje konventionsstat ska se till att en eller flera myndigheter ansvarar för att kontrollera att de ÄtgÀrder respekteras som inom dess nationella lagstiftning ger verkan Ät de principer som anges i konventionen. TillÀggsprotokollet innehÄller vidare bestÀmmelser som anger att konventionsstaterna ska vidta ÄtgÀrder för att sÀkerstÀlla att över- föring av personuppgifter till ett land som inte Àr konventionspart fÄr ske bara om landet i frÄga sÀkerstÀller en adekvat skyddsnivÄ för uppgifterna.
Konventionens roll som grundlÀggande dokument för automati- serad behandling av personuppgifter inom EU har i princip över-
106
SOU 2018:63 |
GÀllande rÀtt |
tagits av EU:s reglering i form av direktiv och förordning. EU:s reg- lering omfattar emellertid inte behandling av personuppgifter inom omrÄden som allmÀn sÀkerhet, försvar och statens sÀkerhet (dvs. utan- för unionsrÀtten). PÄ dessa omrÄden Àr dataskyddskonventionen dÀrför fortfarande av betydelse.
EuroparĂ„det inledde Ă„r 2010 en översyn av konventionen och rekommendationerna. EuroparĂ„dets medlemsstater antog ett Ă€ndrings- protokoll den 18 maj 2018. Ăndringsprotokollet trĂ€der i kraft nĂ€r det har ratificerats av EuroparĂ„dets alla 47 medlemsstater. Ăndrings- protokollet kan ocksĂ„ trĂ€da i kraft om det har ratificerats av 38 med- lemsstater, men gĂ€ller följaktligen dĂ„ endast för de stater som har ratificerat protokollet.2
4.2.2Europeiska unionen
Stadgan
Av Europeiska unionens stadga om de grundlÀggande rÀttigheterna3 framgÄr att var och en har rÀtt till skydd av de personuppgifter som rör honom eller henne. SÄdana uppgifter ska behandlas lagenligt för bestÀmda ÀndamÄl och pÄ grundval av den berörda personens sam- tycke eller nÄgon annan legitim och lagenlig grund. Var och en har rÀtt att fÄ tillgÄng till insamlade uppgifter som rör honom eller henne och att fÄ rÀttelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs (artikel 8).
I artikel 52 i stadgan anges i vilken utstrÀckning inskrÀnkningar fÄr göras i de rÀttigheter som erkÀnns i stadgan. UtgÄngspunkten Àr att sÄdana inskrÀnkningar endast fÄr göras i lag och ska vara förenliga med det vÀsentliga innehÄllet i rÀttigheterna. BegrÀnsningar fÄr en- dast göras om de Àr nödvÀndiga och svarar mot ett allmÀnt samhÀlls- intresse som erkÀnns av unionen eller behovet av skydd för andra mÀnniskors rÀttigheter och friheter.
2Ăndringsprotokollet (Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), som antogs pĂ„ EuroparĂ„dets ministermöte i Helsingör, Danmark, finns tillgĂ€ngligt pĂ„ EuroparĂ„dets hemsida: www.coe.int
3Europeiska unionens stadga om de grundlÀggande fri- och rÀttigheterna (2010/C 83/02).
107
GÀllande rÀtt |
SOU 2018:63 |
1995 Ă„rs dataskyddsdirektiv
Den allmÀnna regleringen av personuppgiftsbehandling inom Euro- peiska unionen fanns till den 25 maj 2018 i 1995 Ärs dataskyddsdirek- tiv. Direktivet syftade till att garantera en hög och i alla medlems- stater likvÀrdig skyddsnivÄ nÀr det gÀller enskilda personers fri- och rÀttigheter med avseende pÄ behandling av personuppgifter och att frÀmja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet, som har genomförts i svensk rÀtt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning gÀllde inte för behandling av personuppgifter utanför unionsrÀtten, t.ex. allmÀn sÀkerhet, försvar, statens sÀkerhet och statens verksamhet pÄ straffrÀttens omrÄde. Personuppgiftslagen redogörs nÀrmare för i avsnitt 4.3.3.
EU:s dataskyddsreform
Europeiska kommissionen presenterade i januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en allmÀn dataskyddsförordning som ersÀtter 1995 Ärs dataskyddsdirektiv, dels ett nytt direktiv (2016 Ärs data- skyddsdirektiv) med sÀrregler för personuppgiftsbehandling i frÀmst den brottsbekÀmpande sektorn.
EU:s dataskyddsförordning och 2016 Ärs dataskyddsdirektiv Àr tvingande endast inom unionsrÀtten och innehÄller ocksÄ uttryckliga undantag för behandling av personuppgifter som sker inom verk- samhet som inte omfattas av unionsrÀtten.
4Lissabonfördraget artikel 6.
108
SOU 2018:63 |
GÀllande rÀtt |
EU:s dataskyddsförordning
AllmÀnt
Sedan den 25 maj 2018 utgör Europaparlamentets och rÄdets förord- ning (EU) 2016/679 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana upp- gifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskydds- förordning), hÀdanefter EU:s dataskyddsförordning eller dataskydds- förordningen, grunden för generell personuppgiftsbehandling inom EU. Det huvudsakliga syftet med dataskyddsförordningen Àr bl.a. att sÀkerstÀlla en enhetlig skyddsnivÄ över hela unionen och att und- vika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Dataskyddsförordningen Àr direkt tillÀmp- lig i alla EU:s medlemsstater men förutsÀtter och möjliggör samti- digt kompletterande och specificerande nationella bestÀmmelser av olika slag.
Behandling av personuppgifter som sker inom verksamhet som inte omfattas av
Dataskyddsförordningen reglerar bl.a. grundlÀggande principer för behandling av personuppgifter, den registrerades rÀttigheter, person- uppgiftsansvar, tillsyn över personuppgiftsbehandling och rÀtten för enskilda att fÄ tillgÄng till rÀttsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav. I förhÄllande till tidigare lag- stiftning stÀller dataskyddsförordningen högre krav pÄ de personupp- giftsansvariga genom bestÀmmelser om bl.a. utökad informationsskyl- dighet och möjlighet att besluta om administrativa sanktionsavgifter (artikel 83). Dessutom inrÀttas Europeiska dataskyddsstyrelsen med representanter frÄn samtliga
109
GÀllande rÀtt |
SOU 2018:63 |
I Sverige
Utöver dataskyddsförordningen gÀller sedan den 25 maj 2018 Àven lagen (2018:218) med kompletterande bestÀmmelser till EU:s data- skyddsförordning (dataskyddslagen). Samtidigt som denna lag trÀdde i kraft upphÀvdes personuppgiftslagen.
Enligt 1 kap. 2 § dataskyddslagen gÀller bestÀmmelserna i EU:s data- skyddsförordning och dataskyddslagen Àven vid behandling av person- uppgifter som utgör ett led i en verksamhet som inte omfattas av unions- rÀtten. Europeiska dataskyddsstyrelsen saknar emellertid behörighet inom detta utvidgade tillÀmpningsomrÄde (se prop. 2017/18:105 s. 184).
SÀrskilda undantag frÄn detta utvidgade tillÀmpningsomrÄde har gjorts för bl.a. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀker- hetstjÀnst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverk- samhet.
Enligt övergĂ„ngsbestĂ€mmelserna i dataskyddslagen ska personupp- giftslagen fortsĂ€tta att gĂ€lla i sĂ„dan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrĂ€tten. ĂvergĂ„ngsbestĂ€mmelserna gĂ€ller av förklarliga skĂ€l inte sĂ„dan personuppgiftsbehandling som om- fattas av Försvarsmaktens och Försvarets radioanstalts ovan nĂ€mnda sĂ€rlagstiftning.
2016 Ă„rs dataskyddsdirektiv
Europaparlamentets och rÄdets direktiv (EU) 2016/680 av den 27 april 20165 (2016 Ärs dataskyddsdirektiv) innehÄller sÀrregler för den personuppgiftsbehandling som behöriga myndigheter utför bl.a. i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott samt för att skydda mot, förebygga och förhindra hot mot den allmÀnna
5Europaparlamentets och rÄdets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkstÀlla straffrÀttsliga pÄ- följder, och det fria flödet av sÄdana uppgifter och om upphÀvande av rÄdets rambeslut 2008/977/RIF.
110
SOU 2018:63 |
GÀllande rÀtt |
sÀkerheten. Direktivet ersÀtter det gÀllande dataskyddsrambeslu- tet (2008/977/RIF)6 som reglerar utbyte av personuppgifter mellan medlemsstaterna inom denna sektor. Direktivets tillÀmpningsomrÄde omfattar, till skillnad frÄn rambeslutet, Àven rent nationell person- uppgiftsbehandling pÄ omrÄdet för brottsbekÀmpning, brottmÄls- hantering och straffverkstÀllighet.
EU:s nya dataskyddsdirektiv har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177) som trÀder i kraft den 1 augusti 2018. Syftet med lagen Àr bÄde att skydda fysiska personers grundlÀggande fri- och rÀttigheter och att sÀkerstÀlla att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra pÄ ett ÀndamÄlsenligt sÀtt. Lagen Àr, liksom tidigare personuppgifts- lagen, subsidiÀr i förhÄllande till annan lag eller förordning, vilket möj- liggör avvikande bestÀmmelser i s.k. registerförfattningar.
Brottsdatalagen reglerar inte SÀkerhetspolisens behandling av per- sonuppgifter som rör nationell sÀkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell sÀkerhet frÄn SÀker- hetspolisen. Utredningen om 2016 Ärs dataskyddsdirektiv har före- slagit att dessa omrÄden ska regleras sÀrskilt (SOU 2017:74). För- slaget bereds i Regeringskansliet.
Brottsdatalagen kan Àven bli tillÀmplig i vissa delar av Försvars- maktens verksamhet, t.ex. nÀr militÀrpolisen och militÀra skyddsvakter utför uppgifter med polismans befogenhet. Motsvarande kan gÀlla i samband med att Försvarsmakten lÀmnar stöd till polisen vid terror- ismbekÀmpning. Nu nÀmnda exempel kan dock ocksÄ komma att utföras inom ramen för Försvarsmaktens militÀra sÀkerhetstjÀnst. Av 4 § brottsdatalagen framgÄr dÀrför att lagen inte Àr tillÀmplig i sÄdan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst (se prop. 2017/18:232 s. 14 och 102 f.).
6RÄdets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrÀttsligt samarbete. Genomfört i svensk rÀtt huvudsakligen genom personuppgiftslagen (1998:204) med kompletterande bestÀmmel- ser i lag (2013:329) med vissa bestÀmmelser om skydd för personuppgifter vid polissamarbete och straffrÀttsligt samarbete inom Europeiska unionen (2013 Ärs lag).
111
GÀllande rÀtt |
SOU 2018:63 |
4.3Nationell reglering till skydd för den personliga integriteten
4.3.1RĂ€tten till personlig integritet
Svensk rÀtt saknar en allmÀngiltig definition av begreppet personlig integritet. NÄgon entydig definition finns inte heller i internationell rÀtt7.
Ett sÀtt att bestÀmma begreppet personlig integritet Àr att ange vilka handlingar som utgör krÀnkningar av densamma. Enligt denna modell, som anvÀnts i bl.a. prop. 2006/07:63, En anpassad försvars- underrÀttelseverksamhet (s. 61), kan krÀnkningarna delas in i tre huvudgrupper: 1) intrÄng i en persons privata sfÀr i fysisk eller annan mening, 2) insamlande av uppgifter om en persons privata förhÄl- landen och 3) offentliggörande eller annan anvÀndning (t.ex. som bevisning i rÀttegÄng) av uppgifter om en persons privata förhÄllan- den. Som konkreta exempel pÄ olika slag av krÀnkningar angavs intrÄng i en persons privata sfÀr genom bl.a. olovlig ljudupptagning, brytande av brevhemlighet, telefonavlyssning och utnyttjande av elektronisk avlyssningsapparatur.
Den personliga integriteten kan alltsĂ„ krĂ€nkas pĂ„ mĂ„nga olika sĂ€tt. Ăven om det inte finns nĂ„gon entydig definition av begreppet kan konstateras att krĂ€nkningarna innebĂ€r ett intrĂ„ng i en fredad sfĂ€r som den enskilde bör vara tillförsĂ€krad.
4.3.2Regeringsformen
Regeringsformen innehÄller grundlÀggande bestÀmmelser till skydd för den personliga integriteten. Enligt mÄlsÀttningsstadgandet i 1 kap. 2 § första stycket ska den offentliga makten utövas med respekt bl.a. för den enskilda mÀnniskans frihet och enligt fjÀrde stycket ska det allmÀnna vÀrna om den enskildes privat- och familjeliv. BestÀmmel- serna har dock inte nÄgon bindande verkan för det allmÀnna och kan följaktligen inte ligga till grund för nÄgra individuella rÀttigheter (prop. 1975/76:209 s. 128 och prop. 2009/10:80 s. 173). I 2 kap. reger- ingsformen finns bestÀmmelser som skyddar enskildas integritet i en vidare mening. Enligt 2 kap. 6 § andra stycket regeringsformen Àr var
7SOU 2016:65 s. 34, med vidare hÀnvisning till bl.a. Integritetsutredningen i SOU 2002:18 s. 52 f. och Integritetsskyddskommittén i SOU 2007:22 s. 53 f.
112
SOU 2018:63 |
GÀllande rÀtt |
och en â utöver vad som anges i första stycket i paragrafen om bl.a. pĂ„tvingade kroppsliga ingrepp â skyddad gentemot det allmĂ€nna mot betydande intrĂ„ng i den personliga integriteten, om det sker utan samtycke och innebĂ€r övervakning eller kartlĂ€ggning av den enskildes personliga förhĂ„llanden. Grundlagsskyddet omfattar enbart betydande intrĂ„ng. BestĂ€mmelsen infördes den 1 januari 2011 i syfte att stĂ€rka skyddet för den personliga integriteten. BegrĂ€nsning av skyddet fĂ„r enligt 2 kap. 20 § regeringsformen göras i lag. Det fĂ„r endast ske för att tillgodose Ă€ndamĂ„l som Ă€r godtagbara i ett demokratiskt sam- hĂ€lle. BegrĂ€nsningen fĂ„r inte gĂ„ utöver vad som Ă€r nödvĂ€ndigt med hĂ€nsyn till det Ă€ndamĂ„l som har föranlett den och inte heller strĂ€cka sig sĂ„ lĂ„ngt att den utgör ett hot mot den fria Ă„siktsbildningen. BegrĂ€nsningen fĂ„r inte heller göras enbart pĂ„ grund av politisk, religiös, kulturell eller annan sĂ„dan Ă„skĂ„dning (2 kap. 21 §).
I förarbetena till Ă€ndringen i 2 kap. 6 § framhĂ„lls att det Ă€r natur- ligt att det lĂ€ggs stor vikt vid uppgifternas karaktĂ€r vid bedömningen av hur ingripande intrĂ„nget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlĂ€m- nande av uppgifter om enskildas personliga förhĂ„llanden. Ju kĂ€nsligare uppgifterna Ă€r, desto mer ingripande anses det allmĂ€nnas hantering av uppgifterna normalt vara. Ăven hantering av ett fĂ„tal uppgifter kan med andra ord innebĂ€ra ett betydande intrĂ„ng i den personliga integriteten om uppgifterna Ă€r av mycket kĂ€nslig karaktĂ€r. Vid be- dömningen av intrĂ„ngets karaktĂ€r Ă€r det ocksĂ„ naturligt att stor vikt lĂ€ggs vid Ă€ndamĂ„let med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer kĂ€ns- lig Ă€n t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbĂ€ttringar av kvaliteten i handlĂ€ggningen. MĂ€ngden uppgifter kan ocksĂ„ vara en betydelsefull faktor i sammanhanget (prop. 2009/10:80 s. 183).
4.3.3Personuppgiftslagen
Personuppgiftslagen upphÀvdes i samband med dataskyddslagens ikrafttrÀdande. Enligt övergÄngsbestÀmmelse 2 till dataskyddslagen ska personuppgiftslagen bl.a. fortsÀtta att gÀlla i sÄdan verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte omfattas av unionsrÀtten. Den behandling av personuppgifter som omfattas
113
GÀllande rÀtt |
SOU 2018:63 |
av lagen om behandling av personuppgifter i Försvarsmaktens för- svarsunderrÀttelse- och militÀra sÀkerhetstjÀnst och lagen om behand- ling av personuppgifter i Försvarets radioanstalts försvarsunderrÀt- telse- och utvecklingsverksamhet Àr undantagen dataskyddslagen pÄ sÀtt som beskrivs nÀrmare i avsnitt 4.3.3. Mot denna bakgrund följer hÀr en redogörelse för personuppgiftslagens innehÄll.
Personuppgiftslagen innehÄller generella regler för all behandling av personuppgifter, dvs. enligt lagen all slags information som direkt eller indirekt kan hÀnföras till en fysisk person som Àr i livet. Begrep- pet behandling av personuppgifter omfattar i stort sett allt man kan göra med sÄdana uppgifter, t.ex. att samla in, söka, bevara eller sprida uppgifter (3 §).
Personuppgiftslagen tillÀmpas pÄ helt eller delvis automatiserad behandling av personuppgifter men Àr Àven tillÀmplig pÄ manuell behandling av personuppgifter som ingÄr, eller Àr avsedda att ingÄ, i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier (5 §).
Personuppgiftslagen uppstÀller vissa grundlÀggande krav för be- handling av personuppgifter; bl.a. laglig behandling, pÄ ett korrekt sÀtt och i enlighet med god sed (9 §). DÀrtill fÄr personuppgifter bara samlas in för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl. Det innebÀr att ÀndamÄlen med en behandling av personuppgifter mÄste bestÀmmas redan nÀr uppgifterna samlas in. Personuppgif- terna fÄr sedan inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det för vilket uppgifterna samlades in. Denna s.k. finalitetsprin- cip Àr av central betydelse vid behandling av personuppgifter och innebÀr att en prövning mÄste göras av om eventuella nya ÀndamÄl med behandlingen Àr oförenliga med de ursprungligt angivna Ànda- mÄlen.
Personuppgiftslagen förbjuder behandling av kÀnsliga personupp- gifter; uppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse, medlemskap i fackföre- ning och uppgifter som rör hÀlsa eller sexualliv. SÄdana uppgifter fÄr emellertid behandlas i enlighet med vissa sÀrskilt angivna undantag, bl.a. uttryckligt samtycke frÄn den registrerade. Regeringen, eller den myndighet regeringen bestÀmmer, fÄr föreskriva ytterligare undan- tag frÄn förbudet om det behövs med hÀnsyn till ett viktigt allmÀnt intresse (13, 15 och 20 §§).
114
SOU 2018:63 |
GÀllande rÀtt |
Datainspektionen Àr tillsynsmyndighet enligt personuppgiftslagen (2 § personuppgiftsförordningen [1998:1191]).
Ăven om personuppgiftslagen hĂ€rrör ur ett
Enligt 22 § personuppgiftslagen fÄr uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara nÀr det Àr klart motiverat med hÀnsyn till ÀndamÄlet med behandlingen, vikten av en sÀker identifiering eller nÄgot annat beaktansvÀrt skÀl. BestÀm- melser om i vilka fall information om behandling av personuppgifter ska lÀmnas till den enskilde finns i
Det Àr förbjudet att föra över personuppgifter till tredje land, dvs. en stat utanför EU eller EES, som inte har en adekvat nivÄ för skyd- det av personuppgifterna (33 §). Förbudet gÀller i princip alla per- sonuppgifter. Under vissa förutsÀttningar Àr det dock tillÄtet att föra över uppgifter till tredje land under förutsÀttning att den registre- rade antingen gett sitt samtycke eller överföringen Àr nödvÀndig bl.a. för att rÀttsliga ansprÄk ska kunna faststÀllas, göras gÀllande eller försvaras, eller för att vitala intressen för den registrerade ska kunna skyddas (34 §). Det Àr ocksÄ tillÄtet att föra över personuppgifter för
115
GÀllande rÀtt |
SOU 2018:63 |
anvÀndning enbart i en stat som har anslutit sig till dataskyddskon- ventionen. Regeringen fÄr meddela föreskrifter om ytterligare undantag frÄn förbudet mot överföring (35 §).
Behandling av personuppgifter ska som huvudregel anmÀlas till Datainspektionen i dess egenskap av tillsynsmyndighet. En anmÀlan behöver dock inte göras om det finns ett personuppgiftsombud eller om nÄgot av de i personuppgiftsförordningen föreskrivna undan- tagen Àr tillÀmpligt (36 och 37 §§).
Vidare finns det i personuppgiftslagen bestÀmmelser om person- uppgiftsombud
4.3.4SÀrskilda registerförfattningar
Syftet med sÀrskilda registerförfattningar Àr att anpassa skyddet för enskildas personliga integritet vid myndigheters personuppgifts- behandling nÀr det finns ett behov av att avvika frÄn eller komplet- tera personuppgiftslagens bestÀmmelser. Inom olika verksamhets- omrÄden i den offentliga sektorn Àr det inte ovanligt att myndigheter har sÀrskilda behov som tillgodoses genom att i en registerförfatt- ning ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter. Riksdagen har sedan lÄng tid tillbaka ocksÄ gett ut- tryck för uppfattningen att myndighetsregister med ett stort antal registrerade och med ett kÀnsligt innehÄll ska regleras sÀrskilt i lag (prop. 1990/91:60 s. 50, KU 1990/91:11 s. 11 och rskr. 1990/91:160). Det finns ett stort antal lagar om behandling av personuppgifter som gÀller i viss verksamhet eller för ett visst register. Exempel pÄ sÄdana sÀrskilda registerförfattningar Àr lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga, patientdatalagen (2008:355) och polisdatalagen (2010:361).
Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst och Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet regleras i sÀrskilda författningar, vilket beskrivs nÀrmare i avsnitt 5.
116
SOU 2018:63 |
GÀllande rÀtt |
4.3.5Offentlighets- och sekretesslagen
Offentlighets- och sekretesslagen (2009:400) innehÄller ett flertal bestÀmmelser om sekretess till skydd för uppgifter om enskildas personliga förhÄllanden, vilka ocksÄ medför ett skydd för enskildas personliga integritet. Av 21 kap. 7 § framgÄr att sekretess gÀller för en personuppgift om det kan antas att uppgiften efter ett utlÀm- nande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Sekretessprövningen gÀller sÄledes den behand- ling som kommer att ske efter ett eventuellt utlÀmnande. UtlÀmnanden till utlÀndska mottagare som omfattas av dataskyddsförordningens tillÀmpningsomrÄde omfattas ocksÄ av sekretessbestÀmmelsen (prop. 2017/18:105 s. 210).
117
5Regleringen av personuppgiftsbehandling vid Försvarsmakten och Försvarets radioanstalt
5.1.1AllmÀnt
Försvarsmaktens personuppgiftsbehandling inom ramen för försvars- underrÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten regle- ras i lagen (2007:258) och förordningen (2007:260) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksam- het och militÀra sÀkerhetstjÀnst
Propositionen 2006/07:46 ligger till grund för bÄde
119
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
SOU 2018:63 |
lagen. Dessa bestÀmmelser redovisas i förekommande fall separat för respektive myndighet.
Försvarsmakten respektive Försvarets radioanstalt Àr personupp- giftsansvariga för den behandling av personuppgifter som myndig- heterna utför (1 kap. 5 §
NÀr det gÀller Försvarets radioanstalt innehÄller Àven lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet vissa bestÀmmelser om personuppgiftsbehandling, t.ex. anvÀndningen av sökbegrepp och förstöringsskyldighet. Av lagen framgÄr bl.a. att in- hÀmtning av signaler i trÄd ska ske automatiserat och att sÄdan inhÀmt- ning endast fÄr avse signaler som identifierats genom sökbegrepp. Upptagning eller uppteckning av uppgifter som inhÀmtats enligt lagen om signalspaning i försvarsunderrÀttelseverksamhet ska omgÄende förstöras om innehÄllet bl.a. berör en viss fysisk person och har bedömts sakna betydelse för försvarsunderrÀttelseverksamheten (1 och 7 §§).
För Försvarsmaktens och Försvarets radioanstalts övriga person- uppgiftsbehandling som inte omfattas av
5.1.2NÀr behandling av personuppgifter Àr tillÄten
Myndigheternas försvarsunderrÀttelseverksamhet
Av 1 kap. 8 §
120
SOU 2018:63 |
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
fĂ„r bedrivas. Försvarsmakten och Försvarets radioanstalt producerar dessutom interna styrdokument dĂ€r en ytterligare precisering i förhĂ„llande till regeringens inriktning görs. PĂ„ detta sĂ€tt bestĂ€mmer myndigheterna nĂ€rmare Ă€ndamĂ„len för verksamheten â och dĂ€rmed ramen för behandlingen av personuppgifter â i enlighet med vad uppgiften som personuppgiftsansvarig Ă„lĂ€gger myndigheten (se prop. 2006/07:46 s. 64, 65 och 67). Som beskrivits i avsnitt 3.3.5 anger lagen om signalspaning i försvarsunderrĂ€ttelseverksamhet för vilka syften signalspaning fĂ„r ske.
Av 1 kap. 8 § andra stycket
TillgÄngen till personuppgifter ska alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (1 kap. 16 §
Försvarsmaktens militÀra sÀkerhetstjÀnst
Personuppgifter fÄr enligt 1 kap. 9 §
1.klarlÀgga verksamhet som innefatta hot mot rikets sÀkerhet, eller
2.vidta ÄtgÀrder som hindrar eller försvÄrar sÀkerhetshotande verk- samhet.
121
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
SOU 2018:63 |
För de ÀndamÄl som anges i 1 kap. 9 §
1.har utövat eller kan komma att utöva verksamhet som innefattar brott som kan hota rikets sÀkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,
2.har utövat eller kan komma att utöva underrÀttelseverksamhet riktad mot Försvarsmakten och dess sÀkerhetsintressen,
3.utövar annan sÀkerhetshotande verksamhet Àn som avses i 1 och som innefattar brott eller ÄsidosÀttande av Äligganden i anstÀll- ning hos Försvarsmakten, och det finns sÀrskilda skÀl till att upp- giften skall behandlas,
4.har lÀmnat uppgifter om sÀkerhetshotande verksamhet och per- sonuppgifterna Àr nödvÀndiga för att bedöma personens trovÀr- dighet, eller
5.att uppgifterna avser information som har framkommit i sam- band med att en person har genomgÄtt registerkontroll eller sÀr- skild personutredning enligt sÀkerhetsskyddslagen (1996:627).
Av 1 kap. 11 §
Liksom inom försvarsunderrÀttelseverksamheten ska tillgÄngen till personuppgifter alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Försvarets radioanstalts utvecklingsverksamhet
Personuppgifter fÄr enligt 1 kap. 9 §
1.följa förÀndringen av signalmiljön i omvÀrlden, den tekniska ut- vecklingen och signalskyddet, och
122
SOU 2018:63 |
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.
DÀrutöver fÄr personuppgifter behandlas av Försvarets radioanstalt om det Àr nödvÀndigt för att bitrÀda andra myndigheter vid vÀrdering utveckling, anskaffning och drift av signalspaningssystem (1 kap. 10 §
5.1.3KĂ€nsliga personuppgifter
Försvarsmakten och Försvarets radioanstalt fÄr inte behandla person- uppgifter enbart pÄ grund av vad som Àr kÀnt om en persons ras eller etniska ursprung, politiska Äsikter, religiösa eller filosofiska över- tygelse, medlemskap i fackförening, hÀlsa eller sexualliv (kÀnsliga personuppgifter). Om myndigheterna behandlar uppgifter om en person pÄ annan grund fÄr de emellertid komplettera (dvs. behandla) dessa uppgifter med kÀnsliga personuppgifter om det Àr absolut nöd- vÀndigt för ÀndamÄlet med behandlingen (1 kap. 12 §
5.1.4Behandling av personuppgifter hos Försvarets radioanstalt i vissa fall
Försvarets radioanstalt tillförs en mycket stor mÀngd obearbetad in- formation som inhÀmtats genom signalspaning. Informationen Àr ofta sÄvÀl krypterad som avfattad pÄ ett frÀmmande sprÄk. Det Àr först sedan de inhÀmtade signalerna har lagrats och dÀrefter krypto- forcerats och översatts, som informationen kan tas fram i klartext eller sÀndningarnas innehÄll kan beskrivas. Det Àr alltsÄ först dÄ det Àr utrett om det insamlade materialet innehÄller personuppgifter och om det Àven Àr frÄga om t.ex. kÀnsliga personuppgifter. 1 kap. 13 §
123
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
SOU 2018:63 |
5.1.5Uppgiftssamlingar
Försvarsmakten och Försvarets radioanstalt fÄr behandla personupp- gifter i uppgiftssamlingar (1 kap. 7 §
Av
Uppgiftssamlingar hos Försvarsmakten
Hos Försvarsmakten fÄr det finnas uppgiftssamlingar för försvars- underrÀttelseverksamhet. Dessa uppgiftssamlingar fÄr endast innehÄlla identifieringsuppgifter, uppgifter om de omstÀndigheter och hÀndel- ser som ger anledning att anta att den registrerade har betydelse för försvarsunderrÀttelseverksamheten samt upplysningar om varifrÄn den registrerade uppgiften kommer och om en uppgiftslÀmnares trovÀrdighet. Det framgÄr vidare att uppgiftssamlingarna endast fÄr innehÄlla uppgifter som behövs för att Försvarsmakten ska kunna fullgöra uppgifter enligt lagen (2000:130) om försvarsunderrÀttelse- verksamhet (2 §
Försvarsmakten fÄr Àven inom ramen för den militÀra sÀkerhets- tjÀnsten behandla personuppgifter i uppgiftssamlingar för:
1.SÀkerhetsunderrÀttelsetjÀnst (3 §). Uppgiftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att upptÀcka och klar- lÀgga sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen.
2.SÀkerhetsskyddstjÀnst (4 §). Uppgiftssamlingarna fÄr endast inne- hÄlla uppgifter som Àr nödvÀndiga för att förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen.
3.Signalkontroll (5 §). Uppgiftssamlingarna fÄr endast innehÄlla upp- gifter som Àr nödvÀndiga för att förhindra obehörig insyn i och pÄverkan av totalförsvarets telekommunikations- och informations- system.
BestÀmmelserna i
124
SOU 2018:63 |
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
Uppgiftssamlingar hos Försvarets radioanstalt
Hos Försvarets radioanstalt fÄr det enligt
1.RÄmaterial (2 §). Uppgiftssamlingarna fÄr endast innehÄlla obear- betat och automatiskt bearbetat material som har inhÀmtats i försvarsunderrÀttelseverksamheten och utvecklingsverksamheten.
2.Analyser (3 §). Uppgiftssamlingarna fÄr endast innehÄlla analys- resultat samt bearbetnings- och rapportunderlag.
3.UnderrÀttelser (4 §). Uppgiftssamlingarna fÄr endast innehÄlla fÀr- diga underrÀttelserapporter.
4.Information om signalmiljön (5 §). Uppgiftssamlingarna fÄr endast innehÄlla information och tekniska parametrar som rör signal- miljön.
5.Information om företeelser mot vilka signalspaningen inriktas (6 §). Uppgiftssamlingarna fÄr endast innehÄlla sÄdan information om signalspaningsobjekt som Àr nödvÀndig för att verkstÀlla in- riktningar av signalspaningen.
6.Information om teknik- och metodikutveckling (6 a §). Uppgifts- samlingarna fÄr endast innehÄlla information och tekniska para- metrar som rör teknik- och metodikutvecklingen.
7.Information om signalskydd (6 b §). Uppgiftssamlingarna fÄr en- dast innehÄlla information och tekniska parametrar som rör signal- skyddet.
BestÀmmelserna i 2, 5 och 6 §§ innehÄller Àven vissa sÀrskilda regler om hur lÀnge personuppgifterna fÄr behandlas. BestÀmmelser om gall- ring redogörs för i avsnitt 5.1.12.
5.1.6Vidarebehandling av personuppgifter för vissa andra ÀndamÄl
Vidarebehandling av personuppgifter för vissa andra ÀndamÄl Àn de ursprungliga, s.k. sekundÀra ÀndamÄl, fÄr göras med stöd av 1 kap. 6 § 4 p
125
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
SOU 2018:63 |
behandlas för nÄgot ÀndamÄl som Àr oförenligt med det för vilket upp- gifterna samlades in (finalitetsprincipen).
5.1.7Elektroniskt utlÀmnande av och direktÄtkomst till personuppgifter
UtlÀmnande pÄ medium för automatiserad behandling
Försvarsmakten och Försvarets radioanstalt fÄr endast lÀmna ut en- staka personuppgifter pÄ medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att uppgifter fÄr lÀmnas ut pÄ sÄdant medium Àven i andra fall (1 kap. 14 §
DirektÄtkomst
BestÀmmelser om direktÄtkomst regleras i 1 kap. 15 §
126
SOU 2018:63 |
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
om uppgiftsskyldighet införs. Regeringen beaktade ocksÄ det faktum att SÀkerhetspolisens utlÀmnande av uppgifter genom direktÄtkomst föreslogs regleras i lag (prop. 2017/18:36 s.
Riksdagen antog den 24 januari 2018 regeringens proposition och lagÀndringarna trÀdde i kraft den 1 mars 2018. Det innebÀr att SÀker- hetspolisen, Försvarets radioanstalt och Försvarsmakten, inom ramen för samarbetet vid NCT, fÄr lÀmna ut uppgifter till varandra elek- troniskt genom direktÄtkomst till uppgifter som behövs för att kunna göra bedömningar pÄ strategisk nivÄ av terrorhotet mot Sverige och mot svenska intressen. DirektÄtkomsten innebÀr att myndigheterna kan dela information digitalt, i stÀllet för som tidigare i pappers- format. Nya sekretessbrytande bestÀmmelser i form av uppgiftsskyl- digheter möjliggör utlÀmnandet mellan myndigheterna (1 kap. 15 a §
Ăverföring av personuppgifter till andra lĂ€nder
Av 1 kap. 17 §
127
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
SOU 2018:63 |
5.1.8Information till den enskilde, rÀttelse och skadestÄnd
Information till den enskilde
Försvarsmakten och Försvarets radioanstalt Àr enligt 2 kap.
Om uppgifter om en person har samlats in i den militÀra sÀkerhets- tjÀnsten frÄn personen sjÀlv ska Försvarsmakten dessutom i samband med insamlingen sjÀlvmant lÀmna den registrerade viss information om behandlingen av uppgifterna, bl.a. ÀndamÄlet med behandlingen och information om mottagarna av uppgifterna. SÄdan information behöver emellertid inte lÀmnas om sÄdant som den registrerade redan kÀnner till.
Om det vid signalspaning har anvÀnts sökbegrepp som Àr direkt hÀnförliga till en viss fysisk person ska Försvarets radioanstalt under- rÀtta personen om detta enligt lagen om signalspaning i försvars- underrÀttelseverksamhet.
De skyldigheter om informationsgivning och underrÀttelse som nÀmnts ovan gÀller inte i den utstrÀckning uppgifterna omfattas av sekretess.
RĂ€ttelse
Försvarsmakten och Försvarets radioanstalt Àr skyldiga att pÄ be- gÀran av en registrerad snarast rÀtta, blockera eller utplÄna sÄdana per- sonuppgifter som inte har behandlats i enlighet med
128
SOU 2018:63 |
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
registrerade begÀr det eller om mera betydande skada eller olÀgenhet för den registrerade skulle kunna undvikas genom en underrÀttelse. NÄgon sÄdan underrÀttelse behöver inte lÀmnas, om detta Àr omöj- ligt eller skulle innebÀra en oproportionerligt stor arbetsinsats (2 kap. 5 §
Motsvarande bestÀmmelse finns i personuppgiftslagen. Att en personuppgift rÀttas innebÀr att den ersÀtts eller kompletteras med korrekta uppgifter. Med blockering avses en ÄtgÀrd som vidtas för att personuppgifter ska vara förknippade med information om att de Àr spÀrrade och om anledningen till spÀrren. Att en uppgift utplÄnas innebÀr att den förstörs sÄ att den inte kan Äterskapas. BestÀmmelsen omfattar inte behandling av uppgifter avseende juridiska personer (se prop. 2006/07:46 s. 90).
SkadestÄnd
Staten ska ersÀtta den registrerade för skada och krÀnkning av den personliga integriteten som en behandling av personuppgifter i strid med 2 kap. 6 §
AnsprÄk pÄ ersÀttning med stöd av 2 kap. 6 §
5.1.9SĂ€kerheten vid behandling
I tredje kapitlet i
129
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
SOU 2018:63 |
och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas av myndigheterna eller av ett personuppgiftsbitrÀde som myndigheterna anlitat.
5.1.10Personuppgiftsombud
Av 4 kap.
Om personuppgiftsombudet har anledning att misstÀnka att den behandlande myndigheten bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och vidtas inte rÀttelse sÄ snart det kan ske efter pÄpekande, ska personuppgiftsombudet anmÀla förhÄllandet till tillsynsmyndigheten. Personuppgiftsombudet ska Àven i övrigt samrÄda med tillsynsmyndigheten vid tveksamhet om hur de bestÀmmelser som gÀller för behandlingen av personuppgifter ska tillÀmpas.
Personuppgiftsombudets uppgifter omfattar Àven att föra förteck- ningar över de behandlingar som Försvarsmakten och Försvarets radioanstalt genomför och som Àr helt eller delvis automatiserade. För Försvarsmakten ska separata förteckningar föras för försvars- underrÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten. Reger- ingen, eller den myndighet som regeringen bestÀmmer, meddelar före- skrifter om vad förteckningarna ska innehÄlla.
Personuppgiftsombudet ska ocksÄ hjÀlpa registrerade att fÄ rÀt- telse nÀr det finns anledning att misstÀnka att behandlade person- uppgifter Àr felaktiga eller ofullstÀndiga.
130
SOU 2018:63 |
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
5.1.11Tillsyn och kontroll
Datainspektionen
Datainspektionen Àr tillsynsmyndighet för den personuppgiftsbehand- ling som sker enligt
Tillsynsmyndigheten har rÀtt att för sin tillsyn pÄ begÀran fÄ till- gÄng till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och sÀkerheten vid denna och tilltrÀde till sÄdana lokaler som har anknytning till behandlingen av personuppgifter. Om tillsynsmyndigheten konsta- terar att personuppgifter behandlas eller kan komma att behandlas pÄ ett olagligt sÀtt, ska myndigheten genom pÄpekanden eller liknande förfaranden försöka Ästadkomma rÀttelse. Tillsynsmyndigheten fÄr hos förvaltningsrÀtten inom vars domkrets tillsynsmyndigheten Àr belÀgen ansöka om att sÄdana personuppgifter som har behandlats pÄ ett olagligt sÀtt ska utplÄnas, om ett beslut om utplÄnande inte skulle vara oskÀligt.
Statens inspektion för försvarsunderrÀttelseverksamheten
Statens inspektion för försvarsunderrÀttelseverksamheten (Siun) Àr ansvarig kontrollmyndighet för försvarsunderrÀttelseverksamheten enligt lagen om försvarsunderrÀttelseverksamhet och för signalspaning i sÄdan verksamhet enligt lagen om signalspaning i försvarsunder- rÀttelseverksamhet. Siun har Àven till uppgift att granska behand- lingen av uppgifter enligt
5.1.12Gallring av personuppgifter
Gallring av personuppgifter hos Försvarsmakten
Vilka uppgiftssamlingar som finns hos Försvarsmakten behandlas ovan under avsnitt 5.1.5.
Enligt huvudregeln i 6 kap. 1 §
131
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
SOU 2018:63 |
det ÀndamÄl för vilket de behandlas. Detta gÀller dock inte, som an- getts ovan, behandling av personuppgifter i samband med de interna och administrativa ÄtgÀrder som kan förekomma i myndighetens verk- samhet.
För Försvarsmakten finns det i
Personuppgifter i en uppgiftssamling för sÀkerhetsunderrÀttelse- tjÀnst eller i en uppgiftssamling för sÀkerhetsskyddstjÀnst ska gallras senast vid utgÄngen av det tionde Äret efter det att behandlingen pÄ- börjades, om inte Försvarsmakten dessförinnan har beslutat att upp- gifterna ska bevaras dÀrför att de fortfarande behövs för det ÀndamÄl för vilket de behandlas. Om uppgifter bevaras med stöd av ett sÄdant beslut ska de gallras eller frÄgan om bevarande prövas pÄ nytt senast vid utgÄngen av det tionde Äret efter beslutet. Personuppgifter i en uppgiftssamling för
Personuppgifter i en uppgiftssamling för signalkontroll ska gall- ras senast ett Är efter det att behandlingen av uppgifterna pÄbörjades.
NÄgra sÄdana preciserade gallringsbestÀmmelser finns inte nÀr det gÀller uppgifter som behandlas i en uppgiftssamling för försvars- underrÀttelseverksamhet, varför det betrÀffande dessa uppgifter Àr huvudregeln i 6 kap. 1 §
Riksarkivet har meddelat föreskrifter som anger att vissa uppgifter som ska gallras enligt ovan ska bevaras för historiska, statistiska och vetenskapliga ÀndamÄl (se Riksarkivets föreskrifter
Gallring av personuppgifter hos Försvarets radioanstalt
Vilka uppgiftssamlingar som finns hos Försvarets radioanstalt be- handlas ovan under avsnitt 5.1.5.
I 6 kap. 1 §
132
SOU 2018:63 |
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
eller att uppgifter fÄr bevaras för historiska, statistiska eller veten- skapliga ÀndamÄl. Regeringen har gett Riksarkivet ett sÄdant bemyn- digande att meddela föreskrifter (12 §
SÀrskild reglering om gallring finns i 2, 5 och 6 §§
Personuppgifter i en uppgiftssamling för rÄmaterial ska gallras senast ett Är efter det att behandlingen av uppgifterna pÄbörjats (2 §
Personuppgifter i en uppgiftssamling om signalmiljön ska gallras senast vid utgÄngen av det första Äret efter det att behandlingen av uppgifterna pÄbörjades, om inte Försvarets radioanstalt dessförinnan beslutat att uppgifterna ska bevaras dÀrför att de fortfarande behövs för det ÀndamÄl för vilket de behandlas. Om uppgifterna bevaras med stöd av ett sÄdant beslut ska de gallras eller frÄgan om bevarande prövas pÄ nytt senast vid utgÄngen av det första Äret efter beslutet (5 §
Personuppgifter i en uppgiftssamling för information om före- teelser mot vilka signalspaningen inriktas ska gallras senast vid ut- gÄngen av det tredje Äret efter det att behandlingen av uppgifterna pÄbörjades, om inte Försvarets radioanstalt dessförinnan har be- slutat att uppgifterna ska bevaras dÀrför att de fortfarande behövs för det ÀndamÄl för vilket de behandlas. Om uppgifter bevaras med stöd av ett sÄdant beslut ska de gallras eller frÄgan om bevarande prövas pÄ nytt senast vid utgÄngen av det tredje Äret efter beslutet (6 §
Riksarkivet har beslutat att personuppgifter i Försvarets radio- anstalts uppgiftssamlingar för underrÀttelser ska bevaras för historiska, statistiska och vetenskapliga ÀndamÄl (dnr KrA
I sammanhanget ska ocksÄ nÀmnas de föreskrifter om förstörings- skyldighet som finns i 7 § lagen om signalspaning i försvarsunder- rÀttelseverksamhet. Av denna bestÀmmelse framgÄr att upptagning eller
133
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
SOU 2018:63 |
uppteckning av uppgifter som inhÀmtats enligt lagen omgÄende ska förstöras om innehÄllet
1.berör en viss fysisk person och har bedömts sakna betydelse för verksamhet som avses i 1 § (ÀndamÄlsparagrafen, se avsnitt 3.3.5),
2.avser uppgifter för vilka tystnadsplikt gÀller enligt 3 kap. 3 § tryck- frihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 4 § tryck- frihetsförordningen eller 2 kap 4 § yttrandefrihetsgrundlagen,
3.omfattar uppgifter i sÄdana meddelanden mellan en person som Àr misstÀnkt för brott och hans eller hennes försvarare vilka skyd- das enligt 27 kap. 22 § första stycket rÀttegÄngsbalken, eller
4.avser uppgifter lÀmnade under bikt eller enskild sjÀlavÄrd, sÄvida det inte finns synnerliga skÀl att behandla uppgifterna för syften som anges i 1 § andra stycket (de Ätta kartlÀggningssyftena, se av- snitt 3.3.5).
Förstöring av upptagningar eller uppteckningar enligt 7 § lagen om signalspaning i försvarsunderrÀttelseverksamhet ska enligt 5 § för- ordningen (2008:923) om signalspaning i försvarsunderrÀttelseverk- samhet ske pÄ ett sÄdant sÀtt att uppgifterna inte kan Äterskapas.
En bestÀmmelse om förstöringsplikt finns ocksÄ i 2 a § nÀmnda lag. Enligt den bestÀmmelsen fÄr inhÀmtning inte avse signaler mellan en avsÀndare och mottagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmtningen, ska upp- tagningen eller uppteckningen förstöras sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats.
5.1.13Straff och överklagande
6kap. 2 §
Av 6 kap. 3 §
134
SOU 2018:63 |
Regleringen av personuppgiftsbehandling vid Försvarsmakten ... |
överklagas till allmÀn förvaltningsdomstol. Av bestÀmmelsen fram- gÄr vidare att övriga beslut enligt
135
6 ĂvervĂ€ganden och förslag
6.1AllmÀnna utgÄngspunkter
6.1.1Reglering i tvÄ nya lagar
Utredningens förslag: TvÄ nya lagar bör reglera personuppgifts- behandlingar inom Försvarsmakten och Försvarets radioanstalt: Lag om behandling av personuppgifter vid Försvarsmakten och Lag om behandling av personuppgifter vid Försvarets radioanstalt.
SkÀl för utredningens förslag: Utredningen föreslÄr ett flertal för- Àndringar av befintlig lagstiftning pÄ omrÄdet; nya författningsbestÀm- melser, förÀndringar av befintliga författningar samt nya rubriker. MÄlet med utredningens arbete med en ÀndamÄlsenlig lagstiftning har inte bara varit att bestÀmmelserna i sig ska vara anpassade efter den tekniska och legala utvecklingen, utan att lagarna, Àven efter de föreslagna förÀndringarna, ska vara överblickbara med logisk struk- tur och innehÄlla begrepp och definitioner som i möjligaste mÄn stÀmmer överens med annan lagstiftning som reglerar hantering av personuppgifter. Med beaktande av att utredningen föreslÄr förÀnd- ringar av ett stort antal bestÀmmelser i lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksam- het och militÀra sÀkerhetstjÀnst
137
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
6.1.2SÀrskild författningsreglering
Utredningens förslag: De nya lagarna ska vara heltÀckande och utformas sÄ att de exklusivt gÀller pÄ de omrÄden som anges i respektive lag.
SkÀl för utredningens förslag: UnionsrÀtten omfattar inte nationell sÀkerhet och försvar, vilket innebÀr att varken EU:s dataskydds- direktiv eller dataskyddsförordning omfattar behandling av person- uppgifter som rör dessa verksamheter. Den
I lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning (dataskyddslagen) utvidgas tillÀmpningen av bestÀmmelserna i dataskyddsförordningen till att Àven gÀlla vid be- handling av personuppgifter som utgör led i verksamhet som inte omfattas av unionsrÀtten (1 kap. 2 §). Detta gÀller dock inte verk- samhet som omfattas av
Av övergÄngsbestÀmmelserna framgÄr bl.a. att personuppgifts- lagen ska fortsÀtta att gÀlla i sÄdan verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte omfattas av unionsrÀtten och som inte heller omfattas av de sÀrskilda lagarna om behandling av
138
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
personuppgifter i Försvarsmaktens och Försvarets radioanstalts verk- samheter.
Med utgÄngspunkt frÄn att Àmnet för den lagstiftning som hÀr Àr aktuell ligger utanför unionsrÀtten bör den författningsreglering som utredningen föreslÄr dÀrför vara heltÀckande och utformas sÄ att den exklusivt gÀller pÄ de omrÄden som anges i respektive lag inom det aktuella omrÄdet.
Som anfördes i förarbetena till
Med beaktande av detta utformas de föreslagna lagarna sÄ att de sÄ lÄngt det Àr möjligt och lÀmpligt Àr lika och följer strukturen i likartad lagstiftning sÄsom i förslaget till SÀkerhetspolisens datalag.
6.2AllmÀnna bestÀmmelser
6.2.1Syftet med lagarna
Utredningens förslag: Syftet med lagarna ska vara att sÀkerstÀlla att Försvarsmakten och Försvarets radioanstalt kan behandla personuppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling.
Utredningens bedömning: De föreslagna lagarna uppfyller kraven i 2 kap. 21 § regeringsformen.
139
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
SkÀl för utredningens förslag: Syftet med den nuvarande lag- stiftningen anges vara att skydda mÀnniskor mot att deras personliga integritet krÀnks genom behandling av personuppgifter i Försvars- maktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst och i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklings- verksamhet (1 kap. 2 §
SkÀl för utredningens bedömning: I avsnitt 4.3.2 tar utredningen upp de övervÀganden som ligger till grund för regleringen i 2 kap. 6 § andra stycket regeringsformen om skyddet gentemot det allmÀnna mot betydande intrÄng i den personliga integriteten. Som nÀmns i det avsnittet fÄr en begrÀnsning av grundlagsskyddet göras enligt 2 kap. 20 § regeringsformen genom lag. BegrÀnsningen fÄr endast göras för att tillgodose ÀndamÄl som Àr godtagbara i ett demokratiskt samhÀlle. BegrÀnsningen fÄr inte gÄ utöver vad som Àr nödvÀndigt med hÀnsyn till det ÀndamÄl som har föranlett den och inte heller strÀcka sig sÄ lÄngt att den utgör ett hot mot den fria Äsiktsbildningen. BegrÀnsningen fÄr inte heller göras enbart pÄ grund av politisk, religiös, kulturell eller annan sÄdan ÄskÄdning (2 kap. 21 §).
I förarbetena till bestĂ€mmelserna i 2 kap. 6 § regeringsformen angav regeringen att vid bedömningen av hur ingripande intrĂ„nget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlĂ€mnande av uppgifter om enskildas personliga förhĂ„llanden, Ă€r det naturligt att stor vikt lĂ€ggs vid upp- gifternas karaktĂ€r. Ju kĂ€nsligare uppgifterna Ă€r desto mer ingripande mĂ„ste det allmĂ€nnas hantering av uppgifterna normalt anses vara. Ăven hantering av ett fĂ„tal uppgifter kan innebĂ€ra ett betydande intrĂ„ng i den personliga integriteten om uppgifterna Ă€r av mycket kĂ€nslig karaktĂ€r (prop. 2009/10:80 En reformerad grundlag s. 183).
Den personuppgiftsbehandling som Àr aktuell i detta samman- hang utgör till en del betydande intrÄng i den personliga integriteten
140
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
och krÀver dÀrför lagstöd. SÀrskilt gÀller detta personuppgiftsbehand- lingen i försvarsunderrÀttelseverksamheten. I det sammanhanget bör dock erinras att den bara fÄr avse utlÀndska förhÄllanden. De svenska försvars- och sÀkerhetsintressen som lagstiftningen avser att stödja har alltid varit starka och de har vuxit i styrka mot bakgrund av den sÀkerhetspolitiska utvecklingen. Lagstiftningens ÀndamÄl fÄr dÀrför anses godtagbara i ett demokratiskt samhÀlle och uppfyller enligt utredningen mening Àven i övrigt kraven i 2 kap. 21 § regerings- formen.
I tillÀmpningen av lagstiftningen Äligger det myndigheterna att göra en avvÀgning mellan ÀndamÄlet med en avsedd personuppgifts- behandling Ä ena sidan och graden av intrÄng i den personliga integ- riteten Ä den andra. Detta följer av bestÀmmelserna om att person- uppgifter bara fÄr behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl. Utredningen Äterkommer till detta i avsnitt 6.4.1.
6.2.2TillÀmpningsomrÄden för lagen om behandling av personuppgifter vid Försvarsmakten
Utredningens förslag: Lagen om behandling av personuppgifter vid Försvarsmakten ska gÀlla Försvarsmaktens behandling av per- sonuppgifter som rör Sveriges försvar och sÀkerhet.
SkÀl för utredningens förslag: Som framgÄtt av avsnitt 6.1.2. faller frÄgor om försvar och nationell sÀkerhet utanför unionsrÀtten. Enligt dataskyddslagen ska personuppgiftslagen fortsÀtta att gÀlla i sÄdan verksamhet hos Försvarsmakten som inte omfattas av unions- rÀtten och som inte nu regleras i
idag regleras i personuppgiftslagen och utifrÄn den analysen bedöma om behandlingen helt eller delvis bör regleras sÀrskilt. PÄ sikt inne- bÀr detta att det som inte regleras sÀrskilt kommer att omfattas av dataskyddsförordningen. Det Àr nÀmligen att förvÀnta att övergÄngs- regleringen kommer att Àndras sÄ att detta blir fallet.
Utredningen utgÄr i sin analys frÄn de uppgifter som Försvars- makten har.
141
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
I avsnitt 3.1 finns en utförlig beskrivning av Försvarsmaktens upp- gifter. HÀr ska endast en kort Äterblick göras med betoning pÄ myn- dighetens huvuduppgifter. Försvarsmakten ska upprÀtthÄlla och ut- veckla ett militÀrt försvar som ytterst kan möta ett vÀpnat angrepp. Grunden för Försvarsmaktens verksamhet Àr förmÄgan till vÀpnad strid.
Försvarsmakten ska försvara Sverige och frÀmja svensk sÀkerhet samt upptÀcka och avvisa krÀnkningar av det svenska territoriet. Försvarsmakten ska dessutom kunna vÀrna Sveriges suverÀna rÀttig- heter och svenska intressen samt kunna förebygga och hantera kon- flikter och krig sÄvÀl nationellt som internationellt. Försvarsmakten ska kunna utföra sina uppgifter sjÀlvstÀndigt eller i samverkan med andra myndigheter, lÀnder och organisationer. Försvarsmakten ska vidare med myndighetens befintliga förmÄga och resurser kunna lÀmna stöd till civil verksamhet.
Vid höjd beredskap ska Försvarsmakten kunna krigsorganisera, mobilisera och anvÀnda alla krigsförband för att möta ett militÀrt hot mot Sverige och svenska intressen. Krigsförband ska kunna krigs- organiseras, Àven om höjd beredskap inte rÄder.
Enligt utredningens mening Àr det uppenbart att de nu beskrivna uppgifterna ligger utanför unionsrÀtten med undantag för uppgiften att kunna lÀmna stöd till civil verksamhet. Uppgifterna har ocksÄ en nÀra beröring med Försvarsmaktens försvarsunderrÀttelseverksam- het och militÀra sÀkerhetstjÀnst, verksamheter dÀr personuppgifts- behandlingen i dag Àr sÀrreglerad genom
Dataskyddsförordningen Àr, som nyss nÀmnts, inte tillÀmplig pÄ personuppgiftsbehandling som rör försvar och nationell sÀkerhet. BestÀmmelserna i förordningen har dÀrför inte utformats med beak- tande av försvar och nationell sÀkerhet. Utredningen kan heller inte se nÄgon fördel med att lÄta dataskyddsförordningen helt eller delvis
142
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
bli tillÀmplig pÄ Försvarsmaktens ovan beskrivna huvuduppgifter, sÀr- skilt som det i denna verksamhet finns andra verksamheter integrerade som regleras sÀrskilt nÀr det gÀller behandlingen av personuppgifter. TvÀrtom innebÀr detta nackdelar som kan beskrivas enligt följande.
OmvÀrldsbevakning behövs för att upptÀcka och identifiera yttre hot mot Sverige och svenska intressen. Logistik behövs för att fÄ fram resurser till förbandet, personaladministration för att se till att rÀtt personer finns pÄ plats för att lösa uppgiften, underrÀttelser behövs för att lokalisera fientliga styrkor. Operationsplanering Àr nödvÀndig för att planera och genomföra en insats. SÀkerhetstjÀnst behövs för att sÀkerstÀlla att fienden inte fÄr tillgÄng till operationsplaneringen och kan motverka den. Samband behövs för att uppnÄ en effektiv kommunikation inom förbandet och andra förband.
I militÀr sÀkerhetstjÀnst och försvarsunderrÀttelseverksamhet till- lÀmpas
Att ha olika regleringar för behandlingen av uppgifterna kom- plicerar informationsutbytet mellan system och verksamheter. Det leder till att effektiviteten inom Försvarsmakten och dÀrmed den samlade operativa effekten försÀmras.
Med hÀnsyn till Försvarsmaktens stora betydelse för Sveriges försvar och sÀkerhet Àr det enligt utredningens uppfattning viktigt att myndighetens huvuduppgifter omfattas av en svensk nationell reglering, vilket innefattar myndighetens behandling av personupp- gifter i verksamhet dÀr uppgifterna fullgörs.
143
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
En samlad reglering bedöms innebÀra en förenkling för Försvars- makten och dÀrmed i förlÀngningen att integritetsskyddet stÀrks vid myndighetens behandling av personuppgifter.
Utredningen anser alltsÄ att den föreslagna lagen bör omfatta behandlingen av personuppgifter i Försvarsmaktens verksamhet av- seende Sveriges försvar och sÀkerhet. I avsnitt 6.3.1 Äterkommer ut- redningen till hur detta nÀrmare bör regleras.
6.2.3TillÀmpningsomrÄden för lagen om behandling av personuppgifter vid Försvarets radioanstalt
Utredningens förslag: Lagen om behandling av personuppgifter vid Försvarets radioanstalt ska gÀlla behandling av personupp- gifter i myndighetens försvarsunderrÀttelse- och utvecklingsverk- samhet samt informationssÀkerhetsverksamhet.
SkÀl för utredningens förslag: Försvarets radioanstalts försvars- underrÀttelse- och utvecklingsverksamhet Àr till för Sveriges försvar och sÀkerhet och omfattas dÀrmed inte av unionsrÀtten. För person- uppgiftsbehandlingen i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet gÀller inte den bestÀmmelse i dataskydds- lagen som utvidgar dataskyddsförordningen tillÀmpningsomrÄde (se hÀrom avsnitt 6.1.2). Detta Àr ett uttryck för att denna verksamhet ligger utanför unionsrÀtten och att behandlingen av personuppgifter i verksamheten fortfarande ska vara sÀrreglerad. Utredningen före- slÄr ingen Àndring i detta avseende.
Vidgat tillĂ€mpningsomrĂ„de â informationssĂ€kerhetsverksamhet
I avsnitt 3.3.6 redovisar utredningen Försvarets radioanstalts infor- mationssÀkerhetsverksamhet. NÄgon sÀrskild reglering av person- uppgiftsbehandlingen i den verksamheten finns inte.
Enligt dataskyddslagen ska personuppgiftslagen fortsÀtta att gÀlla i sÄdan verksamhet hos Försvarets radioanstalt som inte omfattas av unionsrÀtten och inte heller av
144
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
som i dag regleras i personuppgiftslagen och utifrÄn den analysen bedöma om behandlingen helt eller delvis bör regleras sÀrskilt (se hÀrom avsnitt 6.1.2). PÄ sikt innebÀr detta att det som inte regleras sÀrskilt kommer att omfattas av dataskyddsförordningen. Som tidi- gare nÀmnts Àr det att förvÀnta att övergÄngsregleringen kommer att Àndras sÄ att detta blir fallet.
Syftet med informationssÀkerhetsverksamheten vid Försvarets radioanstalt Àr att stödja verksamheter som har betydelse för Sveriges sÀkerhet. Den omfattas dÀrför inte av unionsrÀtten. Som framgÄr av avsnitt 3.3.6 har informationssÀkerhetsverksamheten ett nÀra sam- band med signalspaningen. Enligt lagen (2008:717) om signalspa- ning i försvarsunderrÀttelseverksamhet fÄr signalspaning ske i syfte att kartlÀgga bl.a. allvarliga yttre hot mot samhÀllets infrastruktur. Som utredningen utvecklar i avsnitt 3.3.6 innebÀr möjligheten till ut- byte av information mellan signalspaningen och informationssÀker- hetsverksamheten ett viktigt verktyg för att kunna upprÀtthÄlla Sveriges sÀkerhet.
Dataskyddsförordningen Àr som nÀmnts i avsnitt 6.1.2 inte till- lÀmplig pÄ försvar och nationell sÀkerhet och har dÀrför inte utfor- mats med beaktande av detta. I likhet med vad som sÀgs i nÀmnda avsnitt kan utredningen inte heller se nÄgon fördel med att göra dataskyddsförordningen helt eller delvis tillÀmplig pÄ Försvarets radio- anstalts informationssÀkerhetsverksamhet. Utredningen anser dÀrför att behandlingen av personuppgifter i informationssÀkerhetsverksam- heten bör vara sÀrreglerad i likhet med behandlingen av personuppgifter
iförsvarsunderrÀttelse- och utvecklingsverksamheten. Utredningen Äterkommer till Àmnet i avsnitt 6.3.8.
Till skillnad mot Försvarsmaktens huvuduppgifter med ett flertal olika verksamheter bestÄr uppgiften för Försvarets radioanstalt av tvÄ omrÄden: försvarsunderrÀttelseverksamhet och informations- sÀkerhetsverksamhet. Som tidigare nÀmnts bidrar denna skillnad till olika rÀttsliga lösningar för de bÄda myndigheterna. Det visar sig frÀmst genom att den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten kommer att avse behandlingen av sÄdana uppgifter rörande myndighetens personal (avsnitt 6.3.1). NÄgot behov av en motsvarande reglering nÀr det gÀller behandlingen av personupp- gifter rörande personalen vid Försvarets radioanstalt har utredningen inte funnit.
145
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
6.2.4Behandlingar som omfattas av de nya lagarna
Utredningens förslag: De föreslagna lagarna ska gÀlla för sÄdan behandling av personuppgifter som Àr helt eller delvis auto- matiserad eller om uppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.
SkÀl för utredningens förslag: BestÀmmelserna i 1 kap. 1 §
Utredningen anser att den nuvarande regleringen bör behÄllas.
6.2.5Lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning gÀller inte personuppgiftsbehandling enligt de nya lagarna
Utredningens förslag: I de föreslagna lagarna ska införas en bestÀmmelse med upplysning om att lagen (2018:218) med kom- pletterande bestÀmmelser till EU:s dataskyddsförordning inte gÀller vid behandling av personuppgifter i verksamheter enligt respek- tive lag.
SkÀl för utredningens förslag: Som framgÄr av avsnitt 6.1.2 om- fattar unionsrÀtten inte nationell sÀkerhet och försvar. De föreslagna lagarna föreslÄs vara helt sjÀlvstÀndiga i förhÄllande till övrig lagstiftning pÄ personuppgiftsomrÄdet, bl.a. lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning (dataskyddslagen). NÀmnda lag innehÄller en bestÀmmelse som anger att verksamhet som bedrivs med stöd av
146
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
(1 kap. 3 §). Detta förhÄllande bör Àven komma till uttryck i lagarna om behandlingen av personuppgifter vid Försvarsmaktens och Försvarets radioanstalt.
6.2.6Lagarnas förhÄllande till annan reglering
Utredningens förslag: BestÀmmelserna i de föreslagna lagarna ska inte tillÀmpas i den utstrÀckning det skulle inskrÀnka skyldig- heten enligt 2 kap. tryckfrihetsförordningen att lÀmna ut person- uppgifter.
SkĂ€l för utredningens förslag: De grundlĂ€ggande bestĂ€mmelserna om offentlighetsprincipen finns i 2 kap. tryckfrihetsförordningen (TF). I 2 kap. 1 § TF anges att varje svensk medborgare har rĂ€tt att ta del av allmĂ€nna handlingar. Denna rĂ€tt fĂ„r enligt 2 kap. 2 § TF begrĂ€nsas endast om det behövs med hĂ€nsyn till bl.a. rikets sĂ€kerhet eller dess förhĂ„llande till annan stat eller mellanfolklig organisation. BegrĂ€nsningar i rĂ€tten att ta del av allmĂ€nna handlingar ska noga anges i en sĂ€rskild lag eller annan lag som den sĂ€rskilda lagen hĂ€nvisar till. Den sĂ€rskilda lag som Ă„syftas Ă€r offentlighets- och sekretess- lagen (2009:400). Offentlighetsprincipen innebĂ€r sĂ„ledes att myn- digheterna Ă€r skyldiga att â i den utstrĂ€ckning sekretess inte hindrar det â lĂ€mna ut allmĂ€nna handlingar till den som begĂ€r det.
En bestÀmmelse som i klargörande syfte upplyser att lagen inte tillÀmpas om det skulle inskrÀnka Försvarsmaktens respektive För- svarets radioanstalts skyldighet enligt 2 kap. TF att lÀmna ut person- uppgifter finns i 1 kap. 3 §
Samma skÀl som tidigare gör sig fortfarande gÀllande och utred- ningen föreslÄr dÀrför att Àven de nya lagarna ska innehÄlla en mot- svarande upplysning. BestÀmmelsen föreslÄs bli neutralt formulerad, men innehÄller inte nÄgra förÀndringar i sak i förhÄllande till nu- varande lydelse.
147
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
6.2.7Personuppgiftsansvar
Utredningens förslag: Försvarsmakten respektive Försvarets radioanstalt ska vara personuppgiftsansvariga för den behandling som respektive myndighet utför. Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under myndighe- tens ledning eller pÄ dess vÀgnar.
SkÀl för utredningens förslag: Av 1 kap. 5 § i
Med personuppgiftsansvarig avses den som ensam eller tillsam- mans med andra bestÀmmer ÀndamÄlen med och medlen för behand- ling av personuppgifter.
Av
6.2.8Gemensamt personuppgiftsansvar
Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt fÄr vara gemensamt personuppgiftsansvarig med annan endast i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
SkÀl för utredningens förslag: Begreppet gemensamt personupp- giftsansvar finns i bÄde dataskyddsförordningen (artikel 26) och i 2016 Ärs dataskyddsdirektiv (artikel 21). Av dataskyddsförordningen
148
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
framgÄr att om tvÄ eller fler personuppgiftsansvariga gemensamt faststÀller ÀndamÄlen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Enligt förordningen ska gemen- samt personuppgiftsansvariga under öppna former faststÀlla sitt respektive ansvar för att fullgöra de skyldigheter som framgÄr av för- ordningen, sÀrskilt vad gÀller utövandet av den registrerades rÀttigheter och sina respektive skyldigheter att tillhandahÄlla information, i den mÄn detta inte framgÄr av förordningen. Inom ramen för arrange- manget fÄr en gemensam kontaktpunkt för de personuppgiftsansvariga utses. Detta arrangemang ska pÄ lÀmpligt sÀtt Äterspegla de gemen- samt personuppgiftsansvarigas respektive roller och förhÄllanden gentemot registrerade och det vÀsentliga innehÄllet i arrangemanget ska ocksÄ göras tillgÀngligt för den registrerade. Oavsett formerna för de gemensamt personuppgiftsansvarigas arrangemang fÄr den registrerade utöva sina rÀttigheter emot var och en av de person- uppgiftsansvariga.
Ăven enligt 2016 Ă„rs dataskyddsdirektiv avses att tvĂ„ eller flera personuppgiftsansvariga har gemensamt ansvar för registrerade upp- gifter, om de gemensamt faststĂ€ller behandlingens Ă€ndamĂ„l och medel och pĂ„ samma sĂ€tt som de enligt förordningen faststĂ€ller sitt respektive ansvar för regelefterlevnaden, sĂ€rskilt vad gĂ€ller utövan- det av den registrerades rĂ€ttigheter och sina respektive skyldigheter att tillhandahĂ„lla viss information. PĂ„ samma sĂ€tt som enligt data- skyddsförordningen fĂ„r den registrerade utöva sina rĂ€ttigheter med avseende pĂ„ var och en av de personuppgiftsansvariga.
En bestÀmmelse om gemensamt personuppgiftsansvar finns i för- slaget till SÀkerhetspolisens datalag (SOU 2017:74). Enligt den fÄr SÀkerhetspolisen vara gemensamt personuppgiftsansvarig med annan i den utstrÀckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutar om det (1 kap. 8 §).
Med anledning av Försvarsmaktens och Försvarets radioanstalts nÀra samarbete dels med varandra, dels med SÀkerhetspolisen, bedö- mer utredningen att det bör införas en möjlighet att ha gemensamt personuppgiftsansvar.
Liksom i förslaget till SÀkerhetspolisens datalag bör gemensamt personuppgiftsansvar endast fÄ förekomma i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
149
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
I den förordning som ska knyta an till lagen om behandling av personuppgifter vid Försvarsmakten bör föreskrivas att Försvars- makten fÄr vara gemensamt personuppgiftsansvarig med SÀkerhets- polisen, Nationella operativa avdelningen i Polismyndigheten, Myn- digheten för samhÀllsskydd och beredskap, Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet.
I den förordning som ska anknyta till lagen om behandling av personuppgifter vid Försvarets radioanstalt bör anges att Försvarets radioanstalt fÄr ha gemensamt personuppgiftsansvar med Försvars- makten och SÀkerhetspolisen inom ramen för myndighetsövergri- pande samverkan mellan myndigheterna för att kunna kartlÀgga
1.yttre militÀra hot mot landet,
2.förutsÀttningar för svenskt deltagande i fredsfrÀmjande och huma- nitÀra insatser eller hot mot sÀkerheten för svenska intressen vid genomförande av sÄdana insatser
3.strategiska förhÄllanden avseende internationell terrorism som kan hota vÀsentliga nationella intressen,
4.allvarliga yttre hot mot samhÀllets infrastruktur, samt
5.frÀmmande underrÀttelseverksamhet mot svenska intressen.
I förordningarna bör det vidare föreskrivas att nÀr respektive myn- dighet Àr gemensamt personansvarig med annan ska myndigheten sÀkerstÀlla att de förpliktelser var och en har i egenskap av person- uppgiftsansvarig regleras i en skriftlig överenskommelse Vid en sÄdan överenskommelse ska respektive myndighets författningsenliga skyl- digheter kvarstÄ. I förordningarna bör slutligen föreskrivas att den som personuppgiften rör fÄr, trots en sÄdan överenskommelse, utöva sina rÀttigheter gentemot var och en av de personuppgiftsansvariga.
6.2.9Uttryck i lagen
Utredningens förslag: Vissa uttryck som anvÀnds i de föreslagna lagarna ska definieras.
150
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
SkÀl för utredningens förslag: Sedan
Nedan följer en genomgÄng av begreppens definitioner samt huru- vida begreppen Àr nytillkomna, förÀndrade, oförÀndrade eller inte lÀngre ska förekomma i lagtexten.
Behandling av personuppgifter
Behandling av personuppgifter definieras i
Utredningen föreslĂ„r att behandling av personuppgifter i de nya lagarna definieras som âEn Ă„tgĂ€rd eller kombination av Ă„tgĂ€rder som vidtas i frĂ„ga om personuppgifter eller uppsĂ€ttningar av personupp- gifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller tillhandahĂ„llande pĂ„ annat sĂ€tt, justering, sammanföring, begrĂ€nsning Ă€ndring, framtagning, lĂ€sning, anvĂ€ndning, utlĂ€mnande, spridning eller, radering eller förstöring.â
Den föreslagna lydelsen, som har samma lydelse som förslagen till motsvarande definitioner i SÀkerhetspolisens datalag och brotts- datalagen, innebÀr sprÄkliga skillnader jÀmfört med dataskyddsför- ordningen och vissa Àndringar i de upprÀknade exemplen jÀmfört med
151
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
BetrĂ€ffande begreppen radering och förstöring kan följande note- ras. Radering finns med i upprĂ€kningen i dataskyddsförordningens artikel 4 som alternativ till bl.a. förstöring, men nĂ„gon nĂ€rmare förklaring till vad radering innebĂ€r finns inte utöver att raderingen (enligt artikel 17) kopplas till ârĂ€tten att bli bortglömdâ. Radering/ rĂ€tten att bli bortglömd antyder att radering enligt dataskyddsför- ordningen innebĂ€r att personuppgifterna ska raderas/tas bort per- manent frĂ„n alla databĂ€rare/informationssamlingar, dvs. pĂ„ ett sĂ„dant sĂ€tt att informationen inte kan Ă„terskapas vid senare tillfĂ€lle (se Ă€ven SOU 2017:29 s. 727 och SOU 2017:39 s. 317), dvs. samma betydelse som utplĂ„na enligt
BetrÀffande begreppet begrÀnsning kan följande noteras. Enligt 1 kap. 4 §
152
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Biometriska uppgifter
Utredningen föreslĂ„r att en definition av begreppet Biometriska upp- gifter bör införas i de nya lagarna och definieras som âPersonuppgifter som rör en persons fysiska, fysiologiska eller beteendemĂ€ssiga kĂ€nnetecken, som tagits fram genom sĂ€rskild teknisk behandling och som möjliggör eller bekrĂ€ftar unik identifiering av personen i frĂ„ga.â
Begreppet har inte definierats i
Dataskyddsombud
Personuppgiftsombud definieras i
Funktionen som enligt nuvarande lag benÀmns personuppgifts- ombud föreslÄs fortsÀttningsvis benÀmnas dataskyddsombud och definieras som en fysisk person som utses av den personuppgifts- ansvarige för att sjÀlvstÀndigt se till att personuppgifter behandlas författningsenligt och pÄ ett korrekt sÀtt.
Motiven för Àndringen utvecklas under avsnitt 6.6.5.
Genetiska uppgifter
Utredningen föreslĂ„r att en definition av begreppet Genetiska upp- gifter bör införas i de nya lagarna och definieras som âPersonupp- gifter som rör en persons nedĂ€rvda eller förvĂ€rvade genetiska kĂ€nne- tecken och som hĂ€rrör frĂ„n analys av ett spĂ„r av eller ett prov frĂ„n personen i frĂ„gaâ.
Begreppet har inte definierats i
153
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Logg
Logg definieras inte i
Loggning och logguppföljning behandlas under avsnitt 6.6.2.
Mottagare
Mottagare definieras i
Mottagare definieras pĂ„ samma sĂ€tt, nĂ„got annorlunda uttryckt, i brottsdatalagen och förslaget till SĂ€kerhetspolisens datalag (SOU 2017:74 s. 36) som âden till vilken personuppgifter lĂ€mnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision.â
Utredningen föreslĂ„r att mottagare i de nya lagarna ska definieras pĂ„ samma sĂ€tt som i förslaget till SĂ€kerhetspolisens datalag. Ănd- ringen i förhĂ„llande till
Personuppgift
Personuppgifter definieras i
Utredningen föreslĂ„r att personuppgifter i de nya lagarna definie- ras som âVarje upplysning om en identifierad eller identifierbar fysisk person som Ă€r i livetâ, i likhet med bl.a. dataskyddsförordningen. Den nya lydelsen innebĂ€r inte nĂ„gon Ă€ndring i sak, men gör defini- tionen enhetlig med övriga lagar pĂ„ personuppgiftsomrĂ„det.
154
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Personuppgiftsansvarig
Utredningen föreslĂ„r att en definition av begreppet Personuppgifts- ansvarig införs i de nya lagarna och definieras som âDen som ensam eller tillsammans med andra bestĂ€mmer Ă€ndamĂ„len med och medlen för behandlingen av personuppgifterâ.
Begreppet har inte definierats i
PersonuppgiftsbitrÀde
Utredningen föreslĂ„r att definitionen av begreppet Personuppgifts- bitrĂ€de ska definieras i de nya lagarna som âden som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges rĂ€kningâ.
Den föreslagna definitionen, som stÀmmer överens med förslaget till SÀkerhetspolisens datalag, innehÄller Àven ett uttryckligt krav pÄ skriftligt avtal, vilket saknas i definitionen i
Tredje part
Tredje man definieras i
Utredningen föreslĂ„r att termen ska Ă€ndras till tredje part med oförĂ€ndrad lydelse i övrigt. SkĂ€len för förslaget Ă€r att det saknas skĂ€l att hĂ„lla fast vid man i detta sammanhang nĂ€r betydelsen Ă€r helt frikopplad frĂ„n ordets egentliga betydelse. Ăven dataskyddsför- ordningen, som flertalet övriga svenska myndigheter, företag och organisationer kommer att tillĂ€mpa, anger numera tredje part. Inte heller man i betydelsen mĂ€nniska utgör skĂ€l att behĂ„lla man i nu aktuella lagar eftersom en utomstĂ„ende i sammanhanget likavĂ€l kan
155
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
vara en myndighet, sammanslutning eller organisation. Förslaget av- viker i denna del frÄn förslaget till SÀkerhetspolisens datalag.
Uppgiftssamling
Uppgiftssamling definieras i
Utredningen föreslĂ„r att definitionen ska införas i de nya lagarna med den Ă€ndringen att anvĂ€nds gemensamtâ byts ut mot âĂ€r gemen- samt tillgĂ€ngligaâ.
Begreppets innebörd behandlas i avsnitt 6.5.1.
6.3Behandlingen av personuppgifter
6.3.1Försvar och sÀkerhet som rÀttslig grund för behandling av personuppgifter hos Försvarsmakten
Utredningens förslag: Försvarsmakten fÄr behandla personupp- gifter om det Àr nödvÀndigt för att planera, förbereda och genom- föra verksamhet som rör
1.Sveriges försvar och sÀkerhet, eller
2.internationellt försvars- och sÀkerhetssamarbete.
Försvarsmaktens uppgift att bedriva sÄdan verksamhet ska framgÄ av lag, förordning eller ett sÀrskilt beslut i vilket regeringen upp- dragit Ät myndigheten att ansvara för uppgiften.
SkÀl för utredningens förslag: Personuppgifter fÄr enligt den före- slagna bestÀmmelsen behandlas i Försvarsmaktens verksamhet om behandlingen Àr nödvÀndig för att planera, förbereda och genomföra verksamhet som rör Sveriges försvar och sÀkerhet. Försvarsmaktens uppgift att bedriva sÄdan verksamhet ska framgÄ av lag, förordning eller ett sÀrskilt beslut i vilket regeringen uppdragit Ät myndigheten att ansvara för uppgiften.
156
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Regler om denna verksamhet omfattas inte av unionsrÀtten och enligt utredningens mening bör nÄgon Àndring hÀrvidlag inte göras utan hÀr bör enbart nationella bestÀmmelser gÀlla.
I det följande beskriver utredningen vilken verksamhet i Försvars- makten som den föreslagna bestÀmmelsen omfattar. Till en del inne- bÀr beskrivningen en upprepning av bakgrundsbeskrivningen i av- snitt 3.1 men bedöms nödvÀndig hÀr för att ge en uppfattning om den personuppgiftsbehandling som Àr aktuell i sammanhanget.
Som framgÄr av avsnitt 3.1 har Försvarsmakten i uppdrag att upp- rÀtthÄlla och utveckla ett militÀrt försvar som ytterst kan möta ett vÀpnat angrepp samt att försvara Sverige och frÀmja svensk sÀkerhet. Grunden för Försvarsmaktens verksamhet Àr förmÄgan till vÀpnad strid.
Vid höjd beredskap ska Försvarsmakten kunna krigsorganisera, mobilisera och anvÀnda alla krigsförband för att möta ett militÀrt hot mot Sverige och svenska intressen. Krigsförband ska kunna krigs- organiseras, Àven om höjd beredskap inte rÄder. Krigsorganisationen och planeringen av denna innefattar personuppgiftsbehandling av anstÀllda i Försvarsmakten och andra som pÄ annat sÀtt Àr knutna till myndigheten.
Behandlingen avser:
1.yrkesofficerare, kontinuerligt tjÀnstgörande anstÀllda gruppbefÀl, soldater och sjömÀn och Försvarsmaktens civila arbetstagare,
2.de som Àr tidsbegrÀnsat anstÀllda med stöd av 2 § lagen (2010:449) om Försvarsmaktens personal vid internationella militÀra insatser,
3.officersaspiranter,
4.reservofficerare och tidvis tjÀnstgörande anstÀllda gruppbefÀl, soldater och sjömÀn,
5.hemvÀrnsmÀn och frivillig personal,
6.den som Àr inskriven för vÀrnplikt och som tjÀnstgör i Försvars- makten, och
7.krigsfrivilliga.
157
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
NÀr det gÀller personal i krigsorganisationen som inte Àr anstÀlld i Försvarsmakten bör personuppgiftsbehandlingen enbart gÀlla upp- gifterna i krigsorganisationen. Detta blir en följd av kravet att per- sonuppgiftsbehandlingen ska vara nödvÀndig för att upprÀtta och utveckla ett militÀrt försvar eller för att försvara Sverige. Det Àr bara i dessa sammanhang som det kravet gör sig gÀllande för denna per- sonalkategori.
För de anstÀllda i Försvarsmakten tillkommer emellertid att de ocksÄ Àr föremÄl för Försvarsmaktens personuppgiftsbehandling i den för alla myndigheter normala personaladministrativa verksam- heten, sÄsom hanteringen av löner, ledigheter etc. Den personupp- giftsbehandlingen har dock ett nÀra samband med den som avser krigsorganisationen och planeringen av denna. Det Àr enligt utred- ningens mening inte lÀmpligt att de separeras pÄ sÄ sÀtt att de kom- mer att omfattas av skilda regelsystem. För att pÄ ett ÀndamÄlsenligt sÀtt upprÀtthÄlla och utveckla Sveriges militÀra försvar eller för att försvara Sverige Àr det enligt utredningens mening nödvÀndigt att de omfattas av samma reglering.
NÀr det gÀller Försvarsmaktens krigsorganisation omfattar be- stÀmmelsen sÄledes behandlingen av personuppgifter som rör anstÀllda i Försvarsmakten och annan personal som ingÄr i eller kan komma att ingÄ i myndighetens krigsorganisation.
Operationer och övningar Ă€r nödvĂ€ndiga för Försvarsmaktens uppdrag att upprĂ€tthĂ„lla och utveckla ett militĂ€rt försvar och att ha förmĂ„ga till vĂ€pnad strid. NĂ€r Försvarsmakten planerar, förbereder och genomför militĂ€ra operationer och övningar behandlar myndig- heten uppgifter om de som deltar i operationerna och övningarna. I dessa kan andra Ă€n personal i krigsorganisationen delta. Vid genomförande av nationella militĂ€ra operationer och internationella militĂ€ra insatser behandlar Försvarsmakten Ă€ven uppgifter om mot- stĂ„ndare eller andra aktörer. Ăven denna personuppgiftsbehandling omfattas av bestĂ€mmelsen.
Enligt förordningen (1982:765) om Försvarsmaktens ingripanden vid krÀnkningar av Sveriges territorium under fred och neutralitet
m.m.(IKFN) ska Försvarsmakten bl.a. upptÀcka och avvisa krÀnk- ningar av svenskt territorium och i samarbete med civila myndigheter ingripa vid andra övertrÀdelser av tilltrÀdesförordningen (1992:118). Vid dessa ingripanden kan personuppgifter komma att behandlas. SÄdan behandling omfattas ocksÄ av bestÀmmelsen.
158
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
En annan verksamhet nĂ€r det gĂ€ller att upprĂ€tthĂ„lla och utveckla ett militĂ€rt försvar Ă€r utveckling av teknik och metodik (se vidare avsnitt 3.1). Det Ă€r oundvikligt att verksamhet som bl.a. syftar till att pröva och anpassa teknisk utrustning och tekniska system leder till att personuppgifter behandlas. Ăven i detta sammanhang kan det bli aktuellt med behandling av personuppgifter. OcksĂ„ sĂ„dan behand- ling omfattas av bestĂ€mmelsen.
Som anges i avsnitt 3.1. bedriver Försvarsmakten till stöd för lösan- det av Försvarsmaktens militÀra uppgifter underrÀttelseverksamhet som inte utgör försvarsunderrÀttelseverksamhet eller militÀr sÀkerhetstjÀnst. Personuppgiftsbehandlingen inom denna underrÀttelseverksamhet rör Sveriges försvar och sÀkerhet och omfattas dÀrför av bestÀmmelsen.
Försvarsmakten har vidare vissa andra arbetsuppgifter som rör Sveriges försvar och sÀkerhet och som anges i lag eller förordning. I avsnitt 3.1 ges ett antal exempel pÄ sÄdana uppgifter. De gÀller stöd till polisen vid terrorismbekÀmpning, omvÀrldsbevakning och viss attachéverksamhet. DÀr anges ocksÄ utnyttjande av personal inom Kustbevakningen, polismÀns deltagande i försvaret av riket i krig samt utredningar för att bedöma totalförsvarspliktigas förutsÀttningar att fullgöra vÀrnplikt.
Den personuppgiftsbehandling som Àr nödvÀndig för Försvars- makten att genomföra de nu nÀmnda verksamheterna omfattas av bestÀmmelsen. Beskrivningen av verksamheterna gör inte ansprÄk pÄ att vara fullstÀndig. Det kan finnas andra uppgifter för Försvarsmakten som rör Sveriges försvar och sÀkerhet. SÄdana kan ocksÄ tillkomma.
Avslutningsvis vill utredningen nÀmna nÄgra författningsenliga upp- gifter som klart faller utanför bestÀmmelsen. Som tidigare antytts ska myndigheten enligt 2 § andra stycket förordningen (2007:1266) med instruktion för Försvarsmakten med myndighetens befintliga för- mÄga och resurser kunna lÀmna stöd till civil verksamhet, se vidare hÀrom förordningen (2002:375) om Försvarsmaktens stöd till civil verksamhet. Enligt 3 § förordningen med instruktion för Försvars- makten ska myndigheten ansvara för att samla in, bearbeta och lÀmna Kustbevakningen sjölÀgesinformation sammanstÀlld för civila behov och pÄ begÀran av polisen utföra helikoptertransporter som Àr av större vikt för genomförandet av polisiÀra insatser, se hÀrom vidare förordningen (2017:113) om Försvarsmaktens stöd till polisen med helikoptertransporter. Slutligen ska nÀmnas förordningen (2000:278) om gÄvor och överföringar av överskottsmateriel hos Försvarsmakten.
159
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Den föreslagna bestÀmmelsen omfattar i och för sig ocksÄ Försvars- maktens försvarsunderrÀttelsetjÀnst och militÀra sÀkerhetstjÀnst. Med hÀnsyn till dessa verksamheters karaktÀr och till att de hittills har reglerats i
Internationellt försvars- och sÀkerhetssamarbete
Personuppgifter fÄr enligt den föreslagna bestÀmmelsen behandlas i Försvarsmaktens verksamhet om behandlingen Àr nödvÀndig för att planera, förbereda och genomföra verksamhet som avser internatio- nellt försvars- och sÀkerhetssamarbete. Försvarsmaktens uppgift att bedriva sÄdan verksamhet ska framgÄ av lag, förordning eller ett sÀr- skilt beslut i vilket regeringen uppdragit Ät myndigheten att ansvara för uppgiften. I 2 § och 3 a § förordningen med instruktion för Försvars- makten ges Försvarsmakten uppdrag av detta slag. En nÀrmare beskriv- ning av Försvarsmaktens internationella samarbeten finns i avsnitt 3.1. HÀr ska endast konstateras att det inom dessa samarbeten behandlas uppgifter som kan avse andra personer Àn de som ingÄr eller kan komma att ingÄ i krigsorganisationen. SÄdan behandling omfattas av bestÀmmelsen.
6.3.2FörsvarsunderrÀttelseverksamhet som rÀttslig grund för behandling av personuppgifter hos Försvarsmakten
Utredningens förslag: Personuppgifter fÄr behandlas i Försvars- maktens försvarsunderrÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet.
De personuppgifter som Försvarsmakten har fÄtt tillgÄng i myndighetens försvarsunderrÀttelseverksamhet fÄr fortsatt behand- las i den verksamheten, om det behövs för att fullfölja den.
Detta gÀller dock endast om inget annat följer av den före- slagna lagen om behandling av personuppgifter hos Försvarsmakten eller förordning som regeringen har meddelat i anslutning till den lagen.
160
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
SkÀl för utredningens förslag: Av 1 kap. 8 § första stycket
Försvarsmakten beslutar för varje Är en inhÀmtandeplan som bl.a. utgör en prioritering av vad myndigheten anser sig kunna utföra av de behov som uppdragsgivarna genom sina inriktningar har angett. I
Regeringens inriktning och de nÀrmare inriktningarna anger beho- ven av underrÀttelser, dvs. vilken information som efterfrÄgas. Hur detta ska uppnÄs avgörs av den som utför uppgiften. För Försvars- maktens del Àr inhÀmtandeplanen ett instrument för detta. Som Wilhelm Agrell anför i boken Konsten att gissa rÀtt Àr underrÀttelse- behoven i sig ingen styrfunktion utan det Àr först nÀr behoven omsÀtts i planering som de kan resultera i det konkreta arbete som under- rÀttelseprocessen förutsÀtter.1
1Agrell, Wilhelm, Konsten att gissa rÀtt, underrÀttelsevetenskapens grunder, Studentlittera- tur, Lund 1998.
161
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Som regeringen anför i den proposition som ligger till grund för nuvarande reglering av behandlingen av personuppgifter i Försvars- maktens försvarsunderrÀttelseverksamhet Àr ÀndamÄlet för behand- lingen att myndigheten ska kunna fullfölja de uppgifter som Äligger myndigheten enligt lagen om försvarsunderrÀttelseverksamhet och den dÀrtill hörande förordningen (prop. 2006/07:46 s. 64). Reger- ingen förklarade att det inte Àr möjligt att i lagtext nÀrmare precisera de ÀndamÄl för vilka personuppgifter fÄr behandlas i försvarsunder- rÀttelseverksamheten (se a. prop. s. 65). Det kan hÀr tillÀggas att det i den senare tillkomna lagen om signalspaning i försvarsunderrÀttelse- verksamhet anges Ätta olika syften för signalspaningen (1 § andra stycket).
Enligt 1 kap. 8 § andra stycket
I tillÀmpningen har frÄga uppkommit om bestÀmmelsen om anknytning till preciserad inriktning innebÀr att varje personuppgift som behandlas i försvarsunderrÀttelseverksamheten mÄste hÀnföras direkt till regeringens vid varje tidpunkt gÀllande inriktning. Ett annat synsÀtt Àr att uppfattningen om anknytningens betydelse i sammanhanget inte bör drivas sÄ lÄngt. I stÀllet rÀcker det att den indirekt berörs av den preciserade inriktningen pÄ sÄ sÀtt att behand- lingen av personuppgiften behövs för att fullfölja det som följer av regeringens och andra uppdragsgivares inriktning. Den osÀkerhet som kan finnas nÀr det gÀller innebörden av anknytningen till pre- ciserad inriktning befrÀmjar enligt utredningens mening inte en effek- tiv underrÀttelseverksamhet. Utredningen anser dÀrtill att kravet pÄ anknytning till en preciserad inriktning kan ifrÄgasÀttas. Inriktningarna och planeringen utgör avgrÀnsningar av behandlingen av person- uppgifter pÄ sÄ sÀtt att de anger underrÀttelsebehoven. Men med led- ning av inriktningarna och planeringen kan man inte i detalj avgöra vilken personuppgiftsbehandling som kan vara och bli nödvÀndig.
I underrÀttelseverksamhetens natur ligger nÀmligen att det inte gÄr att pÄ förhand göra tydliga avgrÀnsningar av vilka uppgifter som mÄste inhÀmtas för att nÄ det slutliga mÄlet att Ästadkomma de
162
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
underrÀttelser som uppdragsgivarna efterfrÄgar. InhÀmtad informa- tion kan motivera inhÀmtning av annan information som man frÄn början inte kÀnde till. Det kan ocksÄ uppkomma behov av att vÀrdera trovÀrdigheten hos kÀllor, som man heller inte kÀnde till frÄn början. SÀrskilt tydligt blir det nu sagda nÀr verksamheten till stora delar gÄr ut pÄ att leta efter företeelser och hot som Àr okÀnda men som man antar existerar.
I sammanhanget vill utredningen ocksÄ peka pÄ följande för- hÄllanden. FörsvarsunderrÀttelseverksamhet Àr huvudsakligen fram- Ätsyftande. Den kartlÀgger företeelser i syfte att kunna förvarna om bl.a. avsikter, aktiviteter och hot till stöd för de inriktande myn- digheternas egna verksamheter. KartlÀggningar avser bl.a. skeenden, organisationer och aktörer av betydelse för förstÄelsen för den om- vÀrldsutveckling som inriktningarna adresserar. För att kunna förstÄ ett skeende eller en aktörs agerande behöver det observerade emeller- tid ofta sÀttas in i ett kontextuellt och historiskt sammanhang. Först dÀrefter kan bedömningar om det observerades underrÀttelserele- vans göras. Det som observeras i dag behöver sÄledes jÀmföras med tidigare observationer. För vissa företeelser behöver sÄdana jÀmfö- relser kunna göras med observationer som gjordes lÄngt tillbaka i tiden, inte sÀllan
Det som nu har sagts visar enligt utredningens mening att under- rÀttelseverksamhet som bedrivs enligt lagen om försvarsunderrÀt- telseverksamhet mÄste kunna avse förhÄllanden som inte alltid direkt kan hÀnföras till regeringens vid varje tidpunkt gÀllande inriktning sÄ lÀnge dessa förhÄllanden har betydelse för fullföljandet av det uppdrag som inriktningen innebÀr. DÀrmed mÄste det ocksÄ vara möjligt att behandla personuppgifter som rör dessa förhÄllanden. Detta kommer till uttryck i den föreslagna regleringen pÄ sÄ sÀtt att personuppgifter fÄr behandlas i Försvarsmaktens försvarsunderrÀt- telseverksamhet om det Àr nödvÀndigt för att bedriva den verksam- het som anges i lagen om försvarsunderrÀttelseverksamhet. Enligt utredningen fÄr detta anses vara en tillrÀcklig ÀndamÄlsbeskrivning som dock i förtydligande syfte bör kompletteras i tvÄ avseenden till
163
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
vilka utredningen Äterkommer i det följande och avsnitt 6.3.4. Utred- ningen anser sÄledes att den nuvarande ordningen med kravet pÄ anknytning till en preciserad inriktning inte bör behÄllas.
Genom den föreslagna regleringen av ÀndamÄlen med person- uppgiftsbehandlingen i försvarsunderrÀttelseverksamheten kommer, som utredningen nyss nÀmnde, behandlingen kunna avse förhÄllan- den som inte alltid direkt kan hÀnföras till regeringens vid varje tidpunkt gÀllande inriktning sÄ lÀnge dessa förhÄllanden har bety- delse för fullföljandet av det försvarsunderrÀttelseuppdrag som följer av inriktningen.
Som ovan anförts mÄste en underrÀttelseverksamhet behandla Àldre information, inklusive personuppgifter, för att man ska kunna förstÄ och bedöma den underrÀttelsemÀssiga relevansen av sÄdant som sker i dag. För tydlighetens skull anser utredningen att Ànda- mÄlsbeskrivningen bör kompletteras med en föreskrift som innebÀr att de personuppgifter som Försvarsmakten har fÄtt tillgÄng till i sin försvarsunderrÀttelseverksamhet fortsatt fÄr behandlas i den verk- samheten, om det behövs för att fullgöra den.
Detta bör dock endast gÀlla om inget annat följer av den före- slagna lagen om behandling av personuppgifter vid Försvarsmakten eller förordning som regeringen har meddelat i anslutning till den lagen.
Den föreslagna föreskriften ger ocksÄ ett stöd för behandling av uppgifter som behövs för att Försvarsmakten ska kunna uppfylla de krav som uppdragsgivarna stÀller pÄ snabbhet och flexibilitet i samband med internationella kriser och andra hastigt uppkomna hÀndelser.
164
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
6.3.3MilitÀr sÀkerhetstjÀnst som rÀttslig grund för behandling av personuppgifter hos Försvarsmakten
Utredningens förslag: Personuppgifter fÄr behandlas i Försvars- maktens militÀra sÀkerhetstjÀnst för att upptÀcka, förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvars- makten och dess sÀkerhetsintressen, om det Àr nödvÀndigt för att
1.klarlÀgga verksamhet som innefattar hot mot Sveriges sÀker- het, eller
2.vidta ÄtgÀrder som hindrar eller försvÄrar sÀkerhetshotande verksamhet.
Uppgifter om en person fÄr behandlas för de angivna ÀndamÄlen endast om
1.uppgifterna Àr nödvÀndiga för att kartlÀgga verksamhet som innefattar brott som kan hota Sveriges sÀkerhet eller terrorist- brott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,
2.uppgifterna Àr nödvÀndiga för att kartlÀgga underrÀttelseverk- samhet riktad mot Försvarsmakten och dess sÀkerhets- intressen,
3.uppgifterna Àr nödvÀndiga för att kartlÀgga annan sÀkerhets- hotande verksamhet Àn som avses i 1 och som innefattar brott eller ÄsidosÀttande av Äligganden i anstÀllning hos Försvars- makten, och det finns sÀrskilda skÀl till att uppgiften ska be- handlas,
4.personen har lÀmnat uppgifter om sÀkerhetshotande verk- samhet och personuppgifterna Àr nödvÀndiga för att bedöma personens trovÀrdighet,
5.uppgifterna avser information som har framkommit i samband med sÀkerhetsprövning enligt sÀkerhetsskyddslagen (1996:627) eller i annat fall Àr nödvÀndiga för att utföra en uppgift som rör sÀkerhetsskydd.
Personuppgifter som behandlas enligt ovan ska förses med upp- lysning om pÄ vilken av de angivna grunderna uppgiften behandlas.
165
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Om behandlingen av en personuppgift föranleds av nÄgot annat Àn antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det sÀrskilt anges att personen inte Àr misstÀnkt för brottslig verksamhet, om det inte pÄ annat sÀtt klart framgÄr att sÄdan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan sÀkerhetshotande verksamhet ska förses med en sÀrskild upp- lysning om detta, om det inte pÄ annat sÀtt klart framgÄr att sÄdant antagande inte finns.
Personuppgifter som behandlas enligt punkterna
Trots vad som sÀgs ovan fÄr personuppgifter som ingÄr i eller har uppkommit i samband med anvÀndning av totalförsvarets telekommunikations- och informationssystem behandlas för att förhindra obehörig insyn i och pÄverkan av dessa system. Det gÀller Àven kÀnsliga personuppgifter och personuppgifter dÀr den som uppgifterna rör har offentliggjort dem eller lÀmnat sitt sam- tyckes. Behandling som sÀrskilt syftar till att identifiera en person fÄr dock endast utföras om bestÀmmelserna i punkterna 1, 2 eller 3 tillÀmpas.
SkÀl för utredningens förslag: Liksom konstaterats betrÀffande försvarsunderrÀttelseverksamheten definieras inte heller vad som avses med militÀr sÀkerhetstjÀnst i
166
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
försvĂ„rar sĂ€kerhetshotande verksamhet. DĂ„ Ă€r det frĂ„ga om sĂ€kerhets- skyddstjĂ€nst. Ăven inom signalskyddstjĂ€nsten, som Ă€r en sĂ€kerhets- skyddsangelĂ€genhet, kan arbete förekomma som avser att klarlĂ€gga sĂ€kerhetshotande verksamhet. SignalskyddstjĂ€nsten innefattar, liksom sĂ€kerhetsskyddstjĂ€nsten, Ă„tgĂ€rder för att hindra eller försvĂ„ra sĂ€ker- hetshotande verksamhet, varför den inte behöver regleras sĂ€rskilt. I motiven till den nuvarande regleringen angavs Ă€ven att det saknas behov av att i lagen ange de olika verksamhetsgrenarna inom den mili- tĂ€ra sĂ€kerhetstjĂ€nsten (prop. 2006/07:46 s. 65 f.).
Den militÀra sÀkerhetstjÀnsten Àr en grundlÀggande verksamhet för Sveriges försvar och nationell sÀkerhet omfattas dÀrmed inte av unionsrÀtten. Enligt utredningens mening bör personuppgiftsbehand- lingen sÄvitt avser denna verksamhet Àven fortsatt regleras sÀrskilt och omfattas av den föreslagna sÀrlagstiftningen.
Som framgÄr av avsnitt 5.1.2 fÄr personuppgifter behandlas i Försvarsmaktens militÀra sÀkerhetstjÀnst för att upptÀcka, förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvars- makten och dess sÀkerhetsintressen, om det Àr nödvÀndigt för att klarlÀgga verksamhet som innefattar hot mot rikets sÀkerhet, eller vidta ÄtgÀrder som hindrar eller försvÄrar sÀkerhetshotande verk- samhet (1 kap. 9 §
Utredningen föreslÄr att de nÀrmare bestÀmmelserna som anger villkoren för personuppgiftsbehandlingen utformas pÄ samma sÀtt i den nya lagen som i den nuvarande med de Àndringar som framgÄr av det följande.
Enligt första och andra punkterna fĂ„r uppgifter behandlas för att kartlĂ€gga verksamhet som innefattar brott som kan hota rikets sĂ€kerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstift- ning eller om uppgifterna Ă€r nödvĂ€ndiga för att kartlĂ€gga underrĂ€t- telseverksamhet riktad mot Försvarsmakten och dess sĂ€kerhets- intressen. Genom uttrycket âkartlĂ€ggaâ blir bestĂ€mmelserna Ă€ven tillĂ€mpliga pĂ„ uppgifter om sĂ„dana personer som kan betraktas som sekundĂ€ra i förhĂ„llande till den som utgör hotet eller utövar under- rĂ€ttelseverksamheten men som Ă€ndĂ„ Ă€r av betydelse för att klarlĂ€gga verksamhet som innefattar hot mot Sveriges sĂ€kerhet.
167
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Enligt tredje punkten fĂ„r uppgifter behandlas för de angivna Ă€nda- mĂ„len om uppgifterna Ă€r nödvĂ€ndiga för att kartlĂ€gga annan sĂ€kerhets- hotande verksamhet och som innefattar brott eller Ă„sidosĂ€ttande av Ă„ligganden i anstĂ€llning hos Försvarsmakten, och det finns sĂ€rskilda skĂ€l till att uppgifterna behandlas. Ăven hĂ€r blir det möjligt att behandla uppgifter om sĂ„dana personer som kan betraktas som sekundĂ€ra i förhĂ„llande till den som utövar den sĂ€kerhetshotande verksamheten men som Ă€ndĂ„ Ă€r av betydelse för att klarlĂ€gga denna verksamhet.
Kravet pÄ sÀrskilda skÀl innebÀr att personuppgifter inte fÄr behandlas vid en rent bagatellartad förseelse som inte ens om den upprepades eller sammantaget med annan verksamhet skulle för- anleda nÄgon ÄtgÀrd. NÄgon ytterligare omstÀndighet erfordras för att behandling ska fÄ ske, t.ex. att det bedöms föreligga risk för upprepning eller att personen i frÄga har en sÄdan position att upp- följning Àr nödvÀndig. Som en grundlÀggande förutsÀttning gÀller att den sÀkerhetshotande verksamheten ska vara riktad mot Försvars- makten och dess sÀkerhetsintressen (prop. 2006/07:46 s. 70 f.).
Enligt fjÀrde och femte punkterna fÄr uppgifter behandlas för de angivna ÀndamÄlen om personen har lÀmnat uppgifter om sÀkerhets- hotande verksamhet och personuppgifterna Àr nödvÀndiga för att bedöma personens trovÀrdighet (fjÀrde punkten) eller om uppgif- terna har framkommit genom att nÄgon genomgÄtt en sÀkerhets- prövning enligt sÀkerhetsskyddslagen (femte punkten).
BetrĂ€ffande femte punkten gör utredningen följande övervĂ€gan- den i frĂ„ga om uttrycket âsĂ€kerhetsprövningâ. Försvarsmakten ska leda och bedriva militĂ€r sĂ€kerhetstjĂ€nst och mĂ„ste för att uppfylla syftet med sĂ€kerhetsskyddslagen vidta vissa sĂ€kerhetsskyddsĂ„tgĂ€rder. Dessa Ă„tgĂ€rder benĂ€mns i sĂ€kerhetsskyddslagen informationssĂ€kerhet, tilltrĂ€desbegrĂ€nsning samt sĂ€kerhetsprövning. I bestĂ€mmelsen i femte punkten behöver sĂ„ledes âsĂ€kerhetsprövningâ ersĂ€tta tidigare ut- trycken âregisterkontroll eller sĂ€rskild personutredningâ. SkĂ€let Ă€r att sĂ€kerhetsprövning Ă€r ett vidare begrepp som innefattar mer Ă€n regi- sterkontroll eller sĂ€rskild personutredning. Av 14 § sĂ€kerhetsskydds- förordningen framgĂ„r nĂ€mligen att sĂ€kerhetsprövningen grundas pĂ„
168
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
1.den personliga kÀnnedom som finns om den som prövningen gÀller,
2.uppgifter som framgÄr av betyg, intyg och referenser, samt om bestÀmmelserna om sÄdana ÄtgÀrder Àr tillÀmpliga
3.uppgifter som har kommit fram vid registerkontroll och sÀrskild personutredning.
Femte punkten bör sÄledes tÀcka in alla delar i en sÀkerhetsprövning enligt sÀkerhetsskyddslagen, vilket bör framgÄ direkt av författ- ningstexten.2
Av femte punkten bör Àven framgÄ att uppgifter om en person fÄr behandlas för de angivna ÀndamÄlen om de i annat fall Àr nöd- vÀndiga för att utföra en uppgift som rör sÀkerhetsskydd. Exempel pÄ sÄdana uppgifter Àr Försvarsmaktens tilltrÀdeskontroll vid objekt, lokaler och omrÄden dÀr Försvarsmakten bedriver verksamhet som krÀver sÀkerhetsskydd, behörighetshantering inom signalskydds- tjÀnsten, utbildning i sÀkerhetsskydd och kontroll av sÀkerhetsloggar.
Enligt 1 kap. 10 § andra stycket
Av 1 kap. 10 § tredje stycket
2Se Àven prop. 1995/96:129 om sÀkerhetsskydd (s. 78) samt prop. 2006/07:46 s. 67, dÀr det beskrivs att personuppgifter behandlas nÀr nÄgon varit föremÄl för sÀkerhetsprövning enligt sÀkerhetsskyddslagen.
169
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Motiven till bestÀmmelserna finns i prop. 2006/07:46 s. 70 f. och 122.
Utredningen föreslÄr att bestÀmmelser som motsvarar 1 kap. 10 § andra och tredje styckena
Enligt 1 kap. 11 §
Motiven till bestÀmmelsen finns i prop. 2006/07:46 s. 72 f. och 123). Utredningen föreslÄr att en motsvarande bestÀmmelse införs i
den nya lagen.
I 1 kap. 11 § andra stycket
170
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
6.3.4RÀttsliga grunder för behandling vid Försvarsmakten av personuppgifter som utgör allmÀnt tillgÀnglig information
Utredningens förslag: Personuppgifter som utgör allmÀnt till- gÀnglig information fÄr behandlas av Försvarsmakten om det Àr nödvÀndigt för
1.planering, förberedelse och genomförande av verksamhet som rör Sveriges försvar och sÀkerhet eller internationellt försvars- och sÀkerhetssamarbete,
2.försvarsunderrÀttelseverksamheten, eller
3.den militÀra sÀkerhetstjÀnsten.
SkÀl för utredningens förslag: Som tidigare nÀmnts behöver Försvarsmakten för att kunna bedriva en effektiv försvarsunder- rÀttelseverksamhet utöver den information som den inhÀmtar genom hemliga metoder, ocksÄ god tillgÄng till allmÀnt tillgÀnglig infor- mation. DÀrigenom kan den pÄ hemligt sÀtt inhÀmtade informa- tionen pÄ ett bÀttre sÀtt Àn eljest sÀttas in i sitt rÀtta sammanhang. Av intresse hÀr Àr information som utgörs av personuppgifter som kan pÄtrÀffas vid sökning pÄ internet eller vid sökningar i öppna databaser. Uppgifterna kan vara gratis eller tillgÀngliga pÄ kommer- siell grund. Gemensamt för dem Àr att de Àr publikt tillgÀngliga. Det kan röra sig om uppgifter som t.ex. en abonnent pÄ ett eller annat sÀtt har samtyckt att uppgifterna finns med i elektroniska telefon- kataloger eller förteckningar över
Ett syfte med att behandla personuppgifter i referensdatabaser kan vara att kunna skaffa ytterligare kunskap om förhÄllanden av relevans för fullföljandet av en inriktning, t.ex. telefonnummer, adresser, geografisk hemvist etc. Ett annat syfte kan vara att kunna identifiera vem som anvÀnder en adressuppgift av intresse, t.ex. telefonnummer som förekommer i den inhÀmtade informationen.
171
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Det Àr inte bara i försvarsunderrÀttelseverksamheten som det finns ett behov av att behandla personuppgifter pÄ det nu beskrivna sÀttet. OcksÄ den militÀra sÀkerhetstjÀnsten har behov av det. Behovet förekommer Àven nÀr det gÀller planering, förberedelse och genomförande av verksamhet som avser Sveriges försvar och sÀker- het eller internationellt försvars- och sÀkerhetssamarbete.
Antalet personuppgifter i myndighetens referensdatabaser kan bli mycket stort. Ăven om uppgifterna Ă€r allmĂ€nt tillgĂ€ngliga innebĂ€r ett stort antal en form av integritetsintrĂ„ng. De föreslagna Ă€ndamĂ„ls- bestĂ€mmelserna kan visserligen sĂ€gas tĂ€cka den nu beskrivna behand- lingen av personuppgifter. I klarhetens intresse bör behandlingen dock fĂ„ ett tydligt stöd i lagen. I lagen bör dĂ€rför införas en föreskrift om att personuppgifter som utgörs av allmĂ€nt tillgĂ€nglig informa- tion fĂ„r behandlas av Försvarsmakten om det Ă€r nödvĂ€ndigt för pla- nering, förberedelse och genomförande av verksamhet som avser Sveriges försvar och sĂ€kerhet eller internationellt försvars- och sĂ€ker- hetssamarbete, försvarsunderrĂ€ttelseverksamheten eller den militĂ€ra sĂ€kerhetstjĂ€nsten.
6.3.5Ăvriga rĂ€ttsliga grunder för behandlingen av personuppgifter vid Försvarsmakten
Utredningens förslag: Personuppgifter fÄr Àven behandlas av Försvarsmakten om det Àr nödvÀndigt för diarieföring, arkiver- ing, handlÀggning av ett Àrende eller för att utföra en annan lik- nande uppgift som Äligger myndigheten.
SkĂ€l för utredningens förslag: Försvarsmakten har elektroniska Ă€rendehanteringssystem i vilka personuppgifter Ă€r sökbara enligt sĂ€rskilda kriterier och behörigheter. Diarieföringen vid Försvars- makten avser handlingar som rör Sveriges försvar och sĂ€kerhet. Det samma gĂ€ller de arkiverade handlingarna. ĂrendehandlĂ€ggningen vid myndigheten kan avse skadestĂ„ndsĂ€renden, tilltrĂ€desĂ€renden (ansökan frĂ„n annan stat om att fĂ„ tilltrĂ€de till svenskt territorium), Ă€renden inom Försvarsmaktens tillsyns- och inspektionsverksamhet, Ă€renden dĂ„ Försvarsmakten ansöker om miljötillstĂ„nd, Ă€renden enligt för- fogandelagstiftningen, Ă€renden om kvalificerade skyddsidentiteter och Ă€renden om utlĂ€mnande av allmĂ€n handling. Andra uppgifter
172
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
som liknar ÀrendehandlÀggning och som Äligger myndigheten kan vara att besvara frÄgor rörande Sveriges försvar eller att kommu- nicera med anstÀllda eller vÀrnpliktiga i frÄgor som rör deras tjÀnst. Det kan ocksÄ gÀlla utvÀrdering av den egna verksamheten sÄsom tidredovisning, lönesÀttning och sjuktal.
Utredningen anser att den behandling av personuppgifter som uppkommer i de nu beskrivna verksamheterna bör omfattas av den nya lagen.
6.3.6FörsvarsunderrÀttelseverksamhet som rÀttslig grund för behandling av personuppgifter vid Försvarets radioanstalt
Utredningens förslag: Personuppgifter fÄr behandlas i Försvarets radioanstalts försvarsunderrÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet och lagen (2008:717) om signal- spaning i försvarsunderrÀttelseverksamhet.
De personuppgifter som Försvarets radioanstalt har fÄtt till- gÄng till i sin försvarsunderrÀttelseverksamhet fÄr fortsatt behand- las i den verksamheten, om det behövs för att fullgöra den.
Detta gÀller dock endast om inget annat följer av den före- slagna lagen om behandling av personuppgifter vid Försvarets radio- anstalt eller förordning som regeringen har meddelat i anslutning till den lagen.
Personuppgifter som behandlas i försvarsunderrÀttelseverk- samheten fÄr Àven behandlas om det Àr nödvÀndigt för att till- handahÄlla information som behövs
1.i verksamhet hos berörda myndigheter som avses i 2 § lagen (2000:130) om försvarsunderrÀttelseverksamhet.
2.med anledning av samarbete med andra lÀnder och inter- nationella organisationer enligt lagen (2000:130) om försvars- underrÀttelseverksamhet och lagen (2008:717) om signalspa- ning i försvarsunderrÀttelseverksamhet.
3.i utvecklingsverksamheten för de ÀndamÄl som anges för den verksamheten,
173
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
4.i informationssÀkerhetsverksamheten för de ÀndamÄl som anges för den verksamheten, eller
5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
SkÀl för utredningens förslag: I
1.yttre militÀra hot mot landet,
2.förutsÀttningar för svenskt deltagande i fredsfrÀmjande och humanitÀra insatser eller hot mot sÀkerheten för svenska intres- sen vid genomförande av sÄdana insatser,
3.strategiska förhÄllanden avseende internationell terrorism och annan grov grÀnsöverskridande brottslighet som kan hota vÀsent- liga nationella intressen
4.utveckling och spridning av massförstörelsevapen, krigsmateriel, och produkter som avses i lagen (200:1064) om kontroll av pro- dukter med dubbla anvÀndningsomrÄden och av tekniskt bistÄnd,
5.allvarliga yttre hot mot samhÀllets infrastruktur,
6.konflikter utomlands med konsekvenser för internationell sÀkerhet,
7.frÀmmande underrÀttelseverksamhet mot svenska intressen, eller
8.frÀmmande makts agerande eller avsikter av vÀsentlig betydelse för svensk
174
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Enligt lagen om försvarsunderrÀttelseverksamhet ska regeringen bestÀmma försvarsunderrÀttelseverksamhetens inriktning och inom ramen för denna inriktning fÄr de myndigheter som regeringen bestÀmmer ange en nÀrmare inriktning av verksamheten. Regeringen brukar bestÀmma detta i inriktningsbeslutet. För Försvarets radio- anstalt anges kretsen av uppdragsgivare, sÄvitt gÀller signalspaning, i 4 § första stycket lagen om signalspaning i försvarsunderrÀttelse- verksamhet. Enligt den bestÀmmelsen fÄr inriktning av signalspaning endast anges av regeringen, Regeringskansliet, Försvarsmakten, SÀker- hetspolisen och Nationella operativa avdelningen i Polismyndigheten.
Enligt 1 kap. 8 § andra stycket
Försvarets radioanstalt beslutar för varje Är en preciserad inrikt- ning med produktionsplan som bl.a. utgör en prioritering av vad myndigheten anser sig kunna utföra av de behov som uppdrags- givarna genom sina inriktningar gett uttryck för. I
Utredningen har i avsnitt 6.3.2 nÀr det gÀller Försvarsmaktens försvarsunderrÀttelseverksamhet kommit fram till att ÀndamÄlet för personuppgiftbehandlingen i den verksamheten bör beskrivas sÄ att den ska vara nödvÀndig för att bedriva försvarsunderrÀttelseverk- samhet. Enligt utredningens mening bör den nuvarande ordningen med krav pÄ anknytning till en preciserad inriktning inte behÄllas. De skÀl och slutsatser som utredningen har fört fram nÀr det gÀller ÀndamÄlen för personuppgiftsbehandlingen i Försvarsmaktens för- svarsunderrÀttelseverksamhet gÀller Àven personuppgiftsbehandlingen
iFörsvarets radioanstalts försvarsunderrĂ€ttelseverksamhet. Ănda- mĂ„let för personuppgiftsbehandlingen i Försvarets radioanstalts för- svarsunderrĂ€ttelseverksamhet bör sĂ„ledes utformas i överensstĂ€m- melse med det som utredningen föreslĂ„r för personuppgiftsbehand- lingen i Försvarsmaktens försvarsunderrĂ€ttelseverksamhet.
175
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Beskrivningen bör ocksÄ innehÄlla en hÀnvisning till lagen om signalspaning i försvarsunderrÀttelseverksamhet.
Liksom för Försvarsmaktens del bör ÀndamÄlsbeskrivningen kom- pletteras i tvÄ avseenden som utredningen berör i det följande och i avsnitt 6.3.9.
Ăven Försvarets radioanstalt mĂ„ste i sin försvarsunderrĂ€ttelse- verksamhet behandla Ă€ldre information, inklusive personuppgifter, för att man ska kunna förstĂ„ och bedöma den underrĂ€ttelsemĂ€ssiga relevansen av sĂ„dant som sker i dag. För tydlighetens skull anser utredningen att Ă€ndamĂ„lsbeskrivningen ocksĂ„ för Försvarets radio- anstalt bör kompletteras med en föreskrift som innebĂ€r att de per- sonuppgifter som myndigheten har fĂ„tt tillgĂ„ng till i sin försvars- underrĂ€ttelseverksamhet fortsatt fĂ„r behandlas i den verksamheten, om det behövs för att fullgöra den.
Detta bör dock endast gÀlla om inget annat följer av den före- slagna lagen om behandling av personuppgifter hos Försvarets radio- anstalt eller förordning som regeringen har meddelat i anslutning till den lagen.
PÄ samma sÀtt som för Försvarsmakten ges hÀrmed ett tydligt stöd för behandling av uppgifter som behövs för att Försvarets radio- anstalt ska kunna uppfylla de krav som uppdragsgivarna stÀller pÄ snabbhet och flexibilitet i samband med internationella kriser och andra hastigt uppkomna hÀndelser.
Enligt 2 a § lagen om signalspaning i försvarsunderrÀttelseverk- samhet fÄr inhÀmtning inte avse signaler mellan en avsÀndare och en mottagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmtningen, ska upptagningen eller upp- teckningen förstöras sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats. Om en sÄdan otillÄten inhÀmtning ÀndÄ sker, mÄste upp- tagningen eller uppteckningen alltsÄ förstöras. Ett annat fall dÀr en upptagning eller uppteckning ska förstöras regleras i 7 § nÀmnda lag. Den bestÀmmelsen tar sikte pÄ vissa i paragrafen angivna uppgifter som inte fÄr behandlas vidare. FörstöringsÄtgÀrderna i bÄda dessa fall kan innefatta behandling av personuppgifter. Genom att ÀndamÄls- bestÀmmelsen hÀnvisar till verksamhet som anges i lagen om signal- spaning i försvarsunderrÀttelseverksamhet skapas en rÀttslig grund för sÄdan behandling av personuppgifter som Àr nödvÀndig för att avskilja personuppgifter som inte ska inhÀmtas eller behandlas vidare.
176
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Genom signalspaning kan en inhÀmtad upptagning eller upp- teckning innehÄlla olika personuppgifter. En del Àr av betydelse för verksamheten medan andra inte Àr det. Det Àr ofta inte praktiskt möjligt att separera uppgifter i samma upptagning. Att förstöra hela upptagningen skulle i mÄnga fall vara klart menligt för verksamheten och dÀrmed för uppdragsgivarnas behov. BehÄller man den innebÀr det att Àven de personuppgifter som saknar betydelse kommer att behandlas. Detta Àr en oundviklig följd om intresset att anvÀnda övriga uppgifter i upptagningen Àr starkt.
Ett liknande resonemang fördes i prop. 2006/07:63 s. 108 och 109 i motiven till bestĂ€mmelsen om förstöring i 7 § den dĂ€r föreslagna lagen om signalspaning i försvarsunderrĂ€ttelseverksamhet. DĂ€r anför- des att det inte gĂ„r att undvika att inhĂ€mtningen kommer att omfatta bĂ„de relevant och irrelevant information, sĂ€rskilt inte nĂ€r inhĂ€mt- ningen förmedlas vid ett och samma kommunikationstillfĂ€lle. NĂ€r det gĂ€ller uppgifter om fysiska personer omfattar den dĂ„ föreslagna bestĂ€mmelsen om förstöring av upptagning eller uppteckning bara upptagningar som innehĂ„ller betydelselösa uppgifter. Det konsta- terades att bestĂ€mmelsen inte riktar sig mot upptagningar med bĂ„de relevant och irrelevant information och att en sĂ„dan upptagning ju faktiskt â i vart fall till viss del â har betydelse för verksamheten och dĂ„ inte ska förstöras. Det bör hĂ€r nĂ€mnas att möjligheten att under- lĂ„ta förstöring inte gĂ€ller de fall som anges i 7 § punkterna 2 och 3 dvs. uppgifter för vilka tystnadsplikt gĂ€ller enligt bestĂ€mmelser i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen och upp- gifter i sĂ„dana meddelanden mellan en person som Ă€r misstĂ€nkt för brott och dennes försvarare som skyddas av vissa bestĂ€mmelser i rĂ€ttegĂ„ngsbalken. I lagstiftningsĂ€rendet konstaterades vidare att pro- blemet med olika typer av uppgifter i en och samma upptagning inte kan lösas genom ett krav pĂ„ att upptagningen eller uppteckningen ska redigeras sĂ„ att endast betydelsefull information fĂ„r kvarstĂ„. En sĂ„dan ordning angavs ej vara genomförbar. Problemet fick enligt pro- positionen lösas genom en bestĂ€mmelse om att rapportering av under- rĂ€ttelser som inhĂ€mtats genom signalspaning och som innefattar upp- gifter som berör fysisk person endast fĂ„r avse förhĂ„llanden som Ă€r av betydelse för Ă€ndamĂ„let med verksamheten sĂ„som den formuleras i 1 § lagen om försvarsunderrĂ€ttelseverksamhet.
177
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Utredningen kan konstatera att signalspaningslagstiftningen med det nu beskrivna synsÀttet kom till efter
Vidarebehandling av personuppgifter för vissa andra ÀndamÄl Àn de ursprungliga, fÄr göras med stöd av 1 kap. 6 § 4 p
Enligt utredningen mening Àr det en fördel frÄn integritetsskydds- synpunkt att i görligaste mÄn precisera i vilka fall personuppgifts- behandling fÄr ske för andra ÀndamÄl Àn det för vilket uppgifterna har samlats in. I förslaget till SÀkerhetspolisens datalag förekommer en sÄdan reglering.
Till en början vill utredningen peka pÄ tvÄ andra verksamheter inom Försvarets radioanstalt. Personuppgifter som behandlas i för- svarsunderrÀttelseverksamheten bör Àven fÄ behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs i utveck- lingsverksamheten för de ÀndamÄl som gÀller för den verksamheten. Den andra verksamheten Àr informationssÀkerhetsverksamheten. Som framgÄr av avsnitt 3.3.6 Àr den nÀra knuten till vissa delar av försvarsunderrÀttelseverksamheten vilket ger unika möjligheterna till ökad sÀkerhet pÄ
I ytterligare tre fall Àr det aktuellt med behandling av person- uppgifter för andra ÀndamÄl Àn de ursprungliga. Ett av dem avser verksamhet hos berörda myndigheter enligt 2 § lagen om försvars- underrÀttelseverksamhet. Det andra fallet gÀller samarbete med andra lÀnder och internationella organisationer enligt lagen om försvars- underrÀttelseverksamhet och lagen om signalspaning i försvars- underrÀttelseverksamhet. Det tredje fallet avser bitrÀde till andra myndigheter vid anskaffning av signalspaningssystem i den utstrÀck- ning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det. Som nÀmnts i avsnitt 3.2 har regeringen i instruk- tionen för Försvarets radioanstalt föreskrivit att radioanstalten ska
178
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
bitrÀda andra myndigheter vid vÀrdering, utveckling, anskaffning och drift av signalspaningssystem
Den föreslagna regleringen innebÀr sÄledes att personuppgifts- behandling för vissa ÀndamÄl uttryckligen regleras i lag i stÀllet för att, som tidigare, hanteras i enlighet med finalitetsprincipen. Avsik- ten Àr att Ästadkomma tydlighet i de nu nÀmnda fallen. Finalitets- principen gÀller dÀrutöver.
6.3.7Utvecklingsverksamhet som rÀttslig grund för behandling av personuppgifter hos Försvarets radioanstalt
Utredningens förslag: Försvarets radioanstalt fÄr i utvecklings- verksamheten behandla personuppgifter om det Àr nödvÀndigt för försvarsunderrÀttelseverksamheten för att
1.följa förÀndringar i signalmiljön i omvÀrlden, den tekniska utvecklingen och signalskyddet, och
2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.
Personuppgifter som behandlas i denna utvecklingsverksamhet fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs
1.med anledning av samverkan med annan avseende utveck- lingsverksamhet,
2.med anledning av samarbete om utvecklingsverksamhet med ut- lÀndsk underrÀttelse- eller sÀkerhetstjÀnst enligt lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet,
3.i försvarsunderrÀttelseverksamheten för de ÀndamÄl som anges för den verksamheten.
4.i informationssÀkerhetsverksamhet för de ÀndamÄl som anges för den verksamheten, eller
5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
179
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
SkÀl för utredningens förslag: Som angetts i avsnitt 3.3.5 ska Försvarets radioanstalt enligt myndighetens instruktion bedriva viss utvecklingsverksamhet och sÀrskilt följa förÀndringen av signal- miljön i omvÀrlden, den tekniska utvecklingen och signalskyddet. Myndigheten ska ocksÄ fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten enligt lagen om signal- spaning i försvarsunderrÀttelseverksamhet. Av 1 § tredje stycket den lagen framgÄr att signaler i elektronisk form fÄr inhÀmtas vid signal- spaning för dessa syften. Myndigheten ska vidare utföra matema- tiska bedömningar av kryptosystem för totalförsvaret samt bitrÀda andra myndigheter vid vÀrdering, utveckling, anskaffning och drift av signalspaningssystem.
NÀr teknik utvecklas och nÀr nya metoder för forcering av kryp- terad information arbetas fram anvÀnds oftast autentiskt signal- spaningsmaterial för att man ska kunna vara sÀker pÄ teknikens riktighet. Det autentiska materialet kan innehÄlla personuppgifter. Stöd för denna personuppgiftsbehandling finns i 1 kap. 9 § FRA- PuL. DÀr föreskrivs att personuppgifter fÄr behandlas av Försvarets radioanstalt om det Àr nödvÀndigt för att
1.följa förÀndringar av signalmiljön i omvÀrlden, den tekniska ut- vecklingen och signalskyddet, och
2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.
Motiven finns i prop. 2006/07:46 s. 67 f. Utredningen föreslÄr att motsvarande bestÀmmelse införs i den nya lagen.
Vidarebehandling av personuppgifter för vissa andra ÀndamÄl Àn de ursprungliga, fÄr, som nÀmnts i föregÄende avsnitt göras med stöd av 1 kap. 6 § 4 p
Som utredningen har nÀmnt i avsnittet om radioanstaltens för- svarsunderrÀttelseverksamhet Àr det en fördel frÄn integritetsskydds- synpunkt att i görligaste mÄn precisera i vilka fall personuppgifts- behandling fÄr ske för andra ÀndamÄl Àn det för vilket uppgifterna har samlats in. En bestÀmmelse som avser ett sÄdant ÀndamÄl finns i
180
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
1 kap. 10 §
Utredningen föreslÄr i det följande vissa ytterligare föreskrifter som avser i vilken utstrÀckning personuppgifter som behandlas för nÄgot av ÀndamÄlen i utvecklingsverksamheten Àven ska fÄ behandlas i annan verksamhet inom den egna myndigheten för den verksam- hetens behov eller för att lÀmnas ut till annan för att tillgodose dennes behov.
Som beskrivits i avsnitt 3.3.5 Àr den information som Försvarets radioanstalt strÀvar efter att finna och rapportera, i syfte att tillg- odose uttryckta underrÀttelsebehov, ofta konfidentiell och sÄledes skyddsvÀrd för den kÀlla som hanterar informationen. Informa- tionen Àr dÀrför ofta försedd med nÄgon form av Ätkomstskydd för att förhindra obehörig Ätkomst. För att framgÄngsrikt kunna bedriva försvarsunderrÀttelseverksamhet krÀvs dÀrför aktuell och ingÄende kunskap dels om hur signaler förmedlas och hanteras i elektronisk form, dels om de mekanismer som anvÀnds för att skydda infor- mationen. Personuppgifter som behandlas i Försvarets radioanstalts utvecklingsverksamhet bör dÀrför Àven fÄ behandlas om det Àr nöd- vÀndigt för att tillhandahÄlla information som behövs i samverkan med annan avseende utvecklingsverksamhet eller med anledning av samarbete om utvecklingsverksamhet med utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst enligt lagen om signalspaning i försvarsunder- rÀttelseverksamhet.
Eftersom utvecklingsverksamheten syftar till att frÀmja försvars- underrÀttelseverksamheten Àr det inte oförenligt med det ÀndamÄl för vilka uppgifterna samlas in att uppgifterna ocksÄ behandlas i för att tillhandahÄlla information som behövs i försvarsunderrÀttelse- verksamheten. Detta bör komma till uttryck i lagen.
Utvecklingsverksamheten har ocksĂ„ betydelse för Försvarets radio- anstalts informationssĂ€kerhetsverksamhet. Ăven i detta fall Ă€r det
181
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
inte oförenligt med det ÀndamÄl för vilket uppgifterna samlats in att de ocksÄ behandlas för att tillhandahÄlla information i den verksam- heten. Detta bör komma till uttryck i lagen.
Den föreslagna regleringen innebÀr sÄledes att personuppgifts- behandling för vissa ÀndamÄl uttryckligen regleras i lag, i stÀllet för att, som tidigare, hanteras i enlighet med finalitetsprincipen. Avsik- ten Àr att Ästadkomma tydlighet i de nu nÀmnda fallen. Finalitets- principen gÀller dÀrutöver.
6.3.8InformationssÀkerhetsverksamhet som rÀttslig grund för behandling av personuppgifter hos Försvarets radioanstalt
Utredningens förslag: Personuppgifter fÄr behandlas i Försvarets radioanstalts informationssÀkerhetsverksamhet om det Àr nöd- vÀndigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som Àr av betydelse för Sveriges sÀkerhet. Uppgiften att lÀmna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.
Personuppgifter som fÄr behandlas enligt detta ÀndamÄl fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs
1.i verksamhet hos den som tar emot uppgifter om informa- tionssÀkerhet,
2.med anledning av samverkan med andra som verkar pÄ infor- mationssÀkerhetsomrÄdet sÄvÀl inom som utom landet i den utstrÀckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutar om det,
3.i försvarsunderrÀttelseverksamheten nÀr det gÀller att kart- lÀgga allvarliga yttre hot mot samhÀllets infrastruktur och frÀmmande underrÀttelseverksamhet, eller
4.i utvecklingsverksamheten för de ÀndamÄl som anges för den verksamheten.
SkÀl för utredningens förslag: Av 4 § förordningen med instruk- tion för Försvarets radioanstalt framgÄr att Försvarets radioanstalt
182
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
har i uppdrag att vara statens resurs för teknisk informationssÀker- het och ska ha hög kompetens inom informationssÀkerhetsomrÄdet. Myndigheten fÄr enligt samma bestÀmmelse efter begÀran stödja myndigheter och statligt Àgda bolag som hanterar information som bedöms vara kÀnslig frÄn sÄrbarhetssynpunkt eller i ett sÀkerhets- eller försvarspolitiskt avseende samt tilldela sÀkra kryptografiska funktioner till ett antal civila myndigheter och organisationer (se nÀrmare om detta i avsnitt 3.2).
Imotiven till
De personuppgiftsbehandlingar Försvarets radioanstalt genom- för som personuppgiftsansvarig inom ramen för informationssÀker- hetsverksamheten omfattas inte av
183
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
om behandlingen av personuppgifter i denna verksamhet. Den bör avse den behandling av personuppgifter i informationssÀkerhets- verksamheten som Àr nödvÀndig för att kunna skydda den egna verk- samheten och för att kunna stödja andra verksamheter som Àr av betydelse för Sveriges sÀkerhet. Det bör föreskrivas att uppgiften att lÀmna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.
Som utredningen har nÀmnt i avsnitten om radioanstaltens för- svarsunderrÀttelse- och utvecklingsverksamhet Àr det en fördel frÄn integritetsskyddssynpunkt att i görligaste mÄn precisera i vilka fall personuppgiftsbehandling fÄr ske för andra ÀndamÄl Àn det för vilket uppgifterna har samlats in.
Det finns enligt utredningen ett antal tillkommande ÀndamÄl för vilka personuppgifter som behandlas i Försvarets radioanstalts infor- mationssÀkerhetsverksamhet bör fÄ behandlas. Det bör fÄ ske om det Àr nödvÀndigt för att tillhandahÄlla information som behövs hos den som tar emot uppgifter om informationssÀkerhet. Vidare bör det fÄ ske om det Àr nödvÀndigt för att tillhandahÄlla information som behövs med anledning av samverkan med andra som verkar pÄ infor- mationssÀkerhetsomrÄdet sÄvÀl inom som utom landet. Detta bör dock bara fÄ ske i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
En nÀra samverkan mellan försvarsunderrÀttelseverksamheten och informationssÀkerhetsverksamheten Àr av stor betydelse. För underrÀttelseverksamheten Àr det angelÀget att kunna ta del av upp- gifter frÄn informationssÀkerhetsverksamheten nÀr det gÀller att kartlÀgga allvarliga yttre hot mot samhÀllets infrastruktur och frÀm- mande underrÀttelseverksamhet. Personuppgifter bör dÀrför Àven fÄ behandlas om det Àr nödvÀndigt för att tillhandahÄlla information av detta slag. Försvarets radioanstalt har dÀrvid att förhÄlla sig till de regler som gÀller för försvarsunderrÀttelseverksamheten.
InformationssÀkerhetsverksamheten Àr Àven av betydelse för ut- vecklingsverksamheten. Personuppgifter som fÄr behandlas i informa- tionssÀkerhetsverksamheten bör dÀrför Àven fÄ behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs i utveck- lingsverksamheten.
Den föreslagna regleringen innebÀr sÄledes som i de tidigare behandlade fallen att personuppgiftsbehandling för vissa ÀndamÄl uttryckligen regleras i lag, i stÀllet för att, som tidigare, hanteras i
184
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
enlighet med finalitetsprincipen. Avsikten Àr att Ästadkomma tyd- lighet i de nu nÀmnda fallen. Finalitetsprincipen gÀller dÀrutöver.
6.3.9RÀttsliga grunder för behandling vid Försvarets radioanstalt av allmÀnt tillgÀnglig information för vissa ÀndamÄl
Utredningens förslag: Personuppgifter som utgör allmÀnt till- gÀnglig information fÄr behandlas av Försvarets radioanstalt om det Àr nödvÀndigt för de ÀndamÄl som anges för försvarsunder- rÀttelse- och utvecklingsverksamheten och informationssÀker- hetsverksamheten.
SkÀl för utredningens förslag: Liksom Försvarsmakten (se av- snitt 6.3.4.) bör Försvarets radioanstalt ha ett tydligt stöd för att i s.k. referensdatabaser behandla sÄdana uppgifter om personer som Àr allmÀnt tillgÀngliga. Det gÀller information som utgörs av person- uppgifter som kan pÄtrÀffas vid sökning pÄ internet eller vid sök- ningar i öppna databaser Uppgifterna kan vara gratis eller tillgÀngliga pÄ kommersiell grund. Gemensamt för dem Àr att de Àr publikt till- gÀngliga. Det kan röra sig om uppgifter som t.ex. en abonnent pÄ ett eller annat sÀtt har samtyckt att uppgifterna finns med i elektroniska telefonkataloger eller förteckningar över
Som tidigare nÀmnts fÄr enligt 2 a § lagen om signalspaning i för- svarsunderrÀttelseverksamhet inhÀmtning inte avse signaler mellan en avsÀndare och en mottagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmtningen, ska upp- tagningen eller uppteckningen förstöras sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats. Att i en referensdatabas behandla den typen av allmÀnt tillgÀngliga personuppgifter kan bidra till att minska antalet sÄdana inhÀmtningar.
185
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Ăven inom utvecklingsverksamheten kan det vara nödvĂ€ndigt att kunna behandla personuppgifter som utgör allmĂ€nt tillgĂ€nglig infor- mation. Utvecklingsverksamheten syftar till att utveckla och vid- makthĂ„lla möjligheterna att bedriva försvarsunderrĂ€ttelseverksam- het. För detta behöver personuppgifter behandlas t.ex. vid kartlĂ€gg- ning av signalmiljön, varvid allmĂ€nt tillgĂ€nglig information precis som i försvarsunderrĂ€ttelseverksamheten behöver kunna anvĂ€ndas i identifieringssyfte. Ăven utvecklingsverksamheten omfattas av 2 a § lagen om signalspaning i försvarsunderrĂ€ttelseverksamhet, varvid behandling av allmĂ€nt tillgĂ€ngliga personuppgifter kan bidra till att minska antalet inhĂ€mtningar som ej Ă€r tillĂ„tna enligt den bestĂ€mmelsen.
LikasÄ vad gÀller informationssÀkerhetsverksamheten kan all- mÀnt tillgÀngliga personuppgifter behöva behandlas. Bland behoven finns möjligheter att identifiera ursprunget till skadlig kod och att löpande kunna bevaka vad som redan Àr kÀnt avseende sÄrbarheter i mjuk- och hÄrdvaror.
I den till lagen anknutna förordningen bör föreskrivas att det för Försvarets radioanstalt fÄr finnas uppgiftssamlingar för allmÀnt till- gÀnglig information och att de endast fÄr innehÄlla information som finns eller har funnits pÄ internet eller i öppna databaser.
Uppgifterna bör vara uppdaterade i enlighet med vad som föreslÄs i avsnitt 6.4.1.
6.3.10RÀttsliga grunder för behandling för vetenskapliga, statistiska eller historiska ÀndamÄl
Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt fÄr behandla personuppgifter för vetenskapliga, statistiska eller historiska ÀndamÄl inom de föreslagna lagarnas tillÀmpnings- omrÄden.
SkÀl för utredningens förslag: Möjligheten att bevara person- uppgifter som behandlas automatiserat, för historiska, statistiska eller vetenskapliga ÀndamÄl Àr enligt
186
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
beslutat att gallring ska ske senast vid viss tidpunkt eller att uppgifter fÄr bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl. Enligt 12 §
Utredningen bedömer att det Àven enligt de nya lagarna bör finnas utrymme att behandla personuppgifter för vetenskapliga, statistiska och historiska ÀndamÄl.
6.3.11RÀttsliga grunder för behandling av personuppgifter för att tillgodose behov av information hos enskilda och behov av information vid tillsyn och kontroll
Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt fÄr behandla personuppgifter för att kunna tillgodose enskil- das behov av information och kunna lÀmna information vid tillsyn och kontroll.
SkÀl för utredningens förslag: Datainspektionen Àr enligt 10 § FM- PuF och
NÄgot uttryckligt stöd för personuppgiftsbehandling med anled- ning av en enskilds behov av information eller behov av information vid tillsyn och kontroll finns inte i
187
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
hetens och kontrollmyndighetens behov bör fÄ direkt stöd i de före- slagna lagarna. Utredningen föreslÄr dÀrför att det i de föreslagna lagarna tas in en bestÀmmelse om att respektive myndighet fÄr behandla personuppgifter för att kunna tillgodose enskildas behov av information och behovet av information vid tillsyn och kontroll.
Den föreslagna bestÀmmelsen utgör Àven den rÀttsliga grunden för personuppgiftshantering i Försvarsmaktens och Försvarets radio- anstalts loggfunktioner i de uppgiftssamlingar som hanterar person- uppgifter för de syften som framgÄr av denna bestÀmmelse. BestÀm- melser om myndigheternas loggfunktioner behandlas i avsnitt 6.6.2.
6.4GrundlÀggande krav pÄ behandling av personuppgifter
6.4.1GrundlÀggande krav
Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt fÄr behandla personuppgifter bara för sÀrskilda, uttryck- ligt angivna och berÀttigade ÀndamÄl.
Personuppgifter fÄr inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket personuppgifterna ur- sprungligen behandlades.
Personuppgifter ska behandlas författningsenligt och pÄ ett korrekt sÀtt.
Personuppgifter som behandlas ska vara adekvata och relevanta i förhÄllande till ÀndamÄlen med behandlingen och, om det Àr nödvÀndigt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas pÄ ett objektivt sÀtt med respekt för mÀnniskovÀrdet.
Fler personuppgifter fÄr inte behandlas Àn vad som Àr nöd- vÀndigt med hÀnsyn till ÀndamÄlen med behandlingen.
SkÀl för utredningens förslag: Av 1 kap. 6 §
188
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
nÄgot ÀndamÄl som Àr oförenligt med det för vilket uppgifterna sam- lades in, att de Àr adekvata och relevanta i förhÄllande till ÀndamÄlen med behandlingen. Myndigheterna ska vidare se till att de person- uppgifter som behandlas Àr nödvÀndiga med hÀnsyn till ÀndamÄlen med behandlingen samt att de Àr riktiga och, om det Àr nödvÀndigt, aktuella. Motiven till bestÀmmelserna finns i avsnitt 8.4 i prop. 2006/07:46. Ut- redningen anser att samma föreskrifter bör tas in i de nya lagarna med vissa sprÄkliga justeringar.
En bestÀmmelse om att uppgifter som beskriver en persons ut- seende alltid ska utformas pÄ ett objektivt sÀtt och med respekt för mÀnniskovÀrdet finns i
6.4.2Behandling av kÀnsliga personuppgifter
Utredningens förslag: Personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning fÄr inte behandlas.
NÀr uppgifter om en person behandlas fÄr de dock komplet- teras med sÄdana uppgifter som avses i föregÄende stycke, om det Àr absolut nödvÀndigt för syftet med behandlingen.
Biometriska uppgifter fÄr behandlas endast om det Àr absolut nödvÀndigt för ÀndamÄlet för behandlingen. Genetiska uppgifter fÄr inte behandlas.
Vid sökning fÄr personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter. religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning anvÀndas som sökbegrepp om det Àr absolut nödvÀndigt för syftet med behandlingen. Detsamma gÀller bio- metriska uppgifter.
SkÀl för utredningens förslag: Av 1 kap. 12 §
189
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
sÄsom komplement till personuppgifter som behandlas pÄ annan grund. Detta förutsÀtter att behandlingen Àr absolut nödvÀndig med hÀnsyn till syftet med behandlingen. Vid sökning ska sÄdana kÀnsliga personuppgifter fÄ anvÀndas som sökbegrepp endast om det Àr absolut nödvÀndigt med hÀnsyn till syftet med behandlingen. Motiven till bestÀmmelserna finns i prop. 2006/07:46 s. 73 f. Utredningen anser att en motsvarande reglering bör införas i de nya lagarna med det tillÀgget att bestÀmmelserna Àven bör gÀlla sexuell lÀggning.
Behandling av biometriska och genetiska uppgifter regleras inte i
Med biometriska uppgifter avses enligt den föreslagna defini- tionen i avsnitt 6.2.9 personuppgifter som rör en fysisk persons fysiska, fysiologiska eller beteendemÀssiga kÀnnetecken som tagits fram genom sÀrskild teknisk behandling och som möjliggör eller bekrÀftar unik identifiering av personen i frÄga. Försvarsmakten och Försvarets radioanstalt behandlar biometriska uppgifter i sina för- svarsunderrÀttelseverksamheter. Inom signalspaningen fÄr det betrak- tas som sjÀlvklart att t.ex. en persons röstprofil, vilket Àr en bio- metrisk uppgift, behöver kunna behandlas i identifieringssyfte. Att kunna göra korrekta identifieringar Àr av avgörande betydelse vid bedömning av kÀllors trovÀrdighet och informations sakriktighet.
Regeln om att kÀnsliga personuppgifter endast fÄr behandlas sÄsom komplement till personuppgifter som behandlas pÄ annan grund kan inte tillÀmpas nÀr det gÀller biometriska personuppgifter t.ex. oidenti- fierade avtryck eller spÄr. Det finns dÀrför skÀl att reglera behandlingen av biometriska uppgifter sÀrskilt. Försvarsmakten och Försvarets radioanstalt bör fÄ behandla biometriska uppgifter om det Àr absolut nödvÀndigt för ÀndamÄlet med behandlingen. Biometriska uppgifter bör ocksÄ fÄ behandlas vid sökning om det Àr absolut nödvÀndigt för syftet med behandlingen.
Med genetiska uppgifter avses enligt den definition som föreslÄs i avsnitt 6.2.9 personuppgifter som rör sÄdana nedÀrvda eller för- vÀrvade kÀnnetecken för en fysisk person som kan tas fram ur ett prov frÄn personen i frÄga. Genetiska uppgifter Àr av synnerligen integritetskÀnslig natur. Försvarsmakten och Försvarets radioanstalt har uppgett att de inte har behov av att behandla genetiska uppgifter. Utredningen anser att det av lagstiftningen bör framgÄ att sÄdan behandling inte Àr tillÄten.
190
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
6.4.3Behandling av personnummer och samordningsnummer
Utredningens förslag: I den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten tas in en bestÀmmelse om att uppgifter om personnummer eller samordningsnummer fÄr behandlas bara nÀr det Àr klart motiverat med hÀnsyn till Ànda- mÄlet med behandlingen, vikten av en sÀker identifiering, eller nÄgot annat beaktansvÀrt skÀl.
Utredningens bedömning: NÄgon sÄdan bestÀmmelse bör inte införas i den föreslagna lagen om behandling av personuppgifter vid Försvarets radioanstalt
SkÀl för utredningens förslag och bedömning: En bestÀmmelse om behandling av personnummer och samordningsnummer finns i 1 kap. 13 § i
Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst respektive Försvarets radioanstalts försvarsunder- rÀttelse- och utvecklingsverksamhet baserar sig inte pÄ samtycke frÄn den enskilde. Försvarets radioanstalts verksamhet pÄ försvarsunder- rÀttelse- och utvecklingsomrÄdena Àr inriktad pÄ utlÀndska för- hÄllanden och behandlar dÀrför i liten omfattning personnummer och samordningsnummer. Detsamma kan sÀgas om informations- sÀkerhetsverksamheten. Utredningen har konstaterat att en mot- svarande reglering inte finns med i förslaget till SÀkerhetspolisens datalag. Utredningen anser sig kunna följa det exemplet nÀr det gÀller Försvarets radioanstalt.
Ăven Försvarsmaktens försvarsunderrĂ€ttelseverksamhet Ă€r inrik- tad pĂ„ utlĂ€ndska förhĂ„llanden och det Ă€r, precis som för Försvarets radioanstalt, inte vanligt att personnummer och samordningsnum- mer behandlas inom denna verksamhet.
För Försvarsmaktens del innebÀr dock det utökade tillÀmpnings- omrÄdet i förhÄllande till
191
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
behandla personnummer och samordningsnummer i stor utstrÀck- ning, bl.a. betrÀffande egen personal. Av den anledningen anser utred- ningen att regleringen bör behÄllas för Försvarsmakten.
6.4.4Behandling av personuppgifter om den som uppgifterna rör har offentliggjort uppgifterna eller lÀmnat sitt samtycke
Utredningens förslag: Utan hinder av vad som föreskrivs i de föreslagna lagarna om kÀnsliga personuppgifter och, sÄvitt gÀller Försvarsmakten, personnummer, fÄr personuppgifter behandlas, om den som personuppgifterna rör har offentliggjort personupp- gifterna pÄ ett tydligt sÀtt. För Försvarsmaktens del ska detta gÀlla Àven i det fall samtycke till behandlingen har lÀmnats av den som uppgifterna rör.
I inget av fallen bör det vara tillÄtet att behandla genetiska uppgifter.
SkÀl för utredningens förslag: Förslaget till SÀkerhetspolisens data- lag innehÄller bestÀmmelser om att kÀnsliga personuppgifter fÄr be- handlas, om den registrerade har lÀmnat sitt uttryckliga samtycke till behandlingen eller pÄ ett tydligt sÀtt har offentliggjort uppgifterna. I
I inget av fallen bör det vara tillÄtet att behandla genetiska uppgifter.
192
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
6.4.5Behandling av personuppgifter i vissa fall
Utredningens förslag: Hantering av information som innebÀr behandling av personuppgifter ska inte anses oförenlig med bestÀm- melserna om tillÄtlighet, grundlÀggande krav och kÀnsliga person- uppgifter i det skede av behandlingen dÄ det Ànnu inte har kunnat faststÀllas vilka personuppgifter som informationen innehÄller. En bestÀmmelse om detta ska föras in i bÄda lagarna.
SkÀl för utredningens förslag: I 1 kap. 13 §
Försvarets radioanstalts inhĂ€mtning av signaler i trĂ„d ska enligt 3 § lagen om signalspaning i försvarsunderrĂ€ttelseverksamhet ske automatiserat och det föreskrivs vidare att sĂ„dan inhĂ€mtning endast fĂ„r avse signaler som identifierats genom sökbegrepp. Ăven vid annan inhĂ€mtning ska sökbegrepp enligt paragrafen anvĂ€ndas för identifieringen av signaler. Detta förfarande reducerar informations- mĂ€ngden pĂ„ ett Ă€ndamĂ„lsenligt sĂ€tt före sjĂ€lva inhĂ€mtningen och tillvaratar dĂ€rmed ocksĂ„ integritetsskyddsintresset. Behandling av personuppgifter omfattar enligt 1 kap. 4 §
MÄnga av de personuppgifter som behandlas automatiskt blir dessutom aldrig föremÄl för manuell granskning. DÀrför Àr det inte möjligt att veta om de behandlas enligt bestÀmmelserna i
193
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
I tillÀmpningen har uppstÄtt frÄgan om det Àr först nÀr Försvarets radioanstalt fÄr klart för sig vilka personuppgifter som behandlas som det Àr möjligt för myndigheten att behandla dem enligt bestÀm- melserna i 1 kap. 6 och
I ett tillsynsbeslut den 24 oktober 2016 tog Datainspektionen upp frÄgan om tolkningen av 1 kap. 13 §
Det var Datainspektionens uppfattning att bestÀmmelsen behöver ses över och anpassas till det mandat lagstiftaren har gett Försvarets radioanstalt genom lagen om signalspaning. Datainspektionen fann mot den angivna bakgrunden anledning att uppmÀrksamma reger- ingen pÄ detta behov och sÀnde en kopia av beslutet till Försvars- departementet.
Utredningen kan konstatera att bestÀmmelsen enligt sin orda- lydelse innebÀr att den inte undantar tillÀmpning av de nÀmnda före- skrifterna om grundlÀggande krav, ÀndamÄl, kÀnsliga personupp- gifter och personnummer i de fall dÄ man redan frÄn början vet att informationen innehÄller personuppgifter. Praktiskt taget all infor- mation som innehÄllande kommunikation mellan mÀnniskor som Försvarets radioanstalt inhÀmtar innehÄller personuppgifter. Innan uppgifterna har översatts, forcerats och bedömts av analytiker Àr det okÀnt vilka specifika personuppgifter som behandlas. MÄnga av de personuppgifter som behandlas pÄ automatisk vÀg blir aldrig föremÄl för manuell granskning. Det Àr dÀrför en omöjlighet för Försvarets radioanstalt att, sÄvida inte en analytiker bearbetat och bedömt per- sonuppgifterna, hÀvda att personuppgifterna har behandlats i enlig- het med bestÀmmelserna om grundlÀggande krav, ÀndamÄl, kÀnsliga personuppgifter och personnummer.
194
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Som Datainspektionens beslut ger uttryck för stÄr bestÀmmelsen dÀrmed i konflikt med den personuppgiftsbehandling som lagen om signalspaning i försvarsunderrÀttelseverksamhet förutsÀtter ska ske hos Försvarets radioanstalt efter inhÀmtningsskedet. Utredningen föreslÄr dÀrför att bestÀmmelsen utformas sÄ att den tar sikte pÄ det skede dÄ det inte har kunnat faststÀllas vilka personuppgifterna Àr. Den nÀrmare utformningen bör anpassas till den föreslagna lagen om behandling av personuppgifter vid Försvarets radioanstalt.
Ăven i Försvarets radioanstalts informationssĂ€kerhetsverksam- het förekommer personuppgifter. Vilka dessa Ă€r kan visa sig först i ett senare skede av hanteringen. Den föreslagna bestĂ€mmelsen kom- mer att medge hantering av information som innebĂ€r behandling av personuppgifter i ett tidigt skede dĂ„ det inte har kunnat faststĂ€llas vilka personuppgifterna Ă€r.
Motsvarande behov av legala förutsÀttningar för behandling av material innan det Àr klarlagt vilka personuppgifter materialet inne- hÄller finns Àven hos Försvarsmakten. Exempel pÄ sÄdana situationer anges i det följande.
För att Försvarsmakten ska kunna bedriva en effektiv verksamhet Àr det nödvÀndigt att anvÀnda sig av information som t.ex. delges till Försvarsmakten av andra myndigheter. NÀr sÄdan information tas in i myndighetens tekniska system Àr det inte möjligt för Försvars- makten att i förvÀg veta vad som rapporteras och vilka personupp- gifter som förekommer i handlingen. Det Àr dÀrför heller inte möj- ligt att i förekommande fall veta om personuppgifterna behandlas enligt bestÀmmelserna om grundlÀggande krav.
NÀr Försvarsmakten fÄr in en rapport frÄn en annan myndighet som rör försvarsunderrÀttelseverksamhet eller militÀr sÀkerhets- tjÀnst tas denna rapport normalt in i Försvarsmaktens informations- system för underrÀttelse- och sÀkerhetstjÀnsten. I samband med att rapporten lÀses in i systemet och diarieförs görs en notering om det förekommer personuppgifter i handlingen. Detsamma gÀller om Försvarsmakten fÄr in en handling om exempelvis försvarsplanering. Rapporten lÀses in i Försvarsmaktens informationssystem för Àrende- hantering. NÄgon prövning utifrÄn bestÀmmelserna om grundlÀggande krav, tillÄtlighet och kÀnsliga personuppgifter görs dock inte förrÀn personuppgifterna bearbetas i respektive verksamhet. Det Àr först nÀr personuppgifterna behandlas i verksamheten som en bedömning kan göras om de Àr nödvÀndiga för densamma.
195
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
6.4.6LÀngsta tid som personuppgifter fÄr behandlas
Utredningens förslag: Personuppgifter som behandlas automa- tiserat fÄr inte behandlas under lÀngre tid Àn vad som behövs för nÄgot eller nÄgra av de ÀndamÄl för vilka Försvarsmakten eller Försvarets radioanstalt enligt de föreslagna lagarna fÄr behandla personuppgifter.
I lagarna tas in en upplysningsföreskrift om att regeringen eller den myndighet regeringen bestÀmmer kan meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter fÄr behandlas endast under viss tid eller bevaras för historiska, statistiska eller veten- skapliga ÀndamÄl.
SkÀl för utredningens förslag: Hur lÀnge personuppgifter fÄr beva- ras enligt
Utredningen anser att samma reglering bör gÀlla i de föreslagna lagarna med en viss sprÄklig justering som bl.a. innebÀr att uttrycket gallring inte anvÀnds. I stÀllet föreslÄs en föreskrift om lÀngsta tid som personuppgifter fÄr behandlas. BestÀmmelsen hindrar inte att Försvarsmakten och Försvarets radioanstalt arkiverar och bevarar all- mÀnna handlingar eller lÀmnar arkivmaterial till en arkivmyndighet.
Förordningsföreskrifter för Försvarsmakten
I den förordning som ska knyta an till den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten bör tas in före- skrifter om bevarande av personuppgifter i uppgiftssamlingar i för- svarsunderrÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten och som finns i rapportunderlag och underrÀttelserapporter. Om dessa personuppgifter inte lÀngre behövs för de ÀndamÄl för vilka de
196
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
behandlas, ska de enligt utredningens förslag bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.
I
Utredningen föreslÄr vidare att det i förordningen tas in ett bemyn- digande för Riksarkivet att, efter samrÄd med Försvarsmakten, med- dela föreskrifter om att personuppgifter som inte lÀngre fÄr behand- las ska bevaras.
Förordningsföreskrifter för Försvarets radioanstalt
Enligt 4 §
197
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
I
I den förordning som ska knyta an till lagen om behandling av personuppgifter vid Försvarets radioanstalt föreslÄr utredningen föreskrifter nÀr det gÀller hur lÀnge uppgifter fÄr behandlas. Person- uppgifter i en uppgiftssamling för rÄmaterial fÄr inte behandlas lÀngre Àn ett Är efter det att behandlingen pÄbörjades. Detta innebÀr ingen Àndring.
NÀr det gÀller uppgiftssamlingar för information om signalmiljön och företeelser mot vilka signalspaningen inriktas föreslÄr utredningen av samma anledning som nyss redovisats betrÀffande den militÀra sÀker- hetstjÀnsten dÀremot inga sÀrskilda tidsfrister för behandlingen.
Utredningen föreslÄr vidare att det i förordningen tas in ett bemyn- digande för Riksarkivet att, efter samrÄd med Försvarets radio- anstalt, meddela föreskrifter om att personuppgifter som inte lÀngre fÄr behandlas ska bevaras. Detta ska dock inte gÀlla uppgiftssam- lingar för rÄmaterial.
6.4.7Försvarsmaktens utlÀmnande av personuppgifter
Utredningens förslag: Personuppgifter som behandlas med stöd av den föreslagna lagen fÄr föras över till andra lÀnder eller inter- nationella organisationer endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarsmakten ska kunna fullgöra sina uppgifter inom ramen för det internationella försvars- och sÀkerhetssamarbetet.
Regeringen kan meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall, om det Àr nödvÀndigt för verksamheten vid Försvarsmakten.
Försvarsmakten fÄr lÀmna ut personuppgifter elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om det inte Àr olÀmpligt. Regeringen kan meddela föreskrifter som begrÀnsar denna möjlighet.
Elektroniskt utlÀmnande genom direktÄtkomst Àr tillÄtet bara i den utstrÀckning som anges i den föreslagna lagen.
198
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
SkÀl för utredningens förslag:
UtlÀmnande till andra lÀnder
Enligt 1 kap. 17 §
Utredningen anser att en bestÀmmelse som motsvarar 1 kap. 17 §
Elektroniskt utlÀmnande
Enligt 1 kap. 14 §
I princip anses allt elektroniskt utlÀmnande som inte görs genom direktÄtkomst utlÀmnat pÄ medium för automatiserad behandling. SÄdant utlÀmnande kan göras pÄ mÄnga olika sÀtt. Det kan vara frÄga
199
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
om att personuppgifter lÀmnas t.ex. via
UtlÀmnande pÄ medium för automatiserad behandling innebÀr som regel att informationen lÀmnas ut i elektronisk form pÄ ett sÄdant sÀtt att mottagaren kan bearbeta informationen. Detta inne- bÀr effektivitetsvinster för mottagaren, samtidigt som det kan inne- bÀra risker för den personliga integriteten. Regeringen ansÄg dÀrför i motiven till bestÀmmelsen i
Regeringen har utnyttjat bemyndigandet att meddela föreskrifter genom att föreskriva att utlÀmnande pÄ medium för automatiserad behandling fÄr omfatta fler Àn enstaka uppgifter, om uppgifterna lÀmnas ut till en annan statlig myndighet (7 §
Elektroniskt utlÀmnande ger effektivitetsvinster
Myndigheter som arbetar med bl.a. underrÀttelse- och sÀkerhets- verksamhet har stora behov av att kommunicera med andra myndig- heter. Det kan röra sig om att bÄde begÀra, lÀmna eller utbyta infor- mation. Huvuddelen av all lagring och kommunikation av information sker numera elektroniskt pÄ olika sÀtt som ger effektivitetsvinster, vilket som angetts ovan Àven uppmÀrksammats vid tillkomsten av
I takt med den generella utvecklingen av informationstekniken har Àven myndigheters möjligheter att pÄ olika sÀtt dela och ta del av information ökat. Informationshanteringsutredningen, som hade i uppdrag att generellt se över frÄgor om elektroniskt utlÀmnande, framhöll att frÄgan om hur den bÀsta effektiviteten kan uppnÄs för nÀrvarande inte synes handla sÄ mycket om vilken elektronisk utlÀm- nandeform som bör vÀljas utan mer om myndigheternas möjlighet att överhuvudtaget Ästadkomma det informationsutbyte som reger- ingen eller de sjÀlva vill ska förekomma. Problemen med att uppnÄ önskad effektivisering förefaller enligt den utredningen till viss del handla om legala förutsÀttningar för ett visst informationsutbyte (SOU 2015:39 s. 148).
200
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Risker med elektroniskt utlÀmnande
UtlÀmnande av personuppgifter pÄ medium för automatiserad be- handling medför risker frÄn integritetssynpunkt. SÄdant utlÀmnande innebÀr nÀmligen som regel att mottagaren kan bearbeta informa- tionen, t.ex. genom att samköra den mot elektroniska uppgifter som har hÀmtats frÄn andra informationskÀllor. Det ökar risken för att uppgifterna behandlas i strid med de grundlÀggande kraven pÄ data- skydd. I detta sammanhang bör emellertid beaktas att en begrÀns- ning av möjligheter att överföra information elektroniskt i praktiken fÄr begrÀnsad betydelse eftersom modern teknik enkelt kan om- vandla text pÄ papper till elektroniska uppgifter.
BestÀmmelserna om elektronisk informationsöverföring behöver moderniseras
I förslaget till SÀkerhetspolisens datalag föreslÄs att personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om det inte Àr olÀmpligt (1 kap. 19 §). Det anges vidare att regeringen kan meddela föreskrifter som begrÀnsar möjligheten att lÀmna ut personuppgifter pÄ det sÀttet (1 kap. 22 § 2).
I motiven till förslaget anges effektivitetsskÀl. Det anförs att Àven om det förekommer integritetskÀnsliga uppgifter mÄste riskerna med att överföra sÄdana uppgifter elektroniskt vÀgas mot behovet av en snabb och effektiv sÀker kommunikation (SOU 2017:74 s. 374).
SÀttet att hantera stora volymer information, inbegripet person- uppgifter, har genomgÄtt stora förÀndringar sedan tillkomsten av
BestÀmmelser om direktÄtkomst behandlas sÀrskilt i avsnitt 6.5.2.
201
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
6.4.8Försvarets radioanstalts utlÀmnande av personuppgifter
Utredningens förslag: Personuppgifter som behandlas med stöd av den föreslagna lagen fÄr föras över till en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informations- sÀkerhetsomrÄdet eller en internationell organisation endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrÀttelse- och sÀkerhetssamarbetet.
Regeringen kan meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvarets radioanstalt.
Personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om regeringen har meddelat föreskrifter eller sÀrskilt beslutat om det.
Elektroniskt utlÀmnande genom direktÄtkomst Àr tillÄtet bara i den utstrÀckning som anges i den föreslagna lagen.
SkÀl för utredningens förslag: Enligt 1 kap. 17 §
I den föreslagna lagen bör enligt utredningens mening en mot- svarande föreskrift tas in. Dock bör den krets till vilken överföringen fÄr ske anges vara utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet eller en internationell organisation. I den förordning som ska knyta an till lagen bör föreskrivas att personuppgifter fÄr föras över i sÄdana fall, om överföringen tjÀnar den svenska statsledningen eller det svenska totalförsvaret och att överföringen av uppgifter inte fÄr vara till skada för svenska intressen. Som tidigare nÀmnts har i tillÀmpningen som svenska intressen avsetts, utöver svenska statens intressen, Àven intressen hos svenska företag och enskilda.
202
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Enligt 1 kap. 14 §
Utredningen har, som framgÄtt, för Försvarsmaktens del föreslagit en bestÀmmelse som innebÀr att utlÀmnande elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst fÄr ske, om det inte Àr olÀmpligt. Som utredningen konstaterat dÀr har en liknande bestÀmmelse tagits in i förslaget till SÀkerhetspolisens datalag. SkÀl för en sÄdan bestÀm- melse kan Àven anföras nÀr det gÀller Försvarets radioanstalt. Arten av och antalet uppgifter som det Àr frÄga om vid Försvarets radio- anstalt gör att integritetsskyddsaspekterna enligt utredningens mening emellertid talar för en mer restriktiv lagreglering. Till skillnad mot Försvarsmakten har Försvarets radioanstalt inte heller önskat nÄgon förÀndring av bestÀmmelsen.
Utredningen föreslÄr att det i den föreslagna lagen tas in en före- skrift enligt vilken personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om regeringen har meddelat före- skrifter eller sÀrskilt beslutat om det. I förordningen till lagen bör regeringen föreskriva att personuppgifter fÄr lÀmnas ut till statliga myndigheter pÄ annat sÀtt Àn genom direktÄtkomst. Den föreslagna regleringen blir dÀrmed lika restriktiv som den nuvarande.
203
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
6.5Gemensamt tillgÀngliga uppgifter
6.5.1Personuppgifter som fÄr göras gemensamt tillgÀngliga
Utredningens förslag: SÀrskilda bestÀmmelser ska gÀlla för behand- ling av personuppgifter som görs eller har gjorts gemensamt tillgÀngliga. Dessa bestÀmmelser samlas i ett eget kapitel i respek- tive lag.
Försvarsmakten
Personuppgifter fÄr göras gemensamt tillgÀngliga om det behövs för nÄgot av de ÀndamÄl för vilka Försvarsmakten fÄr behandla personuppgifter. Personuppgifter som görs gemensamt tillgÀng- liga inom Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst ska Àven fortsÀttningsvis behandlas i upp- giftssamlingar.
Personuppgifter som endast ett fÄtal personer har tillgÄng till ska inte anses som gemensamt tillgÀngliga.
Regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter eller beslut i enskilda fall vilka uppgifts- samlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.
Försvarets radioanstalt
Personuppgifter fÄr göras gemensamt tillgÀngliga och behandlas i uppgiftssamlingar om det behövs för nÄgot av de ÀndamÄl som anges i lagen.
Personuppgifter som endast ett fÄtal personer har tillgÄng till anses inte som gemensamt tillgÀngliga.
Regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter eller beslut i enskilda fall vilka upp- giftssamlingar som fÄr finnas och vilka uppgifter som fÄr behand- las i respektive uppgiftssamling.
SkÀl för utredningens förslag: Enligt 1 kap. 4 §
204
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
dessa lagar, personuppgifter behandlas i uppgiftssamlingar för För- svarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhets- tjÀnst samt Försvarets radioanstalts försvarsunderrÀttelse- och utveck- lingsverksamhet. Enligt bestÀmmelserna fÄr regeringen meddela före- skrifter eller beslut i enskilda fall om vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive samling. Motiven finns i prop. 2006/07:46 s. 59 f.
Avgörande för nÀr automatiserat behandlade uppgifter ska anses ingÄ i en uppgiftssamling Àr enligt förarbetena att uppgifterna anvÀnds gemensamt av Försvarsmakten eller Försvarets radioanstalt i en viss verksamhet för de ÀndamÄl som ska styra behandlingen av uppgifter inom verksamheten. NÀr en handlÀggare arbetar med ordbehandling lagras uppgifter elektroniskt pÄ hÄrddisken i en dator eller i en server hos Försvarsmakten eller Försvarets radioanstalt. Uppgiften Àr dÄ normalt Ätkomlig endast för handlÀggaren sjÀlv och systemadmi- nistratören vid myndigheten. En sÄdan uppgift kan dÀrför inte anses vara gemensamt tillgÀnglig. Syftet med sÄdan tillfÀllig behandling Àr inte att uppgifterna som lagras i datorn ska anvÀndas av andra Àn den som utför behandlingen. NÀr en uppgift behandlas tillfÀlligt i en dator för att senare tillföras en uppgiftssamling och göras gemensam utgör den inte heller en del av uppgiftssamlingen.
Gemensamt tillgĂ€ngliga uppgifter â ny reglering
Utöver de bestÀmmelser som behandlats ovan angÄende uppgifts- samlingar finns inte i
Liksom i förslaget till SÀkerhetspolisens datalag bör regleringen om gemensamt tillgÀngliga uppgifter finnas i ett sÀrskilt kapitel i respektive lag. Det bör enligt utredningen finnas en tydlig koppling till de tillÄtna rÀttsliga grunderna för personuppgiftsbehandling. Detta innebÀr tydliga regler och underlÀttar den bedömning som ska ske vid tillsyn och kontroll om huruvida behandlingen av personuppgif- ter vilar pÄ rÀttslig grund.
205
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
En grundlÀggande förutsÀttning för att personuppgifter ska anses vara gemensamt tillgÀngliga Àr att de kan anvÀndas gemensamt av flera, dvs. att fler Àn en person har Ätkomst till uppgifterna. Uppgif- ter som endast ett fÄtal personer har rÀtt att ta del av bör dock inte anses som gemensamt tillgÀngliga.
Försvarsmakten och Försvarets radioanstalt bör kunna samarbeta med andra, företrĂ€desvis myndigheter, och inom ramen för sĂ„dant samarbete behandla personuppgifter i gemensamma projekt. Bland annat för att möjliggöra ett sĂ„dant samarbete görs bedömningen i avsnitten 6.5.2 och 6.5.3 att vissa myndigheter bör kunna medges direktĂ„tkomst till uppgifter som har gjorts gemensamt tillgĂ€ngliga inom Försvarsmakten och Försvarets radioanstalt. Syftet med att begrĂ€nsa Ă„tkomsten till gemensamt tillgĂ€ngliga uppgifter Ă€r att per- sonuppgifter â och behandlingen av sĂ„dana uppgifter â bör kring- gĂ€rdas av ett extra skydd nĂ€r de sprids till andra myndigheter Ă€n Försvarsmakten och Försvarets radioanstalt. Konsekvensen av be- grĂ€nsningen blir att bestĂ€mmelserna om gemensamt tillgĂ€ngliga uppgifter alltid blir tillĂ€mpliga i projekt med deltagare frĂ„n andra myndigheter, oavsett antalet deltagare i projektet.
Liksom angavs i lagstiftningsarbetet vid tillkomsten av
Den nÀrmare regleringen av vilka kategorier av uppgifter som ska fÄ behandlas bör Àven fortsÀttningsvis huvudsakligen regleras i för- ordning eller genom regeringsbeslut.
206
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
För att undvika en alltför detaljerad reglering i lag bör regeringen meddela nÀrmare föreskrifter eller beslut i enskilda fall om vilka upp- giftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive samling.
NÀrmare om Försvarsmakten
Inom ramen för den personuppgiftsbehandling som sker av För- svarsmakten i försvarsunderrÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten Àr risken för integritetsintrÄng för den enskilde typiskt sett större Àn vid annan personuppgiftsbehandling som om- fattas av förslaget till lag om behandling av personuppgifter vid Försvarsmakten. Det finns dÀrför enligt utredningen skÀl att Àven fortsÀttningsvis reglera behandling av personuppgifter i uppgiftssam- lingar i dessa verksamheter i lag. BetrÀffande personuppgiftsbehandling utanför försvarsunderrÀttelseverksamheten och den militÀra sÀkerhets- tjÀnsten gör utredningen emellertid följande bedömning.
I stort sett samtliga personuppgifter som behandlas av Försvars- makten i de andra verksamheterna Ă€r av sĂ„dan karaktĂ€r att de kan betraktas som gemensamt tillgĂ€ngliga. De uppgifter som personal hos Försvarsmakten har tillgĂ„ng till begrĂ€nsas dock genom krav pĂ„ behörighet. Ă
tkomsten begrÀnsas sÄtillvida att de som har behörig- het endast fÄr tillgÄng till de delar av informationssystemen som de behöver för att kunna fullgöra sina arbetsuppgifter. Inloggning i Försvarsmaktens huvudsystem för Àrendehantering, FM AP kan till exempel endast ske med hjÀlp av totalförsvarets elektroniska
Personuppgiftsbehandlingen inom ramen för lagförslaget omgÀr- das av sÀrskilda skyddsregler. Personuppgiftsbehandlingen kommer exempelvis att begrÀnsas genom bestÀmmelser om lagens tillÀmp- ningsomrÄde och sÀrskilda ÀndamÄlsbestÀmmelser, om att tillgÄngen till personuppgifter ska begrÀnsas till vad varje anstÀlld behöver för att kunna fullgöra sina arbetsuppgifter. En begrÀnsning följer ocksÄ av att det föreslÄs en sÀrskild reglering för nÀr och hur direktÄtkomst för andra aktörer fÄr medges. Lagen föreslÄs Àven innehÄlla bestÀm- melser om sökförbud. PÄ detta sÀtt begrÀnsas risken för otillbörlig spridning av uppgifterna.
207
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Mot denna bakgrund utgör de föreslagna skyddsreglerna ett tillrÀckligt integritetsskydd för den uppgiftsbehandling som omfattas av lagförslaget och som sker vid Försvarsmakten utanför försvars- underrÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten. NÄgot behov av en mer restriktiv sÀrreglering finns dÀrför inte. För behandling av personuppgifter avseende de nya ÀndamÄlen bör dÀrför Försvars- makten fÄ bestÀmma om uppgiftssamlingar ska införas och vad de i sÄ fall ska innehÄlla. Detta bör anges i den nya förordningen om behandlingen av personuppgifter vid Försvarsmakten.
I den förordning som ska knyta an till den föreslagna lagen föreslÄs följande nÀr det gÀller uppgiftssamlingar hos Försvarsmakten.
Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för försvars- underrÀttelseverksamhet som innehÄller personuppgifter. Uppgifts- samlingarna Är endast innehÄlla uppgifter som Àr nödvÀndiga för att Försvarsmakten ska kunna bedriva verksamhet enligt lagen (2000:130) om försvarsunderrÀttelseverksamhet.
En uppgiftssamling för försvarsunderrÀttelseverksamhet fÄr endast innehÄlla
1.identifieringsuppgifter,
2.uppgifter om de omstÀndigheter och hÀndelser som ger anledning att anta att den som behandlingen rör har betydelse för för- svarsunderrÀttelseverksamheten,
3.upplysningar om varifrÄn uppgiften kommer och om en uppgifts- lÀmnares trovÀrdighet, och
4.allmÀnt tillgÀnglig information som finns pÄ internet eller i öppna databaser.
NÀr personuppgifter som avses ovan och som finns i rapportunder- lag och underrÀttelserapporter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas, ska de bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.
Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för sÀker- hetsunderrÀttelsetjÀnst som innehÄller personuppgifter. Uppgifts- samlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att upptÀcka och klarlÀgga sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen samt allmÀnt tillgÀnglig information som finns pÄ internet eller i öppna databaser.
208
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
NÀr personuppgifter som avses ovan och som finns i rapport- underlag och underrÀttelserapporter inte lÀngre behövs för de Ànda- mÄl för vilka de behandlas, ska de bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.
Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för sÀker- hetsskyddstjÀnst som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvars- makten och dess sÀkerhetsintressen.
Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för signal- kontroll som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att förhindra obehörig insyn i och pÄverkan av totalförsvarets telekommunika- tions- och informationssystem.
I avsnitt 6.4.6 föreslÄr utredningen inga tidsfrister för behand- lingen av personuppgifter i uppgiftssamlingarna för sÀkerhetsunder- rÀttelsetjÀnst och för sÀkerhetsskydd. Personuppgifter i en uppgifts- samling för signalkontroll föreslÄs, i likhet med vad som nu gÀller, inte fÄ behandlas lÀngre Àn ett Är efter det att behandlingen pÄ- börjades.
NÀrmare om Försvarets radioanstalt
PÄ samma sÀtt som för Försvarsmakten föreslÄs för Försvarets radio- anstalts behandling av personuppgifter ett kapitel om personupp- gifter som fÄr göras gemensamt tillgÀngliga. Enligt förslaget till ny reglering bör personuppgifter fÄ göras gemensamt tillgÀngliga och behandlas i uppgiftssamlingar om det behövs för nÄgot av de syften som anges i lagens andra kapitel. SÄledes omfattas, utöver försvars- underrÀttelse- och utvecklingsverksamheten, Àven informationssÀker- hetsverksamheten av den nya regleringen.
I den förordning som ska knyta an till lagen om behandling av personuppgifter vid Försvarets radioanstalt föreslÄr utredningen följande förÀndringar nÀr det gÀller uppgiftssamlingar. Enligt 3 §
209
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
bedömningar i underrÀttelserapporter bygger pÄ information i rapport- underlagen Àr det logiskt att underlagen behandlas enligt samma regler som de resulterande underrÀttelserapporterna.
NÀr personuppgifter i rapportunderlag och underrÀttelserappor- ter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas ska de bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl. DÀr- med sÀkerstÀlls bl.a. möjligheterna att i ljuset av ny information vid behov ompröva tidigare analyser och bedömningar. Detta torde vara ett grundlÀggande krav pÄ all underrÀttelserapportering som kan ligga till grund för sÄdana aktiviteter som rapportmottagarna kan komma att genomföra baserade pÄ rapporteringen.
Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för informationssÀkerhetsverksamhet som innehÄller personuppgifter. De fÄr endast innehÄlla information om uppdragsgivare, information som rör
Vidare fÄr det finnas uppgiftssamlingar för allmÀnt tillgÀnglig information som innehÄller personuppgifter. De fÄr endast innehÄlla information som finns eller har funnits pÄ internet eller i öppna databaser.
Slutligen fÄr det finnas uppgiftssamlingar för loggar som förs med stöd av bestÀmmelser i den föreslagna lagen.
6.5.2DirektÄtkomst till personuppgifter hos Försvarsmakten
Utredningens förslag: SÀkerhetspolisen och Försvarets radio- anstalt fÄr medges direktÄtkomst till personuppgifter som utgör bearbetningsunderlag och analysresultat inom försvarsunderrÀt- telseverksamheten och som finns i uppgiftssamlingar. Detta ska gÀlla Àven om uppgifterna omfattas av sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (uppgifter om enskilds perso- nliga och ekonomiska förhÄllanden).
Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrÀttelse- och sÀkerhets- samarbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det, en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till per- sonuppgifter som behandlas i försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar.
210
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Regeringen kan meddela föreskrifter eller sÀrskilt beslut om vilka som i andra fall fÄr ha direktÄtkomst till gemensamt till- gÀngliga uppgifter.
Regeringen, eller den myndighet som regeringen bestÀmmer, kan meddela
1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktÄtkomsten, och
2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.
SkÀl för utredningens förslag: DirektÄtkomst innebÀr att nÄgon har direkt tillgÄng till en uppgiftssamling och kan söka efter information i denna, utan att kunna pÄverka innehÄllet i uppgiftssamlingen. Mottagare med direktÄtkomst kan i regel ocksÄ kopiera informa- tionen och dÀrefter bearbeta den. Informationsöverföringen sker utan att den som ansvarar för uppgiftssamlingen i det enskilda fallet tar stÀllning till om informationen ska lÀmnas ut. DirektÄtkomst innebÀr sÄledes att den myndighet som har sÄdan Ätkomst fritt kan avgöra vilka uppgifter den vill ta del av med den begrÀnsning som följer av offentlighets- och sekretesslagens bestÀmmelser. Om en myndighet har direktÄtkomst till uppgifter fÄr dessa dÀrför anses utlÀmnade i och med att ett system för direktÄtkomst upprÀttats. Det saknar betydelse om myndigheten faktiskt anvÀnder sig av en viss uppgift eller inte. Eftersom bestÀmmelser om direktÄtkomst inte har nÄgon sekretessbrytande verkan i sig, förutsÀtter direkt- Ätkomst att de aktuella uppgifterna inte omfattas av sekretess eller att det finns en skyldighet enligt lag eller förordning att lÀmna ut de aktuella uppgifterna till den som fÄr ha direktÄtkomst.
DirektÄtkomst för SÀkerhetspolisen och Försvarets radioanstalt
Av 1 kap. 15 § första stycket
211
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Denna samverkan mellan de tre myndigheterna sker vid Nationellt centrum för terrorhotbedömning (NCT).
TillgÄngen till sÄdana uppgifter ska enligt den bestÀmmelsen vara förbehÄllen de personer inom myndigheterna som pÄ grund av sina arbetsuppgifter inom sÄdan samverkan behöver ha tillgÄng till upp- gifterna. Enligt samma bestÀmmelse fÄr regeringen meddela före- skrifter om vilka myndigheter som i andra fall fÄr ha direktÄtkomst till uppgiftssamlingar. Vidare fÄr regeringen, eller den myndighet som regeringen bestÀmmer, meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten. Enligt bestÀm- melsen gÀller möjligheten att meddela föreskrifter Àven föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.
Enligt 1 kap. 15 a §
I motiven till bestÀmmelserna i
Regeringen konstaterade att det för Försvarsmaktens del finns en bestÀmmelse om uppgiftsskyldighet i 2 § lagen om försvarsunder- rÀttelseverksamhet. DÀr anges att underrÀttelser ska rapporteras till berörda myndigheter. Denna uppgiftsskyldighet omfattar enligt regeringen dock inte den typ av uppgifter som myndigheterna inom samarbetet har behov av att utbyta och som de skulle fÄ tillgÀng- liggöra genom direktÄtkomst.
212
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Efter en genomgÄng av skilda sekretessbestÀmmelser fann reger- ingen att bestÀmmelsen i 38 kap. 4 § offentlighets- och sekretess- lagen om sekretess för uppgifter om enskildas personliga och ekono- miska för hÄllanden som har ett omvÀnt skaderekvisit borde brytas genom en bestÀmmelse om uppgiftsskyldighet. UtlÀmnande av upp- gifter som rör enskildas personliga och ekonomiska förhÄllanden torde i den aktuella situationen nÀstan alltid vara till skada eller men för den enskilde (prop. 2017/18:36 s. 29 f.).
Som nyss nÀmnts avser bestÀmmelserna om direktÄtkomst i 1 kap. 15 § första stycket
Försvarsmakten och Försvarets radioanstalt har Àven pÄ andra omrÄden ett nÀra samarbete med varandra nÀr det gÀller yttre militÀra hot mot landet, förutsÀttningar för svenskt deltagande i freds- frÀmjande och humanitÀra insatser eller hot mot sÀkerheten för svenska intressen vid genomförande av sÄdana insatser, konflikter utomlands med konsekvenser för internationell sÀkerhet och frÀm- mande makts agerande eller avsikter av vÀsentlig betydelse för svensk
Försvarets radioanstalt och Försvarsmakten samarbetar vidare med varandra och med SÀkerhetspolisen nÀr det gÀller kartlÀggning av verksamhet som rör strategiska förhÄllanden avseende internatio- nell terrorism och annan grov grÀnsöverskridande brottslighet som kan hota vÀsentliga nationella intressen, utveckling och spridning av massförstörelsevapen, krigsmateriel, och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla anvÀnd- ningsomrÄden och av tekniskt bistÄnd, allvarliga yttre hot mot sam- hÀllets infrastruktur och frÀmmande underrÀttelseverksamhet mot svenska intressen.
Detta samarbete har stor betydelse för Sveriges försvar och sÀkerhet, inte minst mot bakgrund av den sÀkerhetspolitiska utveck- ling som har Àgt rum under de senast Ären. Samarbetet leder till att myndigheterna delger varandra underrÀttelser. NÄgra sekretess- hinder föreligger normalt inte för sÄdan delgivning. Samarbetet stÀller emellertid krav pÄ att myndigheterna pÄ ett arbetsbesparande sÀtt kan ta del Àven av andra uppgifter hos varandra som de behöver för
213
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
sin underrÀttelse- och sÀkerhetstjÀnst. Hos Försvarsmakten bör direktÄtkomsten för SÀkerhetspolisen och Försvarets radioanstalt avse personuppgifter som utgör bearbetningsunderlag och analys- resultat inom försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar.
En del av dessa uppgifter kan röra uppgifter om enskilds per- sonliga och ekonomiska förhÄllanden och kan dÀrför inte göras tillgÀngliga för direktÄtkomst utan ett sÀrskilt stöd i lag. BestÀm- melsen bör dÀrför uttryckligen ge ett stöd för att bryta sekretessen i 38 kap. 4 § offentlighets- och sekretesslagen.
DirektÄtkomst i internationellt försvars- och sÀkerhetssamarbete
Utvecklingen i Sverige och i omvÀrlden skÀrper kraven pÄ Sveriges förmÄga att vÀrna sin sÀkerhet. Detta gÀller inte minst pÄ omrÄdet försvarsunderrÀttelse- och sÀkerhetstjÀnst, dÀr internationell sam- verkan i mÄnga fall Àr helt nödvÀndig för att Försvarsmakten och Försvarets radioanstalt ska kunna lösa sina uppgifter pÄ detta omrÄde.
Samarbete sker i flera fall genom att ses och utbyta information i mötesform och/eller genom elektroniskt utlÀmnande av meddelan- den och rapporter. I de fall dÀr samarbete sker med stora behov av skyndsamhet, samt i de fall dÀr samarbete syftar till att gemensamt följa ett skeende, Àr det i vissa fall nödvÀndigt att inom ramen för samarbetet tillgÀngliggöra information genom direktÄtkomst.
Behov av skyndsamhet kan exempelvis uppstÄ inför ett förmodat förestÄende terrordÄd. Behov av att kunna medge direktÄtkomst kan Àven uppstÄ pÄ andra omrÄden sÄsom nÀr Försvarsmakten eller Försvarets radioanstalt följer ett underrÀttelsemÀssigt intressant skeende tillsammans med en internationell partner.
I sÄdana fall Àr det angelÀget att kunna tillgÀngliggöra ett samlat kunskapslÀge över tid, vilket lÀmpligen görs genom att Försvars- makten medger en partner direktÄtkomst till en uppgiftssamling som etablerats specifikt för detta samarbete.
För Försvarsmaktens del föreslÄs dÀrför en bestÀmmelse som innebÀr att en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst fÄr med- ges direktÄtkomst till personuppgifter som behandlas i försvars- underrÀttelseverksamheten och som finns i uppgiftssamlingar. Som förutsÀttning bör gÀlla att det behövs för samarbetet mot terrorism
214
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
eller vid svenskt deltagande i annat internationellt underrÀttelse- och sÀkerhetssamarbete. Vidare bör det bara fÄ ske i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det.
Reglering i förordning
Utredningen anser att i den förordning som knyter an till lagen bör föras in ytterligare föreskrifter om direktÄtkomst enligt vad som framgÄr av det följande och som till en del kommenteras.
Försvar och sÀkerhet
1.Försvarets materielverk fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. DirektÄtkomsten fÄr endast avse personuppgifter som rör Försvarsmaktens materiel- och logistik- försörjning och som har gjorts gemensamt tillgÀngliga.
För Försvarets materielverk finns ett behov av direktÄtkomst med anledning av uppdraget att materiel- och logistikförsörja Försvars- makten. Dessa gemensamt tillgÀngliga uppgifter innehÄller uppgifter om anstÀllda vid Försvarsmakten och Försvarets materielverk samt uppgifter om personer hos leverantörer.
2.Totalförsvarets rekryteringsmyndighet fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. DirektÄtkomsten fÄr endast avse personuppgifter som rör totalförsvarspliktiga och Försvars- maktens krigsorganisation och som har gjorts gemensamt tillgÀngliga.
För Totalförsvarets rekryteringsmyndighet finns behovet med anled- ning av uppdraget avseende totalförsvarspliktiga. Försvarsmakten har direktÄtkomst till system hos Totalförsvarets rekryteringsmyndighet.
3.Finlands försvarsmakt fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av
215
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
personuppgifter vid Försvarsmakten om det behövs för planering, för- beredelser och genomförande av stöd inom ramen för lagen (2019:000) om operativt militÀrt stöd mellan Sverige och Finland. DirektÄtkomsten fÄr endast avse personuppgifter som har gjorts gemensamt tillgÀngliga.
I betÀnkandet SOU 2018:31 föreslÄs en lag om operativt militÀrt stöd mellan Sverige och Finland. I betÀnkandet föreslÄs vidare en förordning om utlÀmnande av sekretessbelagda uppgifter vid opera- tivt stöd inom försvarssamarbetet mellan Sverige och Finland. Uppgift för vilken sekretess gÀller enligt 15 kap. 2 § offentlighets- och sekretesslagen (2009:400) fÄr enligt förslaget lÀmnas ut av Försvars- makten, Försvarets materielverk och Totalförsvarets forskningsinsti- tut till en finsk myndighet avseende planering, förberedelser och genomförande av stöd inom ramen för den föreslagna lagen om operativt militÀrt stöd mellan Sverige och Finland. BestÀmmelserna föreslÄs trÀda i kraft den 1 juli 2019. För ett effektivt planerings- och förberedelsearbete liksom för ett effektivt genomförande av sam- arbetet Àr finsk direktÄtkomst till uppgifter hos Försvarsmakten viktig. Uppgifterna kan innehÄlla personuppgifter, bl.a. personal hos Försvarsmakten men framför allt om personer hos motstÄndare eller andra aktörer.
FörsvarsunderrÀttelseverksamhet
1.Regeringskansliet, SÀkerhetspolisen, Nationella operativa avdelningen i Polismyndigheten, Inspektionen för strategiska produkter, Försvarets materielverk, Totalförsvarets forskningsinstitut, Myndigheten för sam- hÀllsskydd och beredskap och Tullverket fÄr medges direktÄtkomst till personuppgifter som utgör analysresultat och underrÀttelser och som finns i uppgiftssamlingar för försvarsunderrÀttelseverksamhet.
En motsvarande bestÀmmelse finns för Försvarets radioanstalt i 9 §
2.Om det behövs för samarbetet mot terrorism eller vid svenskt del- tagande i annat internationellt underrÀttelse- och sÀkerhetssamarbete
216
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
fÄr en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgifter som behandlas enligt 2 kap. 2 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling som Försvarsmakten upprÀttat i syfte att dela infor- mationen med mottagaren.
Innan direktÄtkomst medges en utlÀndsk underrÀttelse- eller sÀker- hetstjÀnst enligt första stycket ska Försvarsmakten underrÀtta Reger- ingskansliet (Försvarsdepartementet).
I Försvarsmaktens internationella samarbete med underrÀttelse- eller sÀkerhetstjÀnster i andra lÀnder Àr finns ett behov av att kunna dela med sig information. Detta Àr sÀrskilt pÄtagligt nÀr det gÀller samarbetet mot terrorism men gÀller Àven övrigt samarbete. Enligt Försvarsmaktens bedömning kan man i framtiden etablera sam- arbeten som tekniskt skulle göra det möjligt att medge direktÄtkomst hos Försvarsmakten. En sÄdan möjlighet gör samarbetet effektivare Àn annars, sÀrskilt i brÄdskande situationer.
MilitÀr sÀkerhetstjÀnst
1.SÀkerhetspolisen, Nationella operativa avdelningen i Polismyndig- heten, Myndigheten för samhÀllsskydd och beredskap, Migrationsverket, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forsk- ningsinstitut, Totalförsvarets rekryteringsmyndighet, Fortifikationsverket och Försvarshögskolan fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 1 och 2 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för sÀkerhetsunderrÀttelsetjÀnst.
Försvarsmakten har till uppgift enligt 39 § sÀkerhetsskyddsförord- ningen att kontrollera sÀkerhetsskyddet hos Fortifikationsverket, Försvarshögskolan, och de myndigheter som hör till Försvars- departementet. För dessa myndigheter, som Àr av sÀrskild vikt för totalförsvaret, behöver Försvarsmakten fÄ möjlighet att genom direktÄtkomst tillgÀngliggöra personuppgifter, kopplade till misstÀnkt eller konstaterad sÀkerhetshotande verksamhet. Syftet med detta Àr dels att göra det möjligt för Försvarsmakten att sprida kunskap om sÀkerhetshotande aktörer till de samverkande myndigheter som
217
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
saknar egen inhÀmtning pÄ sÀkerhetsunderrÀttelseomrÄdet, dels att möjliggöra löpande informationsspridning under pÄgÄende sÀker- hetshotande verksamhet.
Att Försvarsmakten har möjlighet att tillgÀngliggöra denna infor- mation genom direktÄtkomst innebÀr en vÀsentligt förbÀttrad möj- lighet för att kritisk information kan delges samverkande myndig- heter i tid.
För att Försvarsmakten ska kunna kartlÀgga verksamhet som utgör hot mot Sveriges sÀkerhet Àr myndigheten i flera fall beroende av samverkan med andra myndigheter. Detta gÀller dels de myndig- heter som bedriver egen uppföljning av sÀkerhetshotande verksamhet, sÄsom Polismyndigheten, SÀkerhetspolisen och Myndigheten för sam- hÀllsskydd och beredskap. För uppföljning av sÄdan sÀkerhetshotande verksamhet som Àr grÀnsöverskridande Àr Försvarsmakten vidare bero- ende av samverkan med Tullverket och Migrationsverket. Samverkan med dessa myndigheter bedrivs redan genom möten, översÀndande av rapporter m.m. Genom att Försvarsmakten har möjlighet att till- gÀngliggöra denna information genom direktÄtkomst ökar effekt- iviteten i samarbetet.
2.SÀkerhetspolisen fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 5 lag (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för sÀkerhetsskyddstjÀnst.
BestÀmmelsen motsvarar 9 §
3.Om det behövs för samarbetet mot sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen fÄr en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till person- uppgifter som behandlas med stöd av 2 kap. 5 § 1 och 2 och som finns i en avskild uppgiftssamling som Försvarsmakten upprÀttat i syfte att dela informationen med mottagaren. för sÀkerhetsunderrÀttelsetjÀnst.
Innan direktÄtkomst medges en utlÀndsk underrÀttelse- eller sÀker- hetstjÀnst ska Försvarsmakten underrÀtta Regeringskansliet (Försvars- departementet).
218
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Liksom i försvarsunderrÀttelseverksamheten har Försvarsmakten i sin militÀra sÀkerhetstjÀnst ett behov av att kunna dela med sig infor- mation i samarbetet med underrÀttelse- eller sÀkerhetstjÀnster i andra lÀnder.
Enligt Försvarsmaktens bedömning kan man i framtiden etablera samarbeten som tekniskt skulle göra det möjligt att medge direkt- Ätkomst hos Försvarsmakten. En sÄdan möjlighet gör samarbetet effektivare Àn annars, sÀrskilt i brÄdskande situationer.
Omfattning av direktÄtkomst
Försvarsmakten beslutar om omfattningen av direktÄtkomst som följer av lag, förordning eller regeringens beslut i enskilt fall.
Försvarsmakten ska sÀkerstÀlla att förutsÀttningarna för direkt- Ätkomsten dokumenteras.
TillgÄngen till uppgifter hos mottagaren ska vara förbehÄllen de per- soner som pÄ grund av sina arbetsuppgifter behöver ha tillgÄng till uppgifterna.
DirektÄtkomst fÄr inte medges innan Försvarsmakten har försÀkrat sig om att mottagaren uppfyller kraven pÄ behörighet och sÀkerhet.
Utredningen föreslÄr till vissa delar ny reglering som möjliggör direktÄtkomst hos Försvarsmakten under sÀrskilt angivna premisser. I likhet med vad som följer av gÀllande regelverk Àr det Försvars- makten som beslutar i vilken omfattning direktÄtkomst bör medges. Den föreslagna bestÀmmelsen tydliggör detta. BestÀmmelsen slÄr ocksÄ fast att tillgÄngen av uppgifter hos mottagaren ska vara för- behÄllen de personer som pÄ grund av sina arbetsuppgifter behöver ha tillgÄng till uppgifterna, liksom att nÄgon direktÄtkomst inte kan medges innan dess att Försvarsmakten har försÀkrat sig om att mot- tagaren uppfyller kraven pÄ behörighet och sÀkerhet.
219
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
6.5.3DirektÄtkomst till personuppgifter hos Försvarets radioanstalt
Utredningens förslag: SÀkerhetspolisen och Försvarsmakten fÄr medges direktÄtkomst till personuppgifter som utgör analys- resultat inom försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar. Detta ska gÀlla Àven om uppgifterna omfattas av sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (uppgifter om enskilds personliga och ekonomiska förhÄllanden).
Om det behövs för samarbetet mot terrorism eller för annat internationellt sÀkerhetssamarbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgifter som behandlas i försvarsunder- rÀttelseverksamheten och som finns i uppgiftssamlingar.
Om det behövs för samarbetet mot
Regeringen kan meddela föreskrifter eller sÀrskilt beslut om vilka som i andra fall fÄr ha direktÄtkomst till gemensamt till- gÀngliga uppgifter.
Regeringen, eller den myndighet som regeringen bestÀmmer, kan meddela
1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktÄtkomsten, och
2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.
SkÀl för förslaget: Vad direktÄtkomst innebÀr beskrivs i föregÄende avsnitt 6.5.2.
220
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
DirektÄtkomst för SÀkerhetspolisen och Försvarsmakten
Av 1 kap. 15 § första stycket
TillgÄngen till sÄdana uppgifter ska enligt denna bestÀmmelse vara förbehÄllen de personer inom myndigheterna som pÄ grund av sina arbetsuppgifter inom sÄdan samverkan behöver ha tillgÄng till upp- gifterna. Enligt samma bestÀmmelser fÄr regeringen meddela före- skrifter om vilka myndigheter som i andra fall fÄr ha direktÄtkomst till uppgiftssamlingar. Vidare fÄr regeringen, eller den myndighet som regeringen bestÀmmer, meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten. Enligt bestÀm- melsen gÀller möjligheten att meddela föreskrifter Àven föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.
Enligt 1 kap. 15 a §
I motiven till bestÀmmelserna i
221
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
behövde sekretessen enligt regeringen sekretessen sÄledes pÄ för- hand brytas.
Regeringen konstaterade att för Försvarets radioanstalts del finns en bestÀmmelse om uppgiftsskyldighet i 2 § lagen om försvarsunder- rÀttelseverksamhet. DÀr anges att underrÀttelser ska rapporteras till berörda myndigheter. Denna uppgiftsskyldighet omfattar enligt reger- ingen dock inte den typ av uppgifter som myndigheterna inom sam- arbetet har behov av att utbyta och som de skulle fÄ tillgÀngliggöra genom direktÄtkomst.
Efter en genomgÄng av skilda sekretessbestÀmmelser fann reger- ingen att bestÀmmelsen i 38 kap. 4 § offentlighets- och sekretesslagen om sekretess för uppgifter om enskildas personliga och ekonomiska för hÄllanden som har ett omvÀnt skaderekvisit borde brytas genom en bestÀmmelse om uppgiftsskyldighet. UtlÀmnande av uppgifter som rör enskildas personliga och ekonomiska förhÄllanden torde i den aktuella situationen nÀstan alltid vara till skada eller men för den enskilde (prop. 2017/18:36 s. 29 f.).
Som nyss nÀmnts avser bestÀmmelserna om direktÄtkomst i 1 kap. 15 § första stycket
Försvarets radioanstalt och Försvarsmakten har Àven pÄ andra omrÄden ett nÀra samarbete med varandra nÀr det gÀller yttre militÀra hot mot landet, förutsÀttningar för svenskt deltagande i fredsfrÀm- jande och humanitÀra insatser eller hot mot sÀkerheten för svenska intressen vid genomförande av sÄdana insatser, konflikter utomlands med konsekvenser för internationell sÀkerhet och frÀmmande makts agerande eller avsikter av vÀsentlig betydelse för svensk
Försvarets radioanstalt och Försvarsmakten samarbetar vidare med varandra och med SÀkerhetspolisen nÀr det gÀller kartlÀggning av verksamhet som rör strategiska förhÄllanden avseende interna- tionell terrorism och annan grov grÀnsöverskridande brottslighet som kan hota vÀsentliga nationella intressen, utveckling och sprid- ning av massförstörelsevapen, krigsmateriel, och produkter som avses i lagen om kontroll av produkter med dubbla anvÀndnings- omrÄden och av tekniskt bistÄnd, allvarliga yttre hot mot samhÀllets
222
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
infrastruktur och frÀmmande underrÀttelseverksamhet mot svenska intressen.
Detta samarbete har stor betydelse för Sveriges försvar och sÀkerhet, inte minst mot bakgrund av den sÀkerhetspolitiska utveck- ling som har Àgt rum under de senast Ären. Samarbetet leder till att myndigheterna delger varandra underrÀttelser. NÄgra sekretesshinder föreligger normalt inte för sÄdan delgivning. Samarbetet stÀller emeller- tid krav pÄ att myndigheterna pÄ ett arbetsbesparande sÀtt kan ta del Àven av andra uppgifter hos varandra som de behöver för sin under- rÀttelse- och sÀkerhetstjÀnst. Hos Försvarets radioanstalt bör direkt- Ätkomsten för SÀkerhetspolisen och Försvarsmakten avse person- uppgifter som utgör analysresultat och som finns i uppgiftssamlingar.
En del av dessa uppgifter kan röra uppgifter om enskilds person- liga och ekonomiska förhÄllanden och kan dÀrför inte göras till- gÀngliga för direktÄtkomst utan ett sÀrskilt stöd i lag. BestÀmmelsen bör dÀrför uttryckligen ge ett stöd för att bryta sekretessen i 38 kap. 4 § offentlighets- och sekretesslagen.
DirektÄtkomst i internationellt försvarsunderrÀttelsesamarbete
Utvecklingen i Sverige och i omvÀrlden skÀrper kraven pÄ Sveriges förmÄga att vÀrna sin sÀkerhet. Detta gÀller inte minst försvars- underrÀttelseverksamheten dÀr internationell samverkan i mÄnga fall Àr helt nödvÀndigt för att Försvarets radioanstalt ska kunna lösa sina uppgifter pÄ detta omrÄde.
Samarbete sker i flera fall genom att utbyta information i mötes- form eller genom elektroniskt utlÀmnande av meddelanden och rapporter. I de fall dÀr samarbete sker med stora behov av skynd- samhet, samt i de fall dÀr samarbete syftar till att gemensamt följa ett skeende, Àr det i vissa fall nödvÀndigt att inom ramen för samarbetet tillgÀngliggöra information genom direktÄtkomst.
Behov av skyndsamhet kan exempelvis uppstÄ inför ett förmodat förestÄende terrordÄd. Behov av att kunna medge direktÄtkomst kan Àven uppstÄ pÄ andra omrÄden sÄsom nÀr eller Försvarets radio- anstalt följer ett underrÀttelsemÀssigt intressant skeende tillsam- mans med en internationell partner.
I sÄdana fall Àr det angelÀget att kunna tillgÀngliggöra ett samlat kunskapslÀge över tid, vilket lÀmpligen görs genom att Försvarets
223
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
radioanstalt medger en partner direktÄtkomst till personuppgifter som finns i uppgiftssamlingar.
För Försvarets radioanstalt föreslÄs dÀrför en bestÀmmelse som innebÀr att en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst fÄr med- ges direktÄtkomst till personuppgifter som behandlas i försvars- underrÀttelseverksamheten och som finns i uppgiftssamlingar. Som förutsÀttning bör gÀlla att det behövs för samarbetet mot terrorism eller för annat internationellt sÀkerhetssamarbete. Vidare bör det bara fÄ ske i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det.
DirektÄtkomst i internationellt informationssÀkerhetssamarbete
Utvecklingen pÄ informationssÀkerhetsomrÄde prÀglas av omfat- tande
Reglering i förordning
Utredningen anser att i den förordning som knyter an till lagen bör föras in ytterligare föreskrifter om direktÄtkomst enligt vad som framgÄr av det följande och som till en del kommenteras.
224
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
FörsvarsunderrÀttelseverksamhet
Regeringskansliet, SÀkerhetspolisen, Nationella operativa avdelningen i Polismyndigheten, Inspektionen för strategiska produkter, Försvars- makten, Försvarets materielverk, Totalförsvarets forskningsinstitut, Myn- digheten för samhÀllsskydd och beredskap och Tullverket fÄr medges direktÄtkomst till personuppgifter som utgör underrÀttelser och som finns i uppgiftssamlingar.
BestÀmmelsen motsvarar 9 §
InformationssÀkerhetsverksamhet
SÀkerhetspolisen och Försvarsmakten fÄr medges direktÄtkomst till per- sonuppgifter som utgör analysresultat och som behandlas i en uppgifts- samling för informationssÀkerhetsverksamhet.
Utvecklingen pÄ informationssÀkerhetsomrÄdet med ett ökande antal skadliga intrÄng i för samhÀllet viktiga och kÀnsliga informations- system krÀver ett nÀra samarbete mellan Försvarets radioanstalt, Försvarsmakten och SÀkerhetspolisen. Möjligheterna för SÀkerhets- polisen och Försvarsmakten att fÄ direktÄtkomst till personupp- gifter som utgör analysresultat hos Försvarets radioanstalt medför att samarbetet blir effektivare och att skyddet för de mest skydds- vÀrda informationssystemen kan stÀrkas.
Ăvrigt
Försvarets radioanstalt beslutar om omfattningen av direktÄtkomst som följer av lag, förordning eller regeringens beslut i enskilt fall.
Försvarets radioanstalt ska sÀkerstÀlla att förutsÀttningarna för direkt- Ätkomsten dokumenteras.
TillgÄngen till uppgifter ska vara förbehÄllen de personer som pÄ grund av sina arbetsuppgifter behöver ha tillgÄng till uppgifterna.
DirektÄtkomst fÄr inte medges innan Försvarets radioanstalt har försÀkrat sig om att den mottagande parten uppfyller kraven pÄ behörig- het och sÀkerhet.
225
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Utredningen föreslÄr till vissa delar ny reglering som möjliggör direktÄtkomst hos Försvarets radioanstalt under sÀrskilt angivna premisser. I likhet med vad som följer av gÀllande bestÀmmelser Àr det Försvarets radioanstalt som beslutar i vilken omfattning direkt- Ätkomst bör medges. Den föreslagna bestÀmmelsen tydliggör detta. BestÀmmelsen slÄr ocksÄ fast att tillgÄngen av uppgifter hos mot- tagaren ska vara förbehÄllen de personer som pÄ grund av sina arbets- uppgifter behöver ha tillgÄng till uppgifterna, liksom att nÄgon direktÄtkomst inte kan medges innan dess att Försvarets radioanstalt har försÀkrat sig om att mottagaren uppfyller kraven pÄ behörighet och sÀkerhet.
6.6Skyldigheter som personuppgiftsansvarig
6.6.1Författningsenlig behandling genom lÀmpliga tekniska och organisatoriska ÄtgÀrder
Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska genom lÀmpliga tekniska och organisatoriska ÄtgÀrder sÀkerstÀlla att behandlingen av personuppgifter Àr författnings- enlig och skydda rÀttigheterna för dem som uppgifterna rör.
SkÀl för utredningens förslag: NÄgon bestÀmmelse om att Försvars- makten och Försvarets radioanstalt genom lÀmpliga tekniska och organisatoriska ÄtgÀrder ska sÀkerstÀlla att behandlingen av person- uppgifter Àr författningsenlig och att den enskildes rÀttigheter skyd- das finns inte i
Förslaget till SÀkerhetspolisens datalag innehÄller bestÀmmelser om personuppgiftsansvarigas skyldigheter, dÀribland att vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att sÀkerstÀlla och kunna visa att behandlingen av personuppgifter Àr författningsenlig och att regi- strerades rÀttigheter skyddas. LÀmpliga tekniska och organisatoriska ÄtgÀrder ska enligt dessa bestÀmmelser vidtas med beaktande av behandlingens art, omfattning, sammanhang och ÀndamÄl och riskerna för fysiska personers rÀttigheter och friheter (SOU 2017:74).
I de föreslagna lagarna bör enligt utredningen införas en generell skyldighet för Försvarsmakten och Försvarets radioanstalt, att genom lÀmpliga tekniska och organisatoriska ÄtgÀrder sÀkerstÀlla att
226
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
behandlingen av personuppgifter Àr författningsenlig och att myn- digheterna skyddar rÀttigheterna för den vars uppgifter behandlas. Det Àr dÀremot inte möjligt att i de föreslagna lagarna nÀrmare ange vilka tekniska och organisatoriska ÄtgÀrder som Försvarsmakten och Försvarets radioanstalt bör vidta, utan detta fÄr avgöras beroende pÄ vilken verksamhet hos de bÄda myndigheterna det rör sig om.
Utredningen anser att ett krav pÄ att Försvarsmakten och Försvarets radioanstalt inte bara ska sÀkerstÀlla att behandlingen utförs författ- ningsenligt utan ocksÄ ska kunna visa att sÄ Àr fallet gÄr för lÄngt och skulle innebÀra betungande rutiner. Den tillsyn och kontroll som ska ske Àr en tillrÀcklig funktion.
Vilka omstÀndigheter som Försvarsmakten och Försvarets radio- anstalt ska beakta vid beslut om ÄtgÀrder enligt de föreslagna bestÀm- melserna bör regleras i de förordningar som ska knyta an till lagarna. DÀr bör anges att de tekniska och organisatoriska ÄtgÀrder som Försvarsmakten och Försvarets radioanstalt ska vidta ska vara rim- liga med beaktande av behandlingens art, omfattning, sammanhang och ÀndamÄl och de sÀrskilda riskerna med behandlingen.
6.6.2Myndigheterna ska föra loggar över personuppgiftsbehandling
Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska sÀkerstÀlla att det i uppgiftsamlingar förs loggar över personuppgiftsbehandling.
Regeringen eller den myndighet regeringen bestÀmmer kan meddela föreskrifter om loggar.
SkÀl för utredningens förslag: Som framgÄr av avsnitt 6.6.4 ska myndigheterna enligt 3 kap. 2 § första stycket
227
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Loggarna ska följas upp regelbundet och för att skapa en före- byggande effekt ska anvÀndarna informeras om att loggning och logguppföljning sker.
Varken i
I de förordningar som ska knyta an till lagarna bör tas in före- skrifter om loggar.
För Försvarsmaktens del bör dÀr anges att skyldigheten att föra loggar gÀller myndighetens informationssystem som innehÄller gemensamt tillgÀngliga uppgifter.
För Försvarets radioanstalts del bör dÀr anges att Försvarets radioanstalt ska föra loggar i myndighetens informationssystem som innehÄller uppgiftssamlingar för försvarsunderrÀttelse- och informa- tionssÀkerhetsverksamhet. I bÄda fallen ska det av loggarna framgÄ vilken medarbetare eller annan som lÀst, skapat, Àndrat eller raderat personuppgifter, samt tidpunkten för ÄtgÀrden. I bÄda fallen ska skyldigheten att föra loggar inte gÀlla informationssystem som Ànnu inte börjat anvÀndas.
6.6.3Myndigheterna ska begrÀnsa tillgÄngen till personuppgifter
Utredningens förslag: I de föreslagna lagarna ska föras in en föreskrift om att tillgÄngen till personuppgifter ska alltid begrÀn- sas till vad var och en behöver för att kunna fullgöra sina arbets- uppgifter.
SkÀl för utredningens förslag: Av 1 kap. 16 §
228
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
6.6.4SÀkerheten för personuppgifter
Utredningens förslag: I de föreslagna lagarna ska föras in en föreskrift om att Försvarsmakten respektive Försvarets radio- anstalt ska vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot för- lust eller annan oavsiktlig skada.
SkÀl för utredningens förslag: Av 3 kap. 2 §
6.6.5Dataskyddsombud
Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska utse ett eller flera dataskyddsombud och anmÀla till tillsynsmyndigheten nÀr dataskyddsombud utses och entledigas.
Dataskyddsombudet ska
1.sjÀlvstÀndigt kontrollera att myndigheten behandlar person- uppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter,
2.informera och ge rÄd till myndigheten och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,
3.samrÄda med tillsynsmyndigheten, och
229
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
4.föra en förteckning över de kategorier av behandlingar som myndigheten ansvarar för och som Àr helt eller delvis auto- matiserade.
Regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter om vad en förteckning som avses i 4 ska innehÄlla.
Om Försvarsmakten eller Försvarets radioanstalt bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas, ska dataskyddsombudet anmÀla det till tillsynsmyndigheten.
SkÀl för utredningens förslag: Enligt 4 kap. 1 §
Personuppgiftsombudet har till uppgift att:
âąsjĂ€lvstĂ€ndigt se till att Försvarsmakten respektive Försvarets radio- anstalt behandlar personuppgifter pĂ„ ett lagligt och korrekt sĂ€tt och i enlighet med god sed samt pĂ„peka eventuella brister för myndigheten,
âąanmĂ€la till tillsynsmyndigheten om personuppgiftsombudet har anledning att misstĂ€nka att Försvarsmakten respektive Försvarets radioanstalt bryter mot de bestĂ€mmelser som gĂ€ller för behand- lingen av personuppgifter och inte vidtar rĂ€ttelse sĂ„ snart det kan ske efter pĂ„pekande,
âąĂ€ven i övrigt samrĂ„da med tillsynsmyndigheten vid tveksamhet om hur de bestĂ€mmelser som gĂ€ller för behandlingen av per- sonuppgifter ska tillĂ€mpas,
âąföra en förteckning över de behandlingar som Försvarsmakten respektive Försvarets radioanstalt genomför och som Ă€r helt eller delvis automatiserade och
âąhjĂ€lpa registrerade att fĂ„ rĂ€ttelse nĂ€r det finns anledning att miss- tĂ€nka att behandlade personuppgifter Ă€r felaktiga eller ofull- stĂ€ndiga.
230
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Motiven finns i prop. 2006/07:46 s. 98.
I den lagstiftning om behandling av personuppgifter som helt eller delvis bygger pÄ unionsrÀtten har benÀmningen personuppgiftsombud ersatts av benÀmningen dataskyddsombud. UnionsrÀtten Àr som tidi- gare anförts inte tillÀmplig pÄ den behandling av personuppgifter som omfattas av de lagförslag som utredningen lÀgger fram och utred- ningen anser inte att samma regler som gÀller för dataskyddsombud enligt dataskyddsförordningen bör gÀlla pÄ detta omrÄde. Dock finner utredningen att det Àr lÀmpligt att anvÀnda benÀmningen dataskydds- ombud i stÀllet för personuppgiftsombud i de lagförslag som utred- ningen lÀgger fram.
Dataskyddsombudet bör ha samma uppgifter som personupp- giftsombudet har enligt
6.6.6PersonuppgiftsbitrÀden
Utredningens förslag: Försvarsmakten respektive Försvarets radioanstalt fÄr, om det Àr lÀmpligt, anlita personuppgiftsbitrÀden för behandling av personuppgifter pÄ Försvarsmaktens respektive Försvarets radioanstalts vÀgnar. Innan ett personuppgiftsbitrÀde anlitas, ska myndigheten försÀkra sig om att bitrÀdet kommer att vidta de lÀmpliga tekniska och organisatoriska ÄtgÀrder som krÀvs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda rÀttigheterna för den som uppgifterna rör.
PersonuppgiftsbitrÀdets behandling av personuppgifter ska reg- leras i ett skriftligt avtal eller annan skriftlig överenskommelse.
Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personupp- giftsbitrÀde utan skriftligt tillstÄnd av myndigheten.
Ett personuppgiftsbitrÀde eller den eller de personer som arbetar under bitrÀdets eller myndighetens ledning ska behandla person- uppgifter i enlighet med instruktioner frÄn myndigheten.
Om ett personuppgiftsbitrÀde, i strid med myndighetens in- struktioner, bestÀmmer ÀndamÄlen med och medlen för behand- lingen, ska bitrÀdet anses vara personuppgiftsansvarig enligt den föreslagna lagen för den behandlingen.
231
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Skyldigheten att sÀkerstÀlla att det förs loggar ska ocksÄ gÀlla för personuppgiftsbitrÀdet. Detsamma gÀller kravet pÄ att till- gÄngen till personuppgifter sak begrÀnsas till vad var och en behö- ver för att kunna fullgöra sina arbetsuppgifter.
PersonuppgiftsbitrÀdet ska ocksÄ vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄtenbehandling eller förstöring och mot förlust eller annan oavsiktlig skada.
SkÀl för utredningens förslag: Enligt 3 kap. 1 §
NÀr myndigheten anlitar ett personuppgiftsbitrÀde ska den enligt 3 kap. 2 §
Motiven till bestÀmmelserna finns i prop. 2006/07:46 s. 95. Utredningen anser att motsvarande reglering bör införas i de nya
lagarna. Följande föreskrifter bör dock lÀggas till.
Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personupp- giftsbitrÀde utan skriftligt tillstÄnd frÄn myndigheten.
Om ett personuppgiftsbitrÀde, i strid med myndighetens instruk- tioner, bestÀmmer ÀndamÄlen med och medlen för behandlingen, ska personuppgiftsbitrÀdet vara personuppgiftsansvarig enligt den före- slagna lagen för den behandlingen.
Skyldigheten att sÀkerstÀlla att det förs loggar ska ocksÄ gÀlla för personuppgiftsbitrÀdet. Detsamma gÀller kravet pÄ att tillgÄngen till personuppgifter sak begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
232
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
PersonuppgiftsbitrÀdet ska ocksÄ vidta lÀmpliga tekniska och orga- nisatoriska ÄtgÀrder för att skydda de personuppgifter som behand- las, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.
6.6.7BestÀmmelser om konsekvensbedömningar bör inte införas
Utredningens bedömning: SÀrskilda regler om konsekvensbedöm- ningar bör inte införas i de föreslagna lagarna.
SkÀl för utredningens bedömning: Enligt förslaget till SÀkerhets- polisens datalag ska SÀkerhetspolisen bedöma konsekvenserna för skyddet av personuppgifter om en typ av ny behandling, eller bety- dande förÀndringar avseende redan pÄgÄende behandling, kan antas medföra sÀrskild risk för intrÄng i registrerades personliga integritet. Bedömningen ska ske innan typen av behandling pÄbörjas eller för- Àndringen genomförs.
Om konsekvensbedömningen visar att det finns sÀrskild risk för intrÄng i registrerades personliga integritet eller om typen av behand- ling innebÀr sÀrskild risk för intrÄng, ska SÀkerhetspolisen samrÄda med tillsynsmyndigheten i god tid innan behandlingen pÄbörjas eller betydande förÀndringar genomförs (5 kap. 6 § förslaget till SÀker- hetspolisens datalag).
Reglerna om konsekvensbedömningar och skyldighet att sam- rÄda med tillsynsmyndigheten grundar sig pÄ unionsrÀtten. I sam- manhanget vill utredningen peka pÄ skÀl 93 i dataskyddsförordningen om konsekvensbedömningar. DÀr sÀgs att medlemsstaterna kan anse det nödvÀndigt att genomföra en sÄdan bedömning i samband med antagande av medlemsstaters nationella rÀtt som ligger till grund för utövande av myndighetens eller det offentliga organets uppgifter och reglerar den aktuella specifika behandlingsÄtgÀrden eller serien av ÄtgÀrder. Den lagstiftning som utredningen föreslÄr bestÄr till en icke ringa del av bedömningar av konsekvenserna för skyddet av personuppgifter. Utredningen konstaterar att unionsrÀtten inte gÀller de behandlingar av personuppgifter vid Försvarsmakten och Försvarets radioanstalt som utredningens lagförslag omfattar. Utredningen anser
233
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
att det inte heller finns nÄgra skÀl att föreslÄ att det i lagförslagen förs in bestÀmmelser om konsekvensbedömningar.
6.7Enskildas rÀttigheter
6.7.1AllmÀn information som ska göras tillgÀnglig
Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska göra följande allmÀnna information tillgÀnglig:
1.Myndighetens identitet och kontaktuppgifter.
2.Uppgifter om dataskyddsombudet.
3.ĂndamĂ„len med behandlingen.
4.RÀtten att begÀra att fÄ information om behandling av per- sonuppgifter och att fÄ del av dem.
5.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen.
SkÀl för utredningens förslag: NÄgra regler om att myndigheterna ska hÄlla information allmÀnt tillgÀnglig finns inte i
Utöver uppgifter om myndighetens identitet och kontaktupp- gifter föreslÄs i det följande att viss annan allmÀn information pÄ omrÄden som har anknytning till personuppgiftsbehandling ska göras allmÀnt tillgÀnglig av myndigheterna.
234
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Uppgifter om dataskyddsombudet
Dataskyddsombud behandlas i avsnitt 6.6.5.
I likhet med vad som föreslÄs i SÀkerhetspolisens datalag anser utredningen att det finns skÀl att i lag ha föreskrifter om att hÄlla vissa uppgifter om dataskyddsombudet allmÀnt tillgÀngliga. Det finns emellertid inte skÀl att införa krav pÄ att dataskyddsombudets identitet eller direkta kontaktuppgifter, exempelvis hans eller hennes
ĂndamĂ„len med behandlingen
Den information som Äsyftas i den föreslagna bestÀmmelsen avser, liksom de bestÀmmelser regeringen har föreslagit i brottsdatalagen (prop. 2017/18:232), att det Àr frÄga om upplysningar av generell karaktÀr som gÀller myndighetens personuppgiftsbehandling i all- mÀnhet. Det innebÀr att det inte Àr frÄga om ÀndamÄlen för behand- ling i varje enskilt fall som avses utan för vilka kategorier av ÀndamÄl personuppgifter fÄr behandlas. Det bör emellertid inte krÀvas en uttömmande upprÀkning av för vilka ÀndamÄl personuppgifter behand- las, utan det bör vara tillrÀckligt att enskilda genom informationen fÄr en god bild av den personuppgiftsbehandling som Försvarsmakten eller Försvarets radioanstalt utför.
Information om vissa rÀttigheter
Som angetts ovan ska Försvarsmakten respektive Försvarets radio- anstalt vidta vissa ÄtgÀrder efter begÀran av en enskild. NÄgon bestÀmmelse om att information om dessa rÀttigheter ska göra all- mÀnt tillgÀnglig finns inte i
Utredningen anser att informationen ocksÄ ska avse rÀtten att fÄ information om behandling av personuppgifter och att fÄ del av dem liksom rÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen.
235
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
6.7.2Enskilds rÀtt till personrelaterad information hos Försvarsmakten
Utredningens förslag:
Information som ska lÀmnas om uppgifterna samlas in frÄn per- sonen sjÀlv.
Om uppgifter om en person samlas in frÄn personen sjÀlv, ska Försvarsmakten nÀr personuppgifterna erhÄlls, sjÀlvmant lÀmna följande information till den som uppgifterna rör:
1.uppgift om att det Àr Försvarsmakten som Àr personupp- giftsansvarig för behandlingen,
2.uppgift om ÀndamÄlen med behandlingen, och
3.all övrig information som behövs för att den som uppgifterna rör ska kunna ta till vara sina rÀttigheter i samband med behand- lingen, sÄsom information om mottagarna av uppgifterna, skyldighet att lÀmna uppgifter och rÀtten att ansöka om infor- mation och fÄ rÀttelse.
Information som ska lÀmnas efter begÀran
Försvarsmakten ska till den som begÀr det utan onödigt dröjsmÄl lÀmna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökanden fÄ del av dem och fÄ följande skriftliga information.
1.Vilka personuppgifter om sökanden som behandlas.
2.VarifrÄn personuppgifterna kommer.
3.Den rÀttsliga grunden för behandlingen.
4.ĂndamĂ„len med behandlingen.
5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven i annat land eller internationella organisationer.
6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.
7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen.
236
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
SÄdant utlÀmnande behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.
Ansökan ska göras skriftligen hos Försvarsmakten och vara undertecknad av den sökande sjÀlv. Information enligt första stycket ska lÀmnas inom en mÄnad frÄn det att ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.
SkÀl för utredningens förslag: BestÀmmelser om att lÀmna infor- mation finns i 2 kap. 1 och 2 §§
Information som ska lÀmnas om uppgifterna samlas in frÄn den som uppgifterna rör
Om uppgifter om en person samlas in i den militÀra sÀkerhetstjÀnsten frÄn den som personuppgifterna rör ska Försvarsmakten i samband med insamlingen sjÀlvmant lÀmna den registrerade information om behandlingen av uppgifterna. SÄdan information ska omfatta uppgift om att det Àr Försvarsmakten som Àr personuppgiftsansvarig för behandlingen, uppgift om ÀndamÄlen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rÀttigheter i samband med behandlingen, sÄsom information om mottagarna av uppgifterna, skyldighet att lÀmna uppgifter och rÀtten att ansöka om information och fÄ rÀttelse (2 kap. 1 §
Motiven finns i prop. 2006/07:46 s. 86 f. BestÀmmelsen tillÀmpas huvudsakligen i samband med sÀkerhetsprövning enligt sÀkerhets- skyddslagen inför bl.a. anstÀllning, uppdrag och tjÀnstgöring inom Försvarsmakten.
Information behöver inte lÀmnas om sÄdant som den person- uppgifterna rör redan kÀnner till. SÄdant som denne redan kÀnner till kan vara sÄdant som han eller hon vet t.ex. pÄ grund av att informa- tionen redan har lÀmnats i enlighet med annan lagstiftning eller nÀr den personuppgiftsansvarige avser att fortlöpande samla in uppgifter om den uppgifterna rör. Information behöver dÄ inte lÀmnas varje
237
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
gÄng nya uppgifter samlas in, om den uppgifterna rör en gÄng har fÄtt fullstÀndig information och sÄledes redan kÀnner till infor- mationen.
Liksom vid personuppgiftsbehandling inom ramen för den mili- tĂ€ra sĂ€kerhetstjĂ€nstens verksamhet förekommer situationer Ă€ven inom andra av Försvarsmaktens verksamhetsomrĂ„den dĂ€r uppgifter inhĂ€mtas frĂ„n den som personuppgifterna rör. Utredningen föreslĂ„r inte nĂ„gon förĂ€ndring betrĂ€ffande den informationsskyldighet som enligt nuvarande bestĂ€mmelser omfattar verksamhet inom den militĂ€ra sĂ€kerhetstjĂ€nsten. Som framgĂ„tt i tidigare avsnitt föreslĂ„r emellertid utredningen att den nya lagen om personuppgiftsbehandling inom Försvarsmakten ska ha ett utvidgat tillĂ€mpningsomrĂ„de. Ăven inom verksamhetsomrĂ„dena Sveriges försvar och sĂ€kerhet samt internatio- nellt sĂ€kerhets- och försvarssamarbete kan det förekomma situationer nĂ€r Försvarsmakten behandlar personuppgifter som har lĂ€mnats av den enskilde sjĂ€lv. Det Ă€r dĂ€rför inte lĂ€mpligt med lagens utvidgade tillĂ€mpningsomrĂ„de att Försvarsmaktens informationsskyldighet begrĂ€nsas till sĂ„dant som inhĂ€mtats inom ramen för den militĂ€ra sĂ€kerhetstjĂ€nsten, utan Försvarsmakten bör Ă€ven Ă„lĂ€ggas att lĂ€mna information om personuppgiftsbehandlingen som sker inom dessa tillkommande omrĂ„den, dvs. Sveriges försvar och sĂ€kerhet samt inter- nationellt sĂ€kerhets- och försvarssamarbete, nĂ€r uppgifterna hĂ€mtas frĂ„n den enskilde sjĂ€lv.
Information som ska lÀmnas efter begÀran
Enligt 2 kap. 2 §
238
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
ut, men att bestÀmmelser om information fyller en viktig funktion i de fall dÀr sekretess inte gÀller för uppgifterna.
SekretessbestÀmmelser som begrÀnsar den enskildes rÀtt till insyn gÀller emellertid inte i förhÄllande till Datainspektionen, som ska utöva tillsyn över Försvarsmaktens personuppgiftsbehandling inom Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀker- hetstjÀnst. Vid tillsyn har Datainspektionen rÀtt att fÄ tillgÄng till de personuppgifter som behandlas, upplysningar om dokumentation av behandlingen av personuppgifter och sÀkerheten vid denna samt tilltrÀde till sÄdana lokaler som har anknytning till behandlingen av personuppgifter (se nÀrmare om detta i avsnitt 6.8.1).
Försvarsmakten hanterar Ärligen Àrenden om begÀran om infor- mation enligt
Utredningen bedömer att rĂ€tten att begĂ€ra information fortsatt Ă€r en viktig del i den enskildes rĂ€tt att i möjligaste mĂ„n informera sig om hur och i vilka sammanhang dennes personuppgifter behandlas. Ăven om det stĂ„r klart att en begĂ€ran om sĂ„dan information, i vart fall inom Försvarsmaktens försvarsunderrĂ€ttelseverksamhet och militĂ€ra sĂ€kerhetstjĂ€nst, sannolikt inte leder till annat Ă€n besked om att redan det förhĂ„llandet huruvida den enskildes personuppgifter förekommer i dessa verksamheter eller inte omfattas av sekretess, finns skĂ€l att behĂ„lla denna begrĂ€nsade möjlighet till insyn för den enskilde. Den föreslagna lagstiftningens utvidgade tillĂ€mpningsomrĂ„de gör att denna möjlighet till insyn omfattar fler omrĂ„den Ă€n tidigare.
3Att skilja frÄn utlÀmningsÀrenden om allmÀnna handlingar. Försvarsmakten hanterade 43 Àren- den om registerutdrag Är 2015, 15 Är 2016, 17 Är 2017 och 8 till och med mars 2018.
239
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
6.7.3Enskilds rÀtt till personrelaterad information hos Försvarets radioanstalt
Utredningens förslag: Försvarets radioanstalt Àr skyldig att till den som begÀr det utan onödigt dröjsmÄl en gÄng per kalenderÄr lÀmna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökanden fÄ del av dem och fÄ följande skriftliga information.
1.Vilka personuppgifter om den sökande som behandlas.
2.VarifrÄn personuppgifterna kommer.
3.Den rÀttsliga grunden för behandlingen.
4.ĂndamĂ„len med behandlingen.
5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven i annat land eller internationella organisationer.
6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.
7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen.
SÄdant utlÀmnande behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.
Ansökan ska göras skriftligen hos Försvarets radioanstalt och vara undertecknad av den sökande sjÀlv. Information enligt första stycket ska lÀmnas inom en mÄnad frÄn det att ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.
SkÀl för utredningens förslag: PÄ samma sÀtt som Försvarsmakten Àr Försvarets radioanstalt enligt 2 kap. 1 §
240
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
uppgifterna lÀmnas ut till den registrerade, se vidare hÀrom i av- snitt 6.7.4. Ovan angivna motivuttalanden om sekretess gÀller Àven för Försvarets radioanstalts verksamhet och innebÀr pÄ samma sÀtt som för Försvarsmakten att information sÀllan kommer lÀmnas ut, men att bestÀmmelser om information fyller en viktig funktion i de fall dÀr sekretess inte gÀller för uppgifterna.
Försvarets radioanstalt har hittills i samtliga Àrenden om person- relaterad information som handlagts med stöd av
Av 5 kap. 1 §
Mot bakgrund av den strÀnga sekretess som gÀller för Försvarets radioanstalts verksamhet har det, utöver Datainspektionens tillsyn, införts sÀrskild granskning till skydd för den personliga integriteten (prop. 2006/07:46 s. 101). Statens inspektion för försvarsunderrÀt- telseverksamheten (Siun) har till uppgift att granska Försvarets radio- anstalts personuppgiftsbehandling enligt
241
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
begrÀnsade möjlighet till insyn i personuppgiftsbehandlingen inom försvars- och utvecklingsverksamheten. Siun Àr Àven kontrollmyn- dighet enligt lagen om försvarsunderrÀttelseverksamhet och lagen om signalspaning i försvarsunderrÀttelseverksamhet.
Efter
Försvarets radioanstalt har mottagit fÄ ansökningar om personal- relaterad information. Varje ansökan innebÀr emellertid en resurs- krÀvande arbetsinsats vars resultat inte kommer att redovisas för den sökande med hÀnsyn till sekretess. Siuns kontroll enligt 10 a § lagen om signalspaning i försvarsunderrÀttelseverksamhet innebÀr ocksÄ att Försvarets radioanstalts
Eftersom tillÀmpningsomrÄdet för den nya lagen föreslÄs utökas till att Àven avse informationssÀkerhetsverksamheten, bör den före- slagna bestÀmmelsen Àven omfatta enskildas rÀtt till information som Försvarets radioanstalt behandlar inom denna verksamhetsgren.
242
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
6.7.4BegrÀnsning av rÀtten till information
Utredningens förslag: Informationsskyldigheten gÀller inte i den utstrÀckning sekretess hindrar att uppgifterna lÀmnas ut. Om den förutsÀttningen Àr uppfylld Àr Försvarsmakten respektive Försvarets radioanstalt inte skyldig att lÀmna ut skÀlen för beslut om att inte lÀmna ut dessa uppgifter. Samma sak gÀller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behandlingen.
Informationsskyldigheten avseende information som ska lÀmnas om uppgifterna samlas in frÄn personen sjÀlv samt information som ska lÀmnas efter begÀran, gÀller inte personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller som utgör minnesanteckning eller liknande. Informationsskyl- digheten gÀller dock om uppgifterna har lÀmnats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller histo- riska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats lÀngre Àn ett Är.
SkÀl för utredningens förslag: Enskildas rÀtt till information begrÀnsas av bestÀmmelser om sekretess (2 kap. 4 §
Av 2 kap. 3 §
243
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr ansökan gjordes eller som utgör minnesanteckning eller lik- nande. Detta gÀller dock inte om uppgifterna har lÀmnats ut till tredje man eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats under lÀngre tid Àn ett Är. Motiven finns i prop. 2006/07:46 s. 87 f.
Motsvarande bestÀmmelser bör införas Àven i de nya lagarna.
6.7.5RÀtten till rÀttelse, radering och begrÀnsning av behandlingen
Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska pÄ begÀran av den som personuppgiften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med de föreslagna lagarna eller föreskrifter som har meddelats med stöd av dessa lagar.
Försvarsmakten och Försvarets radioanstalt ska ocksÄ under- rÀtta tredje part till vilken uppgifterna har lÀmnats ut om ÄtgÀr- den, om den som personuppgiften rör begÀr det eller om en mera betydande skada eller olÀgenhet för denne skulle kunna undvikas genom en underrÀttelse.
NÄgon underrÀttelse till tredje part behöver dock inte lÀmnas, om sekretess hindrar det eller detta Àr omöjligt eller skulle inne- bÀra en oproportionerligt stor arbetsinsats.
SkÀl för utredningens förslag: Av 2 kap. 5 §
244
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
finns i prop. 2006/07:46 s. 89 f. I det i avsnitt 6.7.3 beskrivna avgöran- det av Europadomstolen har domstolen uttalat att âthat remedy must be deemed to be ineffective i practiceâ.
Vad som gÀller enligt
6.7.6Avgifter samt beslut om avslag vid upprepad begÀran
Utredningens förslag: AllmÀn information som Försvarsmakten och Försvarets radioanstalt ska göra tillgÀnglig samt information som Försvarsmakten ska lÀmna om uppgifterna samlas in frÄn personen sjÀlv, ska lÀmnas av respektive myndighet utan avgift.
Information som Försvarsmakten och Försvarets radioanstalt ska lÀmna efter begÀran frÄn den som uppgiften rör ska lÀmnas utan avgift en gÄng per kalenderÄr. Om nÄgon begÀr sÄdan information om uppgifter oftare Àn en gÄng per kalenderÄr, fÄr Försvars- makten och Försvarets radioanstalt avslÄ begÀran.
SkÀl för utredningens förslag: Som angetts i avsnitt 6.7.2 och 6.7.3 Àr Försvarsmakten respektive Försvarets radioanstalt skyldig att till var och som ansöker om det, en gÄng per kalenderÄr gratis lÀmna besked om huruvida personuppgifter som rör den sökande behandlas eller inte (2 kap. 2 §
245
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
6.8Tillsyn och kontroll
6.8.1Tillsynsmyndighetens funktion, uppgifter och befogenheter
Utredningens förslag: Den myndighet som regeringen bestÀm- mer ska utöva allmÀn tillsyn över Försvarsmaktens och Försvarets radioanstalts behandling av personuppgifter.
Tillsynsmyndigheten ska ge rÄd och stöd till Försvarsmakten och Försvarets radioanstalt om respektive myndighets skyldig- heter enligt lag eller annan författning eller nÀr det i övrigt Àr pÄkallat.
Tillsynsmyndigheten har rÀtt att av Försvarsmakten eller För- svarets radioanstalt eller ett personuppgiftsbitrÀde pÄ begÀran fÄ
1.tillgÄng till personuppgifter som behandlas,
2.upplysningar om och dokumentation av behandlingen av personuppgifter och sÀkerhets- och skyddsÄtgÀrder,
3.tilltrÀde till sÄdana lokaler som har anknytning till behandling av personuppgifter och tillgÄng till utrustning och andra medel för behandling av personuppgifter, och
4.det bitrÀde och annan information som behövs för tillsynen.
Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom rÄd, rekommendationer eller pÄpekanden försöka förmÄ Försvarsmakten eller Försvarets radio- anstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att minska den risken.
Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning. Detsamma gÀller om pÄgÄende behand- ling riskerar att stÄ i strid med lag eller annan författning.
Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning, eller att Försvars- makten eller Försvarets radioanstalt eller ett personuppgiftsbitrÀde annars inte fullgör sina skyldigheter, fÄr tillsynsmyndigheten
246
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
1.genom sÄdana ÄtgÀrder som anges i det föregÄende försöka förmÄ Försvarsmakten eller Försvarets radioanstalt eller per- sonuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,
2.förelÀgga Försvarsmakten eller Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter.
Om ett förelÀggande utfÀrdas ska det av förelÀggandet framgÄ nÀr ÄtgÀrderna senast ska vara genomförda, och om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas.
I förslaget till lag om behandling av personuppgifter vid För- svarets radioanstalt ska det tas in en bestÀmmelse som upplyser om att det i lagen (2008:717) om signalspaning i försvarsunder- rÀttelseverksamhet finns sÀrskilda bestÀmmelser om kontroll som rör Försvarets radioanstalts behandling av personuppgifter i försvarsunderrÀttelse- och utvecklingsverksamheten.
SkÀl för utredningens förslag: BestÀmmelser om tillsynsmyndig- hetens funktion, uppgifter och befogenheter finns i 5 kap.
1.tillgÄng till personuppgifter som behandlas,
2.upplysningar om och dokumentation av behandlingen av person- uppgifter och sÀkerhets- och skyddsÄtgÀrder,
3.tilltrÀde till sÄdana lokaler som har anknytning till behandlingen av personuppgifter.
4.Om tillsynsmyndigheten konstaterar att personuppgifter behand- las eller kan komma att behandlas pÄ ett olagligt sÀtt, ska myn- digheten genom pÄpekanden eller liknande förfarande en försöka Ästadkomma rÀttelse.
Tillsynsmyndigheten fÄr hos förvaltningsrÀtten inom vars domkrets tillsynsmyndigheten Àr belÀgen ansöka om att sÄdana personuppgifter som har behandlats olagligt ska utplÄnas. Beslut om utplÄnande fÄr inte meddelas om det Àr oskÀligt.
247
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Motiven finns i prop. 2006/07:46 s. 99 ff.
Utredningen anser att de bestÀmmelser som reglerar tillsyns- och kontrollmyndigheternas funktion, uppgifter och befogenheter enligt nuvarande lagstiftning bör föras in i de nya lagarna med undantag av möjligheten att hos förvaltningsrÀtten ansöka om utplÄning av personuppgifter. SÄvitt Àr kÀnt för utredningen har nÄgot sÄdant inte förekommit eller varit aktuellt. I stÀllet föreslÄr utredningen att om tillsynsmyndigheten i sin tillsyn uppmÀrksammar förhÄllanden som kan utgöra brott, ska myndigheten anmÀla det till à klagarmyndig- heten. BestÀmmelser om detta kan tas in i de förordningar som ska knyta an till lagarna.
HÀrutöver föreslÄr utredningen nÄgra tillÀgg i lagstiftningen. Det bör uttryckligen framgÄ att tillsynsmyndigheten ska ge rÄd
och stöd till Försvarsmakten och Försvarets radioanstalt om myn- digheternas skyldigheter enligt lag eller annan författning eller nÀr det i övrigt Àr pÄkallat. Det bör Àven framgÄ att tillsynsmyndigheten pÄ begÀran ska fÄ upplysningar om och dokumentation av behand- lingen av personuppgifter och sÀkerhets- och skyddsÄtgÀrder vid behandlingen. Vidare bör tillsynsmyndigheten utöver rÀtten till till- trÀde till sÄdana lokaler som har anknytning till behandling av per- sonuppgifter Àven fÄ tillgÄng till utrustning och andra medel för behandling av personuppgifter. Slutligen bör tillsynsmyndigheten fÄ det bitrÀde och annan information som behövs för tillsynen.
Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom rÄd, rekommendationer eller pÄpekanden försöka förmÄ den personuppgiftsansvarige att vidta ÄtgÀrder för att minska den risken.
Om en pÄgÄende eller planerad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning fÄr tillsyns- myndigheten utfÀrda en skriftlig varning.
Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att den personuppgifts- ansvarige annars inte fullgör sina skyldigheter, fÄr tillsynsmyndig- heten försöka förmÄ eller förelÀgga den personuppgiftsansvarige att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att uppfylla eller fullgöra andra skyldigheter.
248
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
6.8.2Rapporteringsskyldighet för personuppgiftsincidenter bör inte införas i de nya lagarna
Utredningens bedömning: BestÀmmelser om sÀrskild rapporter- ingsskyldighet av personuppgiftsincidenter till tillsynsmyndig- heten och den som personuppgifterna rör, bör inte införas i de nya lagarna.
SkÀl för utredningens bedömning: Personuppgiftsincident Àr ett nytt begrepp som varken har funnits i tidigare personuppgiftslagar eller
En personuppgiftsincident Àr enligt artikel 3.11 i 2016 Ärs data- skyddsdirektiv en sÀkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller Àndring eller till obehörigt röjande av eller obehörig Ätkomst till de personuppgifter som överförts, lagrats eller pÄ annat sÀtt behandlats. Begreppet definieras följaktligen pÄ samma sÀtt i de lagar som föreslagits med anledning av direktivet; bl.a. brottsdatalagen.
I brottsdatalagen regleras den personuppgiftsansvariges skyldig- heter vid en personuppgiftsincident. DÀr föreskrivs bl.a. att sÄdana incidenter ska anmÀlas till tillsynsmyndigheten inom viss tid och att den registrerade i vissa fall ska underrÀttas om incidenten. Enligt de föreslagna bestÀmmelserna ska anmÀlningsskyldigheten inte gÀlla om personuppgiftsincidenten rör nationell sÀkerhet (3 kap.
249
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Personuppgiftsincidenter som intrÀffar i Försvarsmaktens och Försvarets radioanstalts informationssystem och som drabbar per- sonuppgifter som behandlas med stöd av de föreslagna lagarna kom- mer att röra nationell sÀkerhet. SÄdana personuppgiftsincidenter hos Försvarsmakten och Försvarets radioanstalt kommer sÄledes att rapporteras i enlighet med vad som framgÄr av sÀkerhetsskyddsför- ordningen. NÄgot behov av att införa sÀrskilda bestÀmmelser om rapportering av personuppgiftsincidenter i de nya lagarna finns dÀr- med inte.
6.8.3Sanktionsavgift bör inte fÄ tas ut
Utredningens bedömning: Det bör inte tas in bestÀmmelser om sanktionsavgift i de nya lagarna om personuppgiftshantering hos Försvarsmakten och Försvarets radioanstalt.
SkÀl för utredningens bedömning: Av 2016 Ärs dataskyddsdirektiv följer att medlemsstaterna ska föreskriva sanktioner för övertrÀ- delser av de bestÀmmelser som genomför direktivet och att sanktio- nerna ska vara effektiva, proportionerliga och avskrÀckande. I brotts- datalagen införs ett nytt system med administrativa sanktionsavgifter dÀr tillsynsmyndigheten ska fatta beslut om sanktionsavgift.
Ăven EU:s dataskyddsförordning föreskriver att administrativa sanktionsavgifter ska kunna tas ut vid övertrĂ€delse av bestĂ€mmelser om personuppgiftsbehandling som sker inom ramen för verksamhet som regleras av denna förordning. Enligt 6 kap. 2 § dataskyddslagen kan tillsynsmyndigheten Ă€ven ta ut en sanktionsavgift av en myn- dighet vid övertrĂ€delse av dataskyddsförordningen.
HuvudskÀlet till att Utredningen om 2016 Ärs dataskyddsdirektiv föreslog att sanktionsavgift ska kunna tas ut av bl.a. Polismyndig- heten, Skatteverket, Tullverket och domstolarna, Àr att motsvarande sanktionssystem gÀller enligt dataskyddsförordningen och att för flera av myndigheterna kommer sannolikt en större del av person- uppgiftsbehandlingen att regleras av dataskyddsförordningen. Utred- ningen ansÄg att det var svÄrt att motivera att helt olika sanktions- system ska gÀlla beroende pÄ om brottsdatalagen eller förordningen var tillÀmplig vid övertrÀdelser som Àr likartade och som dÀrför kan antas motivera samma sanktion (SOU 2017:29 s. 492). Utredningen
250
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
föreslog dock inte att sanktionsavgifter skulle kunna tas ut av SÀkerhetspolisen. Som skÀl anfördes att SÀkerhetspolisens verksamhet rör nationell sÀkerhet och dÀrmed inte omfattas av vare sig dataskydds- direktivets eller dataskyddsförordningens tillÀmpningsomrÄde
Till en början kan konstateras att de krav pÄ sanktionsavgifter som unionsrÀtten stÀller inte gÀller för de behandlingar av person- uppgifter som regleras i den lagstiftning som utredningen lÀgger fram i detta betÀnkande.
Dataskyddskonventionen (se avsnitt 4.2.1) som Àven omfattar personuppgiftsbehandling som rör nationell sÀkerhet, stÀller krav pÄ att det ska finnas lÀmpliga sanktioner och rÀttsmedel för övertrÀ- delser av bestÀmmelser om dataskydd, men anger inte nÀrmare vilka krav som stÀlls pÄ sÄdana sanktioner.
Den nuvarande regleringen ger möjlighet till skadestÄnd. Utred- ningen föreslÄr ingen Àndring i detta avseende. Vidare kan straffrÀttsligt ansvar utkrÀvas enligt brottsbalken. Utöver Datainspektionens till- synsverksamhet kontrollerar Statens inspektion för försvarsunder- rÀttelseverksamheten (Siun) försvarsunderrÀttelseverksamheten och granskar behandlingen av personuppgifter i Försvarsmaktens försvars- underrÀttelseverksamhet och militÀra sÀkerhetstjÀnst samt Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet NÀr det gÀller signalspaningen finns bestÀmmelser som Àr av intresse i detta sammanhang i lagen om signalspaning i försvarsunderrÀttelse- verksamheten. Signalspaningsmyndigheten (Försvarets radioanstalt) ska ansöka om tillstÄnd hos FörsvarsunderrÀttelsedomstolen för signalspaning (4 a §). Kontrollmyndigheten (Siun) fÄr besluta att viss inhÀmtning ska upphöra eller att upptagning eller uppteckning av inhÀmtade uppgifter ska förstöras, om det vid kontroll fram- kommer att inhÀmtningen inte Àr förenlig med tillstÄnd som har meddelats enligt lagen (10 §). Vidare Àr kontrollmyndigheten skyl- dig att pÄ begÀran av en enskild kontrollera om hans eller hennes meddelanden har inhÀmtats i samband med signalspaning och, om sÄ Àr fallet, huruvida inhÀmtningen och behandlingen har skett i enlig- het med lag (10 a §). Mot bakgrund av den tillsyn, kontroll och granskning som gÀller för de verksamheter som de föreslagna lagarna omfattar anser utredningen att konventionens krav pÄ lÀmpliga sank- tioner och rÀttsmedel Àr uppfyllda.
Enligt utredningens mening Àr de sanktionsmöjligheter som före- slÄs gÀlla i fortsÀttningen tillrÀckliga. Utredningen anser dÀrför att
251
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
det inte bör införas nÄgon möjlighet att ta ut sanktionsavgift vid övertrÀdelse av bestÀmmelser i de nya lagarna.
6.9SkadestÄnd och överklagande
6.9.1SkadestÄnd
Utredningens förslag: Den personuppgiftsansvarige ska ersÀtta den som en personuppgift rör för den skada och krÀnkning av den personliga integriteten som orsakats av behandling av person- uppgiften i strid med de föreslagna lagarna, eller föreskrifter som har meddelats i anslutning till dem.
ErsÀttningsskyldigheten kan jÀmkas i den utstrÀckning det Àr skÀligt, om den personuppgiftsansvarige visar att felet inte be- rodde pÄ denne.
SkÀl för utredningens förslag: Enligt 2 kap. 6 §
Motiven finns i prop. 2006/07:46 s. 90 ff.
Utredningen anser att motsvarande bestÀmmelser bör införas i de nya lagarna.
Av bestÀmmelserna i
Enligt 3 § förordningen (1995:1301) om handlÀggning av skade- stÄndsansprÄk mot staten handlÀgger Justitiekanslern ansprÄk pÄ ersÀttning enligt 2 kap. 6 §
252
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Oavsett om Justitiekanslern eller domstolen fattar beslut om ersÀtt- ning överlÀmnar Justitiekanslern med stöd i 2 a § förordningen (1975:1345) med instruktion för Justitiekanslern, till den myndighet som Àr berörd i skaderegleringsÀrendet att ansvara för att ersÀtt- ningsbelopp betalas ut till motparten.
6.9.2Ăverklagande av en myndighets beslut i egenskap av personuppgiftsansvarig
Utredningens förslag: Försvarsmaktens och Försvarets radio- anstalts beslut om information som ska lÀmnas efter begÀran av en enskild och om rÀttelse och underrÀttelse till tredje part samt Försvarsmaktens beslut om information som ska lÀmnas om uppgifter samlas in frÄn personen sjÀlv, fÄr överklagas hos allmÀn förvaltningsdomstol. Andra beslut enligt lagen fÄr inte överklagas. PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.
Beslut i frÄgor om sekretess överklagas till kammarrÀtt.
SkÀl för utredningens förslag: Försvarsmaktens respektive Försvarets radioanstalts beslut betrÀffande information som ska lÀmnas om uppgifterna samlas in frÄn personen sjÀlv (endast Försvarsmakten) samt efter begÀran (Försvarsmakten och Försvarets radioanstalt) och om rÀttelse och underrÀttelse till tredje man fÄr enligt 6 kap.
3§
Som tidigare har anförts bör fysiska personer av integritetsskydds- skÀl ha vissa grundlÀggande rÀttigheter som rör behandlingen av uppgifter om dem. Förutom rÀtt till information, rÀttelse och skade- stÄnd, bör ocksÄ vissa beslut av Försvarsmaktens och Försvarets radio- anstalts beslut kunna överklagas.
Som framgÄtt i tidigare avsnitt föreslÄs att de bestÀmmelser i FM- PuL och
253
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
som föreslÄs, om att Försvarsmakten och Försvarets radioanstalt fÄr avslÄ sÄdan begÀran om registerutdrag som enskild lÀmnar vid fler Àn ett tillfÀlle per kalenderÄr, begrÀnsar endast enskilds rÀtt att ta del av information. Försvarsmaktens och Försvarets radioanstalts initiala prövning i dessa frÄgor blir huruvida en sÄdan begÀran inkommit vid tidigare tillfÀlle innevarande kalenderÄr. Om sÄ Àr fallet kommer en sÄdan begÀran leda till ett omedelbart beslut om avslag. En sÄdan prövning Àr nÀrmast att betrakta som av processuell karaktÀr och nÄgon rÀtt till sÀrskild överprövning av sÄdana beslut föreslÄs dÀrför inte.
I klargörande syfte föreslÄs Àven att det upplyses om att beslut om sekretess överklagas till kammarrÀtt (se Högsta förvaltnings- domstolens avgörande i HFD 2014 ref 55).
6.10Ăvriga bestĂ€mmelser
6.10.1Straff
Utredningens bedömning: ĂvertrĂ€delser av bestĂ€mmelserna om personuppgiftsbehandling bör inte vara straffsanktionerade ut- över vad som gĂ€ller enligt brottsbalken.
SkÀl för utredningens bedömning: BestÀmmelser om straff för vissa gÀrningar i samband med personuppgiftshantering regleras sÀr- skilt i 6 kap. 2 §
Av skÀlen till regeringens förslag om införande av straffbestÀmmelser framgÄr att bestÀmmelserna om straff vid visst förfarande med person- uppgifter har sitt ursprung i motsvarande bestÀmmelser i personup- pgiftslagen. Enligt regeringens uttalanden fyller införande av straff- bestÀmmelser en viktig funktion för att markera allvaret i övertrÀdelser av regler till skydd för enskildas integritet. Regeringen ansÄg dÀrför att straffbestÀmmelser motsvarande delar av 49 § personuppgiftslagen Àven skulle intas i
254
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Behandling av personuppgifter i strid med lag kan föra med sig skyldighet för staten att betala skadestĂ„nd till de drabbade. Presum- tionen för att skadestĂ„nd ska utgĂ„ liksom tillsynen och kontrollen bör enligt utredningen utgöra tillrĂ€ckligt skydd för enskildas integ- ritet. Utredningen anser att straffbestĂ€mmelserna i den del som avser utlĂ€mning av personuppgifter till tillsyns- och kontrollmyn- digheterna inte bör föras över till de nya lagarna eftersom de skĂ€rpta formuleringarna om insyn och bitrĂ€de för tillsynsmyndigheterna gör att utrymmet att lĂ€mna osanna uppgifter till tillsynsmyndigheten fĂ„r betraktas som litet. HĂ€rtill bör beaktas att de nuvarande reglerna inte riktas mot vare sig den personuppgiftsansvarige eller personupp- giftsbitrĂ€den, utan mot den enskilde befattningshavaren, vars gĂ€r- ningar dessutom redan omfattas av reglerna om tjĂ€nstefel i 20 kap. 1 § brottsbalken. ĂvertrĂ€delser kan dessutom vara resultatet av flera personers agerande och underlĂ„tenhet. Det blir dĂ„ svĂ„rt att visa var skulden ligger och vad som lett till övertrĂ€delsen.
Utredningen anser mot bakgrund av det anförda att straffbestÀm- melserna i
6.11ĂvergĂ„ngsbestĂ€mmelser
Utredningens förslag: De föreslagna lagarna och de till dem knutna förordningarna ska trÀda i kraft den 1 oktober 2019.
BestÀmmelserna om loggning behöver inte tillÀmpas pÄ upp- giftssamlingar som inrÀttats före ikrafttrÀdandet förrÀn den 1 maj 2024.
Ărenden om tillsyn eller granskning som inte har avgjorts före ikrafttrĂ€dandet handlĂ€ggs enligt Ă€ldre föreskrifter.
SkÀl för utredningens förslag: Med hÀnsyn till den tid som krÀvs för remissbehandling, beredning inom Regeringskansliet samt riks- dagsbehandling, bör de nya lagarna och förordningarna trÀda i kraft den 1 oktober 2019.
Det kommer att ta tid att anpassa de uppgiftssamlingar som har inrÀttats före den 1 oktober 2019 till bestÀmmelserna om loggning. Av den anledningen bör bestÀmmelserna inte tillÀmpas pÄ sÄdana uppgiftssamlingar förrÀn den 1 maj 2024.
255
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Ărenden om tillsyn eller granskning av Försvarsmaktens eller Försvarets radioanstalts personuppgiftsbehandling som Datainspek- tionen eller Statens inspektion för försvarsunderrĂ€ttelseverksam- heten inte har avgjort före ikrafttrĂ€dandet bör handlĂ€ggas enligt Ă€ldre föreskrifter.
6.12Ăndringar i andra författningar till följd av utredningens förslag
6.12.1Ăndring i lagen (2018:218) med kompletterande bestĂ€mmelser till EU:s dataskyddsförordning
Utredningens förslag: Undantaget i dataskyddslagen frÄn bestÀm- melsen i den lagen som utstrÀcker dataskyddsförordningens till- lÀmpningsomrÄde Àndras till att gÀlla lagarna om behandling av per- sonuppgifter vid Försvarsmakten och Försvarets radioanstalt.
SkÀl för utredningens förslag: I avsnitt 6.1.1 föreslÄr utredningen att
6.12.2Ăndring i brottsdatalagen (2018:1177)
Utredningens förslag: Undantaget i brottsdatalagen frÄn sÄdan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens
SkÀl för utredningens förslag: I avsnitt 6.1.1 föreslÄr utredningen bl.a. att
256
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
6.12.3Ăndring i lagen (2008:717) om signalspaning i försvarsunderrĂ€ttelseverksamhet
Utredningens förslag: I bestÀmmelsen i 2 a § lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet om att inhÀmt- ning inte fÄr avse signaler mellan en avsÀndare och mottagare som bÄda befinner sig i Sverige införs i bestÀmmelsens andra stycke ett undantag i frÄga om signaler som utvÀxlas autonomt mellan tekniska system i sÄdana fall dÀr signalerna inte innehÄller per- sonuppgifter.
HÀnvisningen i 12 a § samma lag till lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvars- underrÀttelse- och utvecklingsverksamhet Àndras till att avse lagen om behandling av personuppgifter vid Försvarets radioanstalt.
SkÀl för utredningens förslag: Utredningen har uppmÀrksammats pÄ en lagbestÀmmelse som avser att frÀmja integritetsskyddsintresset har fÄtt en rÀckvidd som inverkar menligt pÄ för försvaret viktiga verksamheter och dÀr nÄgra sÄdana intressen av tekniska skÀl inte kan förekomma.
BestÀmmelsen i frÄga Àr 2 a § lagen om signalspaning i försvars- underrÀttelseverksamhet. Enligt den fÄr inhÀmtning inte avse sig- naler mellan en avsÀndare och mottagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmt- ningen, ska upptagningen eller uppteckningen förstöras sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats. I paragrafens andra stycke undantas frÄn denna bestÀmmelse signaler mellan sÀndare och mottagare pÄ utlÀndska statsfartyg, luftfartyg och militÀra fordon.
Föreskrifterna i 2 a § gÀller sÄvÀl kommunikationsspaning (mÀnsk- lig kommunikation) som teknisk signalspaning.
Den tekniska signalspaningen riktar in sig pÄ egenskaper hos tekniska signaler, dvs. sÄdana signaler som inte bÀr mÀnsklig kom- munikation. Denna signalspaning syftar till att beskriva signalers olika tekniska parametrar, exempelvis pulsfrekvens och amplitud.
Radarsignaler Àr exempel pÄ tekniska signaler som utvÀxlas auto- nomt i och mellan tekniska system och dÀr det inte finns nÄgra inslag av mÀnsklig kommunikation eller information och dÀr det dÀrför inte kan uppkomma frÄgor om personlig integritet.
257
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Radar Àr utrustning som skickar ut elektromagnetiska pulser och som tar emot reflektionen av de utskickade signalerna. Radar anvÀnds frÀmst för att mÀta avstÄnd och riktning till objekt i omgivningen. MÀtningen görs oftast genom att en puls skickas ut. Pulsen studsar sedan mot nÄgot och fÄngas dÀrefter in av radarn. SÀndare och mot- tagare finns alltsÄ i samma tekniska utrustning. Genom att mÀta tiden det tar för pulsen att komma tillbaka samt övervaka i vilken riktning pulsen skickas ut kan man avgöra avstÄndet och riktningen till objektet. En radarsignal innehÄller endast tekniska parametrar, t.ex. frekvens, och alltsÄ, som nyss nÀmnts, inte information med mÀnsklig kommunikation.
Försvarets radioanstalt inhÀmtar och analyserar radarsignaler inom ramen för den tekniska signalspaningen i syfte att identifiera dem och associera dem till det objekt (plattform eller farkost) de hÀrrör frÄn.
InhÀmtningen av radarsignaler Àr av betydelse för uppbyggnaden och vidmakthÄllandet av det s.k. signalreferensbiblioteket som Försvarets radioanstalt enligt 3 c § förordningen med instruktion för Försvarets radioanstalt har till uppgift att vidmakthÄlla och utveckla för Försvarsmaktens behov. AnvÀndningen av detta har stor betydelse för Försvarsmaktens möjligheter att identifiera farkoster och vapen- bÀrare av olika slag och för bedömningar om vilket hot dessa i varje givet ögonblick kan utgöra för Försvarsmaktens plattformar och personal. För detta syfte Àr det nödvÀndigt att biblioteket innehÄller uppgifter om sÄvÀl utlÀndska som inhemska signaler, civila som militÀra. Som anförs i förarbetena till 2 a § kan inhÀmtning av den hÀr typen av signaler frÄn Försvarsmaktens utrustningar och platt- formar ske med samtycke frÄn Försvarsmakten, Àven nÀr de befinner sig i Sverige (prop. 2008/09:201). NÀr det gÀller signaler mellan sÀndare och mottagare pÄ utlÀndska statsfartyg, luftfartyg och militÀra fordon som befinner sig i Sverige Àr inhÀmtning likaledes möjlig enligt undantagsregeln i andra stycket.
I andra fall Àr det enligt bestÀmmelsen i 2 a § otydligt huruvida det Àr möjligt att mÀta signaler som emanerar frÄn svenskt territo- rium. Vad gÀller radarsignaler kan man hÀvda att eftersom samma radarsignal utgÄr och Äterkommer till samma radarutrustning sÄ Àr det inte frÄga om signaler mellan avsÀndare och mottagare av det slag som avses med 2 a §, och dÀrmed inte heller signaler mellan en avsÀndare och mottagare som befinner sig i Sverige. Ett annat synsÀtt
258
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
Àr att det objekt som radarsignalen studsar mot Àr att betrakta som sÀndare. Det Àr dock den som sÀnder ut radarsignalen, inte Försvarets radioanstalt, som kan registrera pÄ vilket objekt som signalen studsar.
Ăven i andra sammanhang Ă€n vid teknisk signalspaning till stöd för produktion av signalreferensbibliotek förekommer signaler som utvĂ€xlas autonomt i och mellan tekniska system dĂ€r ingen mĂ€nsklig information förekommer och dĂ€r inga integritetsaspekter gör sig gĂ€llande. Inte heller i dessa sammanhang gör sig de integritetshĂ€nsyn som
Som framgÄr ovan innehÄller de beskrivna signalerna inte upp- gifter om mÀnsklig kommunikation och inhÀmtningen har dÀrmed ingen betydelse för personrelaterad integritet. Utredningen föreslÄr dÀrför att undantagsregeln i andra stycket kompletteras med ett undantag som innebÀr att huvudregeln i första stycket inte tillÀmpas i frÄga om signaler som utvÀxlas autonomt mellan tekniska system och inte innehÄller personuppgifter.
BestÀmmelsen i 12 a § lagen om signalspaning i försvarsunder- rÀttelsetjÀnst hÀnvisar till lagen (2007:259) om behandling av per- sonuppgifter i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet för ytterligare bestÀmmelser om behandlingen av inhÀmtade personuppgifter. Denna hÀnvisning bör Àndras sÄ att den avser lagen om personuppgiftsbehandling vid Försvarets radio- anstalt.
6.12.4Ăndring i förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrĂ€ttelseverksamheten
Utredningens förslag: BestÀmmelserna i instruktionen för Statens inspektion för försvarsunderrÀttelseverksamheten om att inspek- tionen ska granska behandlingen av personuppgifter som sker med stöd av
259
ĂvervĂ€ganden och förslag |
SOU 2018:63 |
Försvarets radioanstalts försvarsunderrÀttelse- och utvecklings- verksamhet som sker med stöd av lagen (2019:000) om behand- ling av personuppgifter vid Försvarets radioanstalt.
Inspektionen ska utöver uppgiften att utöva kontroll och granskning Àven ha till uppgift att lÀmna myndigheterna rÄd och stöd betrÀffande myndigheternas skyldigheter i den verksamhet som inspektionen har till uppgift att kontrollera och granska.
SkÀl för utredningens förslag: Statens inspektion för försvars- underrÀttelseverksamheten (Siun) har enligt 1 § förordningen med instruktion för Statens inspektion för försvarsunderrÀttelseverksam- heten till uppgift att kontrollera försvarsunderrÀttelseverksamheten hos de myndigheter som enligt förordningen (2000:131) om för- svarsunderrÀttelseverksamhet bedriver sÄdan verksamhet. Siun ska kontrollera att dessa myndigheter i den försvarsunderrÀttelseverk- samhet som utförs, efterlever lagar och förordningar samt i övrigt fullgör sina skyldigheter.
Siun ska vidare enligt 3 § instruktionen granska behandlingen av uppgifter enligt
Med hÀnsyn till de föreslagna lagarnas vidgade tillÀmpnings- omrÄden bör hÀnvisningarna i dem om behandling av personupp- gifter utformas sÄ att de direkt tar sikte pÄ försvarsunderrÀttelseverk- samheten och den militÀra sÀkerhetstjÀnsten vid Försvarsmakten och försvarsunderrÀttelse- och utvecklingsverksamheten vid Försvarets radioanstalt.
Siuns tillsyns- och granskningsuppdrag avser rÀttslig granskning i efterhand. Det innebÀr att planerade ÄtgÀrder hos myndigheterna inte kan bli föremÄl för granskning och att Siuns verksamhet inte kan uppfattas som ett godkÀnnande av framtida ÄtgÀrder. Det bör dock finnas ett utrymme för övervÀganden som kan komma att pÄverka den framtida personuppgiftsbehandlingen. Enligt utred- ningens mening skulle det vara vÀrdefullt för myndigheterna att, med den begrÀnsning som nyss berörts, kunna fÄ rÄd och stöd betrÀffande deras skyldigheter i de verksamheter som Siun har till uppgift att granska. Förslaget överensstÀmmer med det som lÀmnas nÀr det gÀller tillsynsmyndigheten i avsnitt 6.8.1.
260
SOU 2018:63 |
ĂvervĂ€ganden och förslag |
6.12.5Ăndring i förordningen (1995:1301) om handlĂ€ggning av skadestĂ„ndsansprĂ„k mot staten
Utredningens förslag: Föreskrifterna i 3 § förordningen (1995:1301) om handlÀggning av skadestÄndsansprÄk mot staten att Justitie- kanslern handlÀgger ansprÄk pÄ ersÀttning med stöd av 2 kap. 6 §
SkÀl för utredningens förslag: I 3 § förordningen om handlÀggning av ersÀttningsansprÄk mot staten anges att Justitiekanslern hand- lÀgger ansprÄk pÄ ersÀttning bl.a. med stöd av 2 kap. 6 §
261
7 Konsekvenser
7.1Inledning
I kommittéförordningen (1998:1474) finns bestÀmmelser om konse- kvensbeskrivningar.
Av 14 § framgÄr att om förslagen i ett betÀnkande pÄverkar kost- naderna eller intÀkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en berÀkning av dessa konsekvenser redovisas i betÀnkandet. Om förslagen innebÀr samhÀllsekonomiska konsekvenser i övrigt, ska dessa redovisas. NÀr det gÀller kostnadsökningar och intÀktsminskningar för staten, kommuner eller landsting, ska kom- mittén föreslÄ en finansiering.
Av 15 § framgÄr att om förslagen i ett betÀnkande har betydelse för den kommunala sjÀlvstyrelsen, för brottsligheten och det brotts- förebyggande arbetet, för sysselsÀttning och offentlig service i olika delar av landet, för smÄ företags arbetsförutsÀttningar, konkurrens- förmÄga eller villkor i övrigt i förhÄllande till större företags, för jÀm- stÀlldheten mellan kvinnor och mÀn eller för möjligheterna att nÄ de integrationspolitiska mÄlen, ska konsekvenserna i det avseendet anges i betÀnkandet.
Om ett betÀnkande innehÄller förslag till nya eller Àndrade regler, ska förslagens kostnadsmÀssiga och andra konsekvenser anges i be- tÀnkandet. Konsekvenserna ska anges pÄ ett sÀtt som motsvarar de krav pÄ innehÄllet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgiv- ning (15 a §).
Enligt utredningens direktiv ska utredaren bedöma de ekono- miska konsekvenserna av förslagen för det allmÀnna och för enskilda. Om förslagen kan förvÀntas leda till kostnadsökningar för det all- mÀnna ska utredaren föreslÄ hur de ska finansieras. Utredaren ska
263
Konsekvenser |
SOU 2018:63 |
ocksÄ redovisa förslagens konsekvenser för den personliga integ- riteten och för eventuella verksamhetsmÀssiga konsekvenser.
7.2Konsekvenser av förslagen
7.2.1TvÄ nya lagar men inga nya uppgifter
Utredningens bedömning: De föreslagna lagarna innebÀr inga nya uppgifter för Försvarsmakten eller Försvarets radioanstalt. De kommer att leda till ökad tydlighet och förbÀttrad effektivitet.
SkÀl för bedömningen: De föreslagna lagarna innebÀr inga nya uppgifter för Försvarsmakten eller Försvarets radioanstalt. De anslu- ter till stora delar vad som gÀller i dag genom
7.3Ekonomiska konsekvenser
Utredningens bedömning: De föreslagna lagarna innebÀr inga ökade kostnader för Försvarsmakten, Försvarets radioanstalt eller de myndigheter som utövar tillsyn och kontroll eller i övrigt för det allmÀnna. De har ingen ekonomisk betydelse för enskilda.
SkÀl för bedömningen: De föreslagna lagarna medför inga nya uppgifter för Försvarsmakten och Försvarets radioanstalt. De nya reglerna kan medföra ett visst behov av utbildning av myndigheter- nas personal utöver den utbildningsverksamhet som myndigheterna
264
SOU 2018:63 |
Konsekvenser |
redan nu bedriver. De kostnader som detta kan medföra bör kunna rymmas inom myndigheternas befintliga ekonomiska ramar. Som nÀmnts i avsnitt 7.2.1 kan de föreslagna lagarna medföra förbÀtt- ringar av myndigheternas effektivitet.
NÄgra ekonomiska konsekvenser i övrigt för det allmÀnna upp- kommer inte. Inte heller medför förslagen ekonomiska konsekven- ser för enskilda.
7.3.1Konsekvenser för den personliga integriteten
Utredningens bedömning: Sammantaget innebÀr förslagen att skyddet för den personliga integriteten kommer att vara pÄ samma nivÄ som för nÀrvarande. I viss mÄn kan intrÄnget i personlig integritet öka genom de ökade möjligheterna till direktÄtkomst som motiveras av starka försvars- och sÀkerhetsintressen.
SkÀl för bedömningen: NÀr det gÀller Försvarsmakten innebÀr en samlad reglering en förenkling för myndigheten och dÀrmed i för- lÀngningen en förstÀrkning av integritetsskyddet vid myndighetens behandling av personuppgifter.
Regleringen för vilka andra ÀndamÄl Àn huvudÀndamÄlen som be- handling av personuppgifter fÄr ske i Förvarets radioanstalts verksam- heter Àr Àven till fördel frÄn integritetskyddssynpunkt.
De effektiviseringar som föreslÄs för försvarsunderrÀttelseverk- samheten och den militÀra sÀkerhetstjÀnsten, frÀmst nÀr det gÀller möjligheter till direktÄtkomst, kan innebÀra ett visst ytterligare intrÄng i den personliga integriteten. Samtidigt mÄste man beakta den sÀker- hetspolitiska utvecklingen pÄ senare tid och de hot som riktas och som kan komma att riktas mot vÄrt land och de mÀnniskor som finns hÀr. IntegritetsintrÄnget mÄste dÀrför stÀllas mot de starka försvars- och sÀkerhetsintressen som hÀr gör sig gÀllande och som motiverar behovet av en effektiv verksamhet pÄ de omrÄden som de föreslagna lagarna omfattar.
Att dataskyddsförordningens och dataskyddslagens bestÀmmel- ser om tillsynsmyndighetens befogenhet att förbjuda behandling inte ska gÀlla kan uppfattas som negativt för skyddet av enskildas personliga integritet. Detsamma gÀller att personuppgiftsincidenter
265
Konsekvenser |
SOU 2018:63 |
inte ska rapporteras till tillsynsmyndigheten och att sanktionsavgif- ter inte ska fÄ tas ut. Med hÀnsyn till den betydelse myndigheternas verksamhet har för Sveriges försvar och sÀkerhet Àr det olÀmpligt med föreskrifter om förbud mot behandling, rapportering av person- uppgiftsincidenter och sanktionsavgifter. NÀr det gÀller frÄgan om rapportering av personuppgiftsincidenter bör erinras om den skyldighet att rapportera
7.3.2Konsekvenser i övrigt
Utredningens bedömning: Förslagen förvÀntas inte fÄ nÄgra andra konsekvenser.
SkÀl för bedömningen: Förslagen fÄr inte nÄgra samhÀllsekono- miska konsekvenser eller nÄgra konsekvenser för den kommunala sjÀlvstyrelsen. Förslagen fÄr inte heller nÄgra konsekvenser för jÀm- stÀlldheten eller andra sÄdana konsekvenser som avses i 14, 15 och 15 a §§ kommittéförordningen.
266
8 Författningskommentar
8.1Förslaget till lag om behandling av personuppgifter vid Försvarsmakten
1 kap. AllmÀnna bestÀmmelser
Syftet med lagen
1 §
Syftet med denna lag Àr att sÀkerstÀlla att Försvarsmakten kan behandla personuppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling.
Paragrafen, som behandlas i avsnitt 6.2.1, anger syftet med lagen. Syftet Àr att sÀkerstÀlla att Försvarsmakten kan behandla person- uppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling. Av paragrafen framgÄr att lagen gÀller fysiska personer och inte juridiska personer.
Lagens tillÀmpningsomrÄde
2 §
Denna lag gÀller vid Försvarsmaktens behandling av personuppgifter som rör Sveriges försvar och sÀkerhet.
Paragrafen reglerar, tillsammans med 3 §, lagens tillÀmpningsomrÄde. Den behandlas i avsnitt 6.2.2.
I paragrafen anges att lagen gÀller vid Försvarsmaktens behand- ling av personuppgifter som rör Sveriges försvar och sÀkerhet. Vad
267
Författningskommentar |
SOU 2018:63 |
som Àr en personuppgift och behandling av personuppgifter definie- ras i 8 §.
I Försvarsmaktens uppgifter ingÄr att upprÀtthÄlla och utveckla ett militÀrt försvar som ytterst kan möta ett vÀpnat angrepp. Grun- den för Försvarsmaktens verksamhet Àr förmÄgan till vÀpnad strid. Försvarsmakten ska försvara Sverige och frÀmja svensk sÀkerhet samt upptÀcka och avvisa krÀnkningar av det svenska territoriet. Försvars- makten ska dessutom kunna vÀrna Sveriges suverÀna rÀttigheter och svenska intressen samt kunna förebygga och hantera konflikter och krig sÄvÀl nationellt som internationellt. Försvarsmakten ska kunna utföra dess uppgifter sjÀlvstÀndigt eller i samverkan med andra myn- digheter, lÀnder och organisationer. Vid höjd beredskap ska Försvars- makten kunna krigsorganisera, mobilisera och anvÀnda alla krigs- förband för att möta ett militÀrt hot mot Sverige och svenska intressen. Krigsförband ska kunna krigsorganiseras, Àven om höjd beredskap inte rÄder. Försvarsmaktens uppgifter utvecklas nÀrmare i av- snitt 3.1.
De beskrivna uppgifterna ligger utanför unionsrĂ€tten. Ăven sĂ„dana arbetsuppgifter som kan tillkomma för Försvarsmaktens del, och som ligger utanför unionsrĂ€tten, ska behandlas med stöd av lagen.
3 §
Lagen gÀller vid sÄdan behandling av personuppgifter som Àr helt eller delvis automatiserad eller om uppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.
Paragrafen behandlas i avsnitt 6.2.4. Den begrÀnsar lagens tillÀmp- ningsomrÄde till sÄdan behandling av personuppgifter som Àr helt eller delvis automatiserad, eller om uppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.
268
SOU 2018:63 |
Författningskommentar |
4 §
Vid behandling av personuppgifter enligt denna lag gÀller inte lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskydds- förordning.
Paragrafen behandlas i avsnitt 6.2.5. Den upplyser om att lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskydds- förordning inte gÀller nÀr personuppgifter behandlas enligt lagen om behandling av personuppgifter vid Försvarsmakten.
FörhÄllandet till annan reglering
5 §
BestÀmmelserna i denna lag ska inte tillÀmpas i den utstrÀckning det skulle inskrÀnka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lÀmna ut personuppgifter.
Paragrafen, som behandlas i avsnitt 6.2.6, klargör att bestÀmmelserna i lagen inte ska tillÀmpas om det skulle inskrÀnka Försvarsmaktens skyldighet enligt 2 kap. tryckfrihetsförordningen att lÀmna ut person- uppgifter.
Personuppgiftsansvar
6 §
Försvarsmakten Àr personuppgiftsansvarig för den behandling av per- sonuppgifter som myndigheten utför.
Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under myndighetens ledning eller pÄ dess vÀgnar.
BestÀmmelsen behandlas i avsnitt 6.2.7 och motsvarar 1 kap. 6 § lagen om behandling av personuppgifter vid Försvarets radioanstalt.
Personuppgiftsansvarig definieras i 1 kap. 8 § som den som ensam eller tillsammans med andra bestÀmmer ÀndamÄlen med och medlen för behandlingen av personuppgifter. Skyldigheterna som personupp- giftsansvarig regleras i 4 kap.
269
Författningskommentar |
SOU 2018:63 |
BestÀmmelsen tydliggör att Försvarsmakten Àr personuppgifts- ansvarig för all den personuppgiftsbehandling som myndigheten utför, dvs. Àven den behandling av personuppgifter som utförs under myndighetens ledning eller pÄ dess vÀgnar.
Den nÀrmare innebörden av personuppgiftsansvaret framgÄr av lagens övriga bestÀmmelser bl.a. att personuppgifter behandlas för- fattningsenligt och pÄ ett sÀkert sÀtt (4 kap. 1 och 4 §§) samt skyl- digheter att tillgodose enskildas rÀttigheter (5 kap.) och behov av information vid tillsyn och kontroll (6 kap.).
Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under den personuppgiftsansvariges ledning. Med det avses all personuppgiftsbehandling vid Försvarsmakten inom lagens verksamhetsomrÄden. Det gÀller bÄde behandling som utförs genom en aktiv handling, t.ex. insamling eller sökning, och passiv behandling, t.ex. lagring.
Försvarsmakten Àr ocksÄ ansvarig för all behandling av person- uppgifter som utförs pÄ dess vÀgnar. Med det avses frÀmst sÄdan behandling som Försvarsmakten har uppdragit Ät ett personupp- giftsbitrÀde att utföra. Försvarsmakten kan uppdra Ät ett bitrÀde att utföra viss behandling av personuppgifter, men kan inte genom det avsÀga sig personuppgiftsansvaret. BestÀmmelser om personupp- giftsbitrÀde finns i 4 kap.
7 §
Försvarsmakten fÄr vara gemensamt personuppgiftsansvarig med annan endast i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
Paragrafen behandlas i avsnitt 6.2.8. Gemensamt personuppgiftsansvar fÄr endast förekomma om det har beslutats genom lag eller förordning eller av regeringen i ett enskilt fall. Försvarsmakten fÄr inte pÄ egen hand komma överens med en annan aktör om att personuppgifts- ansvaret för viss personuppgiftsbehandling ska vara gemensamt.
Om det vid en bedömning av de faktiska omstÀndigheterna kon- stateras att gemensamt personuppgiftsansvar föreligger, trots att det inte finns nÄgot beslut om det, stÄr behandlingen i strid med denna paragraf.
270
SOU 2018:63 |
Författningskommentar |
Definitioner
8 §
I paragrafen, som behandlas i avsnitt 6.2.9, definieras vissa uttryck som anvÀnds i lagen.
Behandling av personuppgifter
En ÄtgÀrd eller kombination av ÄtgÀrder som vidtas i frÄga om per- sonuppgifter eller uppsÀttningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, struk- turering, lagring, bearbetning eller Àndring, framtagning, lÀsning, anvÀnd- ning, utlÀmnande, spridning eller tillhandahÄllande pÄ annat sÀtt, juster- ing, sammanföring, begrÀnsning, radering eller förstöring.
Uttrycket behandling av personuppgifter omfattar alla ÄtgÀrder som vidtas med sÄdana uppgifter. SÄ snart personuppgifter hanteras pÄ nÄgot sÀtt Àr det frÄga om behandling som omfattas av lagens bestÀm- melser, om den Àr helt eller delvis automatiserad eller avser manuell behandling i en strukturerad samling av personuppgifter. UpprÀk- ningen i definitionen av olika sÀtt att hantera personuppgifter Àr sÄledes inte uttömmande.
Biometriska uppgifter
Personuppgifter som rör en persons fysiska, fysiologiska eller beteende- mÀssiga kÀnnetecken, som tagits fram genom sÀrskild teknisk behand- ling och som möjliggör eller bekrÀftar unik identifiering av personen i frÄga.
Biometriska uppgifter behandlas i avsnitt 6.4.2. Biometri Àr ett sam- lingsnamn för sÄdan automatiserad teknik som syftar till att identi- fiera en person eller avgöra om en pÄstÄdd identitet Àr riktig. Den baseras pÄ fysiska karaktÀrsdrag hos den som ska identifieras. Mönster av fingeravtryck, ansiktsgeometri, ögats iris, regnbÄgshinna och nÀthinna, röst, hand, blodkÀrl, dna eller gÄng Àr exempel pÄ omrÄden dÀr sÄdan teknik kan anvÀndas. Gemensamt för teknikerna Àr att
271
Författningskommentar |
SOU 2018:63 |
kroppen mÀts elektroniskt. Biometriska uppgifter Àr den informa- tion som kan tas fram ur ett biometriskt underlag. Uppgifterna kan anvÀndas för att skapa en referensmall eller för att jÀmföra med tidigare lagrade referensmallar i syfte att kontrollera en persons iden- titet. Fingeravtryck och
Biometriska uppgifter i form av fingeravtryck kan framgĂ„ av ett spĂ„r som pĂ„trĂ€ffas vid utredning av en hĂ€ndelse som exempelvis ett angrepp mot svensk trupp utomlands. Ăven analys av spĂ„ren om- fattas av definitionen, trots att de vid den tidpunkten inte gĂ„r att hĂ€rleda till en identifierad person.
Av 2 kap. 16 § framgÄr att biometriska uppgifter bara fÄr behandlas om det Àr absolut nödvÀndigt för ÀndamÄlet med behandlingen.
Fotografier och filmer som inte bearbetas tekniskt i syfte att Ästadkomma unik identifiering faller utanför definitionen. Bearbet- ning av bilder av personer för att förbÀttra bildkvaliteten, förstÀrka detaljer och liknande omfattas alltsÄ inte. Om bilder dÀremot bear- betas i exempelvis ett ansiktsigenkÀnningsprogram i syfte att identi- fiera personer omfattas de av definitionen. Att fotografier kan om- fattas av regleringen av kÀnsliga personuppgifter pÄ andra grunder behandlas i kommentaren till 2 kap. 15 §.
Dataskyddsombud
En fysisk person som utses av den personuppgiftsansvarige för att sjÀlv- stÀndigt se till att personuppgifter behandlas författningsenligt och pÄ ett korrekt sÀtt.
Dataskyddsombud behandlas i avsnitt 6.6.5.
Ett dataskyddsombud Àr en fysisk person som utses av den per- sonuppgiftsansvarige att sjÀlvstÀndigt utföra vissa uppgifter i syfte att se till att personuppgifter behandlas författningsenligt och pÄ ett korrekt sÀtt. Ett dataskyddsombud kan antingen vara anstÀlld hos den personuppgiftsansvarige eller en utomstÄende. Kravet pÄ sjÀlv- stÀndighet innebÀr att dataskyddsombud ska kunna utföra sina arbets- uppgifter pÄ ett oberoende sÀtt. Ombuden förutsÀtts framför allt ha
272
SOU 2018:63 |
Författningskommentar |
goda kunskaper om reglerna om personuppgiftsbehandling. Om- buden bör ocksÄ ha sÄdan stÀllning i organisationen att deras syn- punkter och rÄd tas pÄ allvar.
Dataskyddsombudets uppgifter, som motsvarar personuppgifts- ombudets uppgifter enligt 4 kap.
Genetiska uppgifter
Personuppgifter som rör en persons nedÀrvda eller förvÀrvade genetiska kÀnnetecken och som hÀrrör frÄn analys av ett spÄr av eller ett prov frÄn personen i frÄga.
Genetiska uppgifter behandlas i avsnitt 6.4.2 och 6.4.4.
All information som rör en persons nedÀrvda eller förvÀrvade genetiska kÀnnetecken och som kan tas fram ur ett spÄr frÄn mÀn- niskokroppen omfattas av definitionen.
Genetiska uppgifter behandlas vid
Logg
Behandlingshistorik som sparas viss tid.
Logg och logguppföljning behandlas i avsnitt 6.6.2.
En logg definieras som en behandlingshistorik som sparas viss tid. Vad som ska loggas framgÄr av kommentaren till 4 kap. 2 §.
273
Författningskommentar |
SOU 2018:63 |
Mottagare
Den till vilken personuppgifter lÀmnas ut, med undantag av en myn- dighet som med stöd av författning utövar tillsyn, kontroll eller revision.
Mottagare definieras som den till vilken personuppgifter lĂ€mnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision. Undantaget omfattar bl.a. myndig- heter som tar del av personuppgifter i sin tillsyn och kontroll av viss verksamhet, t.ex. Datainspektionen och Statens inspektion för för- svarsunderrĂ€ttelseverksamheten. Ăven andra myndigheter som utövar tillsyn, t.ex. Riksdagens ombudsmĂ€n (JO) och Justitiekanslern, om- fattas av undantaget.
Personuppgift
Varje upplysning om en identifierad eller identifierbar fysisk person som Àr i livet.
Med personuppgift avses varje upplysning om en identifierad eller identifierbar fysisk person som Àr i livet. Uttrycket behandlas i avsnitt 6.2.9.
Varje information som kan hÀnföras till en fysisk person Àr en personuppgift. Det gÀller Àven information som kan hÀnföras till en individ om en fysisk person kan identifieras med hjÀlp av infor- mationen. Det krÀvs inte att den personuppgiftsansvarige ska för- foga över samtliga uppgifter som gör identifieringen möjlig. Det innebÀr att t.ex. oidentifierade fingeravtryck och
Definitionen omfattar bara uppgifter om personer som Àr i livet. Uppgifter om juridiska personer omfattas inte av definitionen.
274
SOU 2018:63 |
Författningskommentar |
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra bestÀmmer ÀndamÄlen med och medlen för behandlingen av personuppgifter.
Uttrycket behandlas i avsnitt 6.2.9.
Personuppgiftsansvarig Àr enligt definitionen den som ensam eller tillsammans med andra bestÀmmer ÀndamÄlen med och medlen för behandlingen av personuppgifter.
Att bestÀmma ÀndamÄlen med behandlingen innebÀr i princip att bestÀmma att en behandling ska utföras och varför.
Att bestÀmma medlen för behandlingen avser frÀmst att bestÀmma över de tekniska och organisatoriska medlen, dvs. hur behandlingen ska gÄ till. Det kan handla om vilka personuppgifter som ska behand- las, vilka som ska fÄ ta del av dem och hur lÀnge personuppgifterna fÄr behandlas.
Den personuppgiftsansvarige styr dock inte alltid sjÀlv över alla medel för behandlingen. Vid direktÄtkomst bestÀmmer den som medger Ätkomsten hur tillgÄngen tekniskt ska lösas och vilka per- sonuppgifter som ska tillgÀngliggöras. Den som ges direktÄtkomst Àr personuppgiftsansvarig för behandlingen av de personuppgifter som direktÄtkomsten avser.
PersonuppgiftsbitrÀde
Den som, med stöd av ett skriftligt avtal eller annan skriftlig överens- kommelse, behandlar personuppgifter för den personuppgiftsansvariges rÀkning.
Uttrycket behandlas i avsnitt 6.2.9.
Ett personuppgiftsbitrÀde Àr en fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges rÀk- ning med stöd av ett skriftligt avtal eller en annan skriftlig överens- kommelse. Kravet pÄ att det ska finnas ett avtal eller en överens- kommelse framgÄr av 4 kap. 8 §.
Ett personuppgiftsbitrÀde behandlar personuppgifter endast enligt instruktioner frÄn den personuppgiftsansvarige och har inte rÀtt att sjÀlv bestÀmma över personuppgiftsbehandlingen. Ett personuppgifts- bitrÀde finns alltid utanför den egna organisationen En anstÀlld eller
275
Författningskommentar |
SOU 2018:63 |
nÄgon annan som behandlar personuppgifter under den personupp- giftsansvariges direkta ansvar kan inte vara personuppgiftsbitrÀde.
Tredje part
NÄgon annan Àn den som personuppgiften rör, personuppgiftsansvarige, dataskyddsombudet, personuppgiftsbitrÀdet och sÄdana personer som under den personuppgiftsansvariges eller personuppgiftsbitrÀdets direkta ansvar har rÀtt att behandla personuppgifter.
Uttrycket behandlas i avsnitt 6.2.9.
Uppgiftssamling
En samling med uppgifter som med hjÀlp av automatiserad behandling Àr gemensamt tillgÀngliga.
Uppgiftssamlingar behandlas i avsnitt 6.5.
Avgörande för nÀr automatiserat behandlade uppgifter ska anses ingÄ i en uppgiftssamling Àr att uppgifterna Àr gemensamt tillgÀngliga i en viss verksamhet för de ÀndamÄl som ska styra behandlingen av uppgifter inom verksamheten.
2 kap. Behandling av personuppgifter
RĂ€ttsliga grunder
Försvar och sÀkerhet
1 §
Försvarsmakten fÄr behandla personuppgifter om det Àr nödvÀndigt för att planera, förbereda och genomföra verksamhet som rör
1.Sveriges försvar och sÀkerhet, eller
2.internationellt försvars- och sÀkerhetssamarbete. Försvarsmaktens uppgift att bedriva verksamhet som anges i första
stycket ska följa av lag, förordning eller ett sÀrskilt beslut i vilket reger- ingen uppdragit Ät myndigheten att utföra uppgiften.
276
SOU 2018:63 |
Författningskommentar |
Paragrafen anger Sveriges försvar och sĂ€kerhet som en rĂ€ttslig grund för Försvarsmaktens personuppgiftsbehandling. Ămnet behandlas i avsnitt 6.3.1.
Personuppgifter fÄr enligt första stycket behandlas av Försvars- makten om det Àr nödvÀndigt för att planera, förbereda och genom- föra viss verksamhet. BestÀmmelsen bildar den yttre ramen för nÀr behandling av personuppgifter Àr tillÄten.
Enligt första stycket punkten 1 fÄr personuppgifter behandlas om det Àr nödvÀndigt för att planera, förbereda och genomföra verk- samhet som rör Sveriges försvar och sÀkerhet. Försvarsmaktens upp- gift att bedriva sÄdan verksamhet ska framgÄ av lag, förordning eller ett sÀrskilt beslut i vilket regeringen uppdragit Ät myndigheten att ansvara för uppgiften. Exempel pÄ sÄdana uppgifter anges i avsnitt 6.3.1.
Som framgÄr av avsnitt 6.3.1 Àr beskrivningen av verksamheterna Àr inte fullstÀndig. Det kan finnas andra uppgifter för Försvars- makten som rör Sveriges försvar och sÀkerhet och nya uppgifter kan tillkomma.
I avsnitt 6.3.1 ges exempel pÄ författningsenliga uppgifter som faller utanför bestÀmmelsen.
Enligt första stycket punkten 2 fÄr personuppgifter behandlas om det Àr nödvÀndigt för att planera, förbereda och genomföra verk- samhet som rör internationellt försvars- och sÀkerhetssamarbete.
Enligt andra stycket ska Försvarsmaktens uppgifter att bedriva verksamhet enligt första stycket framgÄ av lag, förordning eller ett sÀrskilt beslut i vilket regeringen uppdragit Ät myndigheten att ansvara för uppgiften. Exempel pÄ sÄdana uppgifter redovisas i avsnitt 6.3.1.
En nÀrmare beskrivning av Försvarsmaktens internationella sam- arbeten finns i avsnitt 3.1. Myndighetens deltagande i sÄdana sam- arbeten sker med stöd av regeringens beslut.
SÀrskilt om försvarsunderrÀttelseverksamhet
2 §
Personuppgifter fÄr behandlas i Försvarsmaktens försvarsunderrÀttelse- verksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet.
277
Författningskommentar |
SOU 2018:63 |
Paragrafen behandlas i avsnitt 6.3.2. och anger de ÀndamÄl för vilka personuppgifter fÄr anvÀndas i försvarsunderrÀttelseverksamheten genom en hÀnvisning till lagen (2000:130) om försvarsunderrÀttelse- verksamhet.
FörsvarsunderrÀttelseverksamheten Àr ett led i Försvarsmaktens uppgifter att i fred, under beredskap och i krig ge underlag för Försvarsmaktens beredskap, operativa verksamhet och förbands- produktion samt för krigsorganisationens utveckling och materiella förnyelse. FörsvarsunderrÀttelseverksamhet bestÄr av inhÀmtning, bearbetning och analys samt delgivning av information. HÀrigenom utarbetas underrÀttelser som delges Regeringskansliet och andra berörda myndigheter. Det Àr regeringen som bestÀmmer inriktningen av försvarsunderrÀttelseverksamheten.
FörsvarsunderrÀttelseverksamheten ska identifiera och redovisa eller ge förvarning om sÄdana förÀndringar i omvÀrldslÀget att detta kan ligga till grund för politiska beslut om totalförsvarets anpassning pÄ kort eller lÄng sikt.
I underrÀttelseverksamhetens natur ligger att det inte gÄr att pÄ förhand göra tydliga avgrÀnsningar av vilka uppgifter som mÄste inhÀmtas för att nÄ det slutliga mÄlet att Ästadkomma de under- rÀttelser som uppdragsgivarna efterfrÄgar. InhÀmtad information kan motivera inhÀmtning av annan information som man frÄn början inte kÀnde till. Det kan ocksÄ uppkomma behov av att vÀrdera trovÀrdigheten hos kÀllor, som man heller inte kÀnde till frÄn början. Verksamheten kan ocksÄ gÄ ut pÄ att leta efter företeelser och hot som Àr okÀnda men som antas existera.
3 §
De personuppgifter som Försvarsmakten har fÄtt tillgÄng till i myndig- hetens försvarsunderrÀttelseverksamhet fÄr fortsatt behandlas i den verksamheten, om det behövs för att fullgöra den.
Vad som sÀgs i första stycket gÀller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslutning till lagen.
Paragrafen behandlas i avsnitt 6.3.2 och innebÀr en komplettering av ÀndamÄlsbeskrivningen i 2 § pÄ sÄ sÀtt att de personuppgifter som
278
SOU 2018:63 |
Författningskommentar |
Försvarsmakten har fÄtt tillgÄng till i sin försvarsunderrÀttelseverk- samhet Àven fortsÀttningsvis fÄr behandlas i den verksamheten, om det behövs för att fullgöra den.
En förutsÀttning för behandlingen enligt bestÀmmelsen Àr att den inte strider mot nÄgon annan bestÀmmelse i lagen eller tillhörande förordning. Detta tydliggörs i andra stycket.
SÀrskilt om militÀr sÀkerhetstjÀnst
4 §
Personuppgifter fÄr behandlas i Försvarsmaktens militÀra sÀkerhets- tjÀnst för att upptÀcka, förebygga och avvÀrja sÀkerhetshotande verk- samhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen, om det Àr nödvÀndigt för att
1.klarlÀgga verksamhet som innefattar hot mot Sveriges sÀkerhet,
eller
2.vidta ÄtgÀrder som hindrar eller försvÄrar sÀkerhetshotande verk- samhet.
Paragrafen, som behandlas i avsnitt 6.3.3, anger de ÀndamÄl för vilka uppgifter fÄr behandlas i den militÀra sÀkerhetstjÀnsten.
ĂndamĂ„let med behandlingen av personuppgifter inom den militĂ€ra sĂ€kerhetstjĂ€nsten Ă€r att tjĂ€nsten ska kunna fullgöra de uppgifter som följer av sĂ€kerhetsskyddslagen (1996:627), sĂ€kerhetsskyddsförord- ningen (1996:633) och förordningen (2007:1266) med instruktion för Försvarsmakten. Uppgifter fĂ„r behandlas i Försvarsmaktens mili- tĂ€ra sĂ€kerhetstjĂ€nst för att upptĂ€cka, förebygga och avvĂ€rja sĂ€kerhets- hotande verksamhet som riktas mot Försvarsmakten och dess sĂ€ker- hetsintressen.
Enligt punkten 1 fÄr uppgifter behandlas för att klarlÀgga verk- samhet som innefattar hot mot rikets sÀkerhet. DÀrvid fÄr under de nÀrmare förutsÀttningar som anges i 5 § ocksÄ behandlas uppgifter om personer med anknytning till sÄdan verksamhet. Med denna punkt avses sÀkerhetsunderrÀttelsetjÀnst. Verksamheten sker i stort under samma arbetsformer och med utnyttjande av samma typ av kÀllor som anvÀnds i försvarsunderrÀttelseverksamheten.
279
Författningskommentar |
SOU 2018:63 |
Inom sÀkerhetsskyddstjÀnsten, som avses i punkten 2, vidtas olika ÄtgÀrder för att förhindra eller försvÄra sÀkerhetshotande verksam- het. Verksamheten bestÄr i att förebygga att hemliga uppgifter som rör rikets sÀkerhet obehörigen röjs, Àndras eller förstörs. Verksam- heten syftar ocksÄ till att skydda Försvarsmaktens personal, materiel och anlÀggningar.
Punkten 2 omfattar ocksÄ signalskyddstjÀnst, som syftar till att minska verkan av signalspaning, falsk signalering och störsÀndning mot totalförsvarets telekommunikations- och informationssystem. Verksamheten ska förhindra obehörig insyn i och pÄverkan av total- försvarets telekommunikationer, samt verka för anvÀndning av krypto- grafiska funktioner i informationssystemen. Signalkontroll innebÀr att underlag inhÀmtas frÀmst genom avlyssning av analog och digital signalering i telekommunikations- och informationssystem. De inhÀm- tade underlagen granskas och bearbetas, varefter gjorda iakttagelser delges och rapporteras. Signalkontroll genomförs i totalförsvarets tele- kommunikations- och informationssystem stickprovsvis med hjÀlp av fasta eller rörliga kontrollorgan. I 7 § finns en sÀrskild bestÀmmelse om personuppgiftsbehandling i signalkontrollverksamheten.
5 §
Uppgifter om en person fÄr behandlas för det ÀndamÄl som anges i 4 § endast om
1.uppgifterna Àr nödvÀndiga för att kartlÀgga verksamhet som inne- fattar brott som kan hota Sveriges sÀkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brotts- lighet enligt tidigare lagstiftning,
2.uppgifterna Àr nödvÀndiga för att kartlÀgga underrÀttelseverk- samhet riktad mot Försvarsmakten och dess sÀkerhetsintressen,
3.uppgifterna Àr nödvÀndiga för att kartlÀgga annan sÀkerhetshotande verksamhet Àn som avses i 1 och som innefattar brott eller ÄsidosÀttande av Äligganden i anstÀllning hos Försvarsmakten, och det finns sÀrskilda skÀl till att uppgiften ska behandlas,
4.personen har lÀmnat uppgifter om sÀkerhetshotande verksamhet och personuppgifterna Àr nödvÀndiga för att bedöma personens tro- vÀrdighet, eller
280
SOU 2018:63 |
Författningskommentar |
5.uppgifterna avser information som har framkommit i samband med sÀkerhetsprövning enligt sÀkerhetsskyddslagen (1996:627) eller i annat fall Àr nödvÀndiga för att hantera en uppgift som rör sÀkerhets- skydd.
I paragrafen preciseras de ÀndamÄl för vilka personuppgifter fÄr behandlas inom den militÀra sÀkerhetstjÀnsten med en sÀrskild bestÀm- melse om vilka uppgiftskategorier som fÄr behandlas i verksamheten. En nÀrmare beskrivning av de fem punkterna finns i avsnitt 6.3.3.
6 §
Personuppgifter som behandlas enligt 5 § ska förses med upplysning om pÄ vilken av de angivna grunderna uppgiften behandlas. Om behand- lingen av en personuppgift föranleds av nÄgot annat Àn antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det sÀrskilt anges att personen inte Àr misstÀnkt för brottslig verksamhet, om det inte pÄ annat sÀtt klart framgÄr att sÄdan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan sÀkerhetshotande verksamhet ska förses med en sÀrskild upplysning om detta, om det inte pÄ annat sÀtt klart framgÄr att sÄdant antagande inte finns.
Personuppgifter som behandlas enligt 5 § första stycket
BestÀmmelsen behandlas i avsnitt 6.3.3.
NÀr uppgifter behandlas i den militÀra sÀkerhetstjÀnsten Àr det av integritetsskÀl viktigt att sÀrskilja olika typer av uppgifter. SÀrskilt viktigt Àr att det inte uppstÄr missuppfattningar om nÄgon kan antas faktiskt utöva eller förbereda sÀkerhetshotande verksamhet eller inte. I första stycket anges att uppgifter om en person ska förses med upplysning om pÄ vilken av de i första stycket angivna grunderna uppgiften behandlas. Uppgifter om brottsmisstanke Àr sÀrskilt kÀns- liga ur integritetssynpunkt och det föreskrivs dÀrför att i de fall behandlingen av en personuppgift inte föranleds av antagande om att personen utövar brottslig verksamhet ska detta sÀrskilt anges, om det inte klart framgÄr pÄ annat sÀtt. PÄ motsvarande sÀtt ska anges
281
Författningskommentar |
SOU 2018:63 |
om det inte heller kan antas att personen bedriver sÀkerhetshotande verksamhet som inte utgör brott. UtgÄngspunkten Àr att sÀrskilda upplysningar inte behövs nÀr det av sammanhanget inte kan uppstÄ nÄgra tvivel om varför uppgifterna i frÄga behandlas och det dÀrför inte föreligger risk för att nÄgon av misstag kan uppfattas utöva brottslig eller pÄ annat sÀtt sÀkerhetshotande verksamhet.
I andra stycket föreskrivs att uppgifter om att en person som avses
ipunkterna
7 §
Trots vad som sÀgs i 5 och 6 §§ fÄr personuppgifter som ingÄr i eller har uppkommit i samband med anvÀndning av totalförsvarets tele- kommunikations- och informationssystem behandlas för att förhindra obehörig insyn i och pÄverkan av dessa system. Det gÀller Àven sÄdana uppgifter som avses i 15, 16, 18 och 19 §§. Behandling som sÀrskilt syftar till att identifiera en person fÄr dock endast utföras om be- stÀmmelserna i 5 § första stycket 1, 2 eller 3 tillÀmpas.
BestĂ€mmelsen, som behandlas i avsnitt 6.3.3, innebĂ€r att person- uppgifter som ingĂ„r i eller har uppkommit i samband med anvĂ€nd- ning av totalförsvarets telekommunikations- och informations- system â Ă€ven sĂ„dana som omfattas av sĂ€rskilda restriktioner â fĂ„r behandlas i syfte att förhindra obehörig insyn i och pĂ„verkan av dessa system. Den omstĂ€ndigheten att sĂ„dan behandling genom signal- kontroll utförs utan att förekomsten av relevanta personuppgifter pĂ„ förhand kan avgöras utgör följaktligen inte nĂ„got hinder för verk- samheten.
NÀr sÀkerhetshotande företeelser upptÀcks och det erfordras sÀrskild behandling för att identifiera en person, t.ex. genom att en viss kommunikationsenhet hÀrleds till en individualiserad anvÀndare, gÀller dock att behandlingen endast fÄr utföras om det finns grundad
282
SOU 2018:63 |
Författningskommentar |
anledning att anta att det betrÀffande personen föreligger sÄdant förhÄllande som avses i 5 § första stycket 1, 2 eller 3.
Ăvriga rĂ€ttsliga grunder
8 §
Personuppgifter som utgör allmÀnt tillgÀnglig information fÄr behand- las av Försvarsmakten om det Àr nödvÀndigt för de ÀndamÄl som anges i 1, 2 och 4 §§.
BestÀmmelsen behandlas i avsnitt 6.3.4.
För att kunna bedriva en effektiv försvarsunderrÀttelseverksam- het behöver Försvarsmakten, utöver den information som den inhÀmtar genom hemliga metoder, ocksÄ ha god tillgÄng till allmÀnt tillgÀnglig information. DÀrigenom kan den pÄ hemligt sÀtt inhÀm- tade informationen pÄ ett bÀttre sÀtt Àn eljest sÀttas in i sitt rÀtta sammanhang. Av intresse hÀr Àr information som utgörs av person- uppgifter som kan pÄtrÀffas vid sökning pÄ internet eller vid sök- ningar i öppna databaser. Uppgifterna kan vara gratis eller tillgÀng- liga pÄ kommersiell grund. Gemensamt för dem Àr att de Àr publikt tillgÀngliga. Det kan röra sig om uppgifter som t.ex. en abonnent pÄ ett eller annat sÀtt har samtyckt att uppgifterna finns med i elek- troniska telefonkataloger eller förteckningar över
BestÀmmelsen gör det ocksÄ möjligt att behandla personupp- gifter pÄ det beskrivna sÀttet nÀr det gÀller planering, förberedelse och genomförande av verksamhet som avser Sveriges försvar och sÀkerhet eller internationellt försvars- och sÀkerhetssamarbete lik- som nÀr det gÀller verksamhet inom den militÀra sÀkerhetstjÀnsten.
9 §
Personuppgifter fÄr behandlas av Försvarsmakten om det Àr nödvÀndigt för diarieföring, arkivering, handlÀggning av ett Àrende eller för att utföra annan liknande uppgift som Äligger myndigheten.
283
Författningskommentar |
SOU 2018:63 |
BestÀmmelsen behandlas i avsnitt 6.3.5.
Genom bestÀmmelsen har den behandling av personuppgifter som uppkommer i de i avsnittet beskrivna verksamheterna direkt stöd i lag.
10 §
Försvarsmakten fÄr behandla personuppgifter för vetenskapliga, statistiska eller historiska ÀndamÄl inom denna lags tillÀmpningsomrÄde.
BestÀmmelsen behandlas i avsnitt 6.3.10.
Genom bestÀmmelsen ges Försvarsmakten möjlighet att behandla personuppgifter för historiska, statistiska eller vetenskapliga ÀndamÄl.
11 §
Försvarsmakten fÄr behandla personuppgifter för att kunna tillgodose enskildas behov av information enligt 5 kap. och kunna lÀmna infor- mation vid tillsyn eller kontroll.
BestÀmmelsen behandlas i avsnitt 6.3.11.
Datainspektionen Ă€r tillsynsmyndighet för Försvarsmaktens per- sonuppgiftsbehandling. Ăven Statens inspektion för försvarsunder- rĂ€ttelseverksamheten (Siun) har till uppgift att kontrollera försvars- underrĂ€ttelseverksamheten hos de myndigheter som bedriver sĂ„dan verksamhet, dĂ€ribland vilka personuppgifter som behandlas i denna verksamhet. Sökningar i uppgiftssamlingar och sammanstĂ€llningar av uppgifter som Ă€r nödvĂ€ndig för att Försvarsmakten ska kunna till- mötesgĂ„ tillsynsmyndighetens och kontrollmyndighetens behov inne- bĂ€r att personuppgifter behandlas. BestĂ€mmelsen utgör rĂ€ttslig grund för denna personuppgiftsbehandling samt för den personuppgifts- behandling som krĂ€vs för att tillmötesgĂ„ enskildas rĂ€tt till informa- tion enligt 5 kap. Enskildas rĂ€ttigheter behandlas vidare i avsnitt 6.7.2. Tillsynsmyndighetens verksamhet behandlas i avsnitt 6.8.
BestÀmmelsen utgör Àven den rÀttsliga grunden för personupp- giftshantering i Försvarsmaktens loggfunktioner för de syften som framgÄr av denna bestÀmmelse. BestÀmmelser om myndigheternas loggfunktioner behandlas vidare i avsnitt 6.6.2.
284
SOU 2018:63 |
Författningskommentar |
GrundlÀggande krav
ĂndamĂ„l
12 §
Personuppgifter fÄr bara behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl.
Personuppgifter fÄr inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket personuppgifterna ursprungligen behandlades.
BestÀmmelsen behandlas i avsnitt 6.4.1.
Paragrafen sÀtter, tillsammans med bestÀmmelserna i 13 och
14 §§, vissa ramar för Försvarsmaktens personuppgiftsbehandling inom lagens verksamhetsomrÄden.
BestÀmmelsen stÀller i första stycket krav pÄ att varje personupp- giftsbehandling ska ha koppling till de ÀndamÄl som anges i lagen, dvs. vara relevant i de verksamheter som utgör rÀttsliga grunder för personuppgiftsbehandling och Àr Àgnade att lösa Försvarsmaktens uppgifter enligt lag eller annan författning. Detta innebÀr att Ànda- mÄlen med en behandling av personuppgifter mÄste bestÀmmas redan nÀr uppgifterna samlas in.
Paragrafens andra stycke ger uttryck för den generella s.k. finali- tetsprincipen, dvs. att fortsatt behandling av personuppgifter inte fÄ ske för nÄgot ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket personuppgifterna ursprungligen behandlades. Vad som ska anses vara oförenliga ÀndamÄl mÄste avgöras frÄn fall till fall, men de ÀndamÄl som anges i lagen Àr att betrakta som förenliga för fortsatt behandling. Den innebÀr att den personuppgiftsansvarige under hela behandlingstiden mÄste hÄlla reda pÄ för vilka ÀndamÄl varje person- uppgift har samlats in. Se prop. 2006/07:46 s. 56 f.
285
Författningskommentar |
SOU 2018:63 |
Författningsenlig och korrekt behandling
13 §
Personuppgifter ska behandlas författningsenligt och pÄ ett korrekt sÀtt.
Paragrafen behandlas i avsnitt 6.4.1.
Personuppgifter fÄr enligt bestÀmmelsen bara behandlas om det Àr författningsenligt, dvs. enligt lag eller annan författning.
Vad som Àr ett korrekt sÀtt för behandling styrs emellertid inte bara av bestÀmmelser i författning och den praxis som utbildas kring dem. Tillsynsmyndighetens allmÀnna rÄd och uttalanden i frÄga om personuppgiftsbehandling har ocksÄ betydelse, liksom myndighe- ternas interna regler.
Personuppgifternas kvalitet
14 §
Personuppgifter som behandlas ska vara adekvata och relevanta i förhÄllande till ÀndamÄlen med behandlingen och, om det Àr nödvÀn- digt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas pÄ ett objektivt sÀtt med respekt för mÀnniskovÀrdet.
Fler personuppgifter fÄr inte behandlas Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen.
Paragrafen behandlas i avsnitt 6.4.1.
Enligt första stycket ska de behandlade uppgifterna vara adekvata och relevanta i förhĂ„llande till Ă€ndamĂ„let med behandlingen. Detta innebĂ€r bl.a. att ovidkommande uppgifter inte fĂ„r behandlas. En prövning av om en personuppgift Ă€r nödvĂ€ndig för behandlingen ska göras kontinuerligt av den behöriga myndigheten, inte bara nĂ€r uppgiften registreras eller pĂ„ annat sĂ€tt samlas in. Ăven vid en senare behandling ska personuppgiften behövas för just den behandlingen, annars Ă€r kravet pĂ„ adekvans och relevans inte uppfyllt. De person- uppgifter som behandlas behöver vara uppdaterade, om det Ă€r nödvĂ€ndigt. FrĂ„gan om det Ă€r nödvĂ€ndigt att de Ă€r uppdaterade fĂ„r avgöras med hĂ€nsyn till Ă€ndamĂ„len med behandlingen.
286
SOU 2018:63 |
Författningskommentar |
Enligt andra stycket ska uppgifter som beskriver en persons ut- seende ska utformas pÄ ett objektivt sÀtt med respekt för mÀn- niskovÀrdet. Syftet med bestÀmmelsen Àr att förhindra att personers utseende beskrivs i ordalag som kan vara krÀnkande för individen.
Utformningen av bestÀmmelsen innebÀr att myndigheten alltid Àr oförhindrad att, nÀr den fÄr ett tips frÄn allmÀnheten eller en sam- arbetspartner om en person som kan misstÀnkas för verksamhet som exempelvis innebÀr sÀkerhetshot mot Försvarsmaktens intressen, göra de anteckningar som Àr nödvÀndiga för att underlÀtta identi- fieringen av personen, t.ex. anteckningar om fysiska kÀnnetecken. Anteckningarna mÄste dock utformas pÄ ett objektivt sÀtt. I anslut- ning till dessa anteckningar fÄr Àven sÄdana kÀnsliga personuppgifter som avses i 15 § antecknas, om det Àr absolut nödvÀndigt för det arbete som tipset bör föranleda.
Enligt tredje stycket fÄr inte fler personuppgifter behandlas Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen. Vad som utgör nödvÀndig behandling fÄr avgöras av den personupp- giftsansvarige vid varje behandling. Att uppgifterna inte fÄr vara fler Àn nödvÀndigt understryker kravet pÄ att en fortlöpande bedömning görs.
Sammantaget mÄste det vid all behandling prövas om det gÄr att utelÀmna personuppgifter, eller i vart fall att endast anvÀnda upp- gifter som indirekt gÄr att hÀnföra till en viss person. Om fullstÀndig avidentifiering Àr ett fullgott alternativ till att anvÀnda direkta eller indirekta personuppgifter Àr förutsÀttningarna för att behandla per- sonuppgifterna inte uppfyllda.
KĂ€nsliga personuppgifter
15 §
Personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning fÄr inte behandlas.
NÀr uppgifter om en person behandlas fÄr de dock kompletteras med sÄdana uppgifter som avses i första stycket, om det Àr absolut nödvÀndigt för syftet med behandlingen.
287
Författningskommentar |
SOU 2018:63 |
Paragrafen reglerar tillsammans med 16 och 17 §§ i vilken utstrÀck- ning kÀnsliga personuppgifter fÄr behandlas. Att uppgifterna beteck- nas som kÀnsliga personuppgifter framgÄr av rubriken. Paragrafen behandlas i avsnitt 6.4.2.
Enligt första stycket fÄr personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning inte behandlas. Det innebÀr att det inte Àr tillÄtet att föra register över eller pÄ annat sÀtt göra anteckningar om enskilda pÄ den grunden att de utifrÄn etniskt ursprung, politiska Äsikter eller nÄgot annat i paragrafen angivet förhÄllande kan hÀnföras till en viss kate- gori av mÀnniskor.
En uppgift om utseende Àr normalt inte en kÀnslig personuppgift och den fÄr alltsÄ behandlas, med den begrÀnsning som följer av 14 § andra stycket. Om en sÄdan uppgift samtidigt innebÀr uppgift om etniskt ursprung omfattas den dock av förbudet. BestÀmmelsen hindrar inte att uppgifter om en persons nationalitet behandlas, eftersom en sÄdan uppgift normalt inte ger upplysning om etniskt ursprung (se prop. 2009/10:85 s. 325). Uppgifter om att en viss person kommer frÄn en viss vÀrldsdel eller ett visst land faller ocksÄ som regel utanför förbudet mot behandling av kÀnsliga person- uppgifter. Skulle en sÄdan personuppgift i det enskilda fallet t.ex. avslöja etniskt ursprung Àr dock förbudet tillÀmpligt.
I andra stycket görs undantag frĂ„n huvudregeln att kĂ€nsliga per- sonuppgifter inte fĂ„r behandlas. Uppgifter om en person som behand- las pĂ„ annan grund fĂ„r kompletteras med kĂ€nsliga personuppgifter, om det Ă€r absolut nödvĂ€ndigt för Ă€ndamĂ„let med behandlingen. Det innebĂ€r att om andra uppgifter om en person samlas in fĂ„r de kom- pletteras med uppgifter om exempelvis religiös övertygelse eller etniskt ursprung om det Ă€r av stor betydelse för syftet med behand- lingen. Med hĂ€nsyn till den restriktivitet som ligger i uttrycket âabsolut nödvĂ€ndigtâ mĂ„ste dock behovet av att göra sĂ„dana kom- pletteringar prövas noga i det enskilda fallet.
KÀnsliga personuppgifter kan ocksÄ förekomma i Försvarsmaktens verksamhet pÄ grund av att nÄgon har lÀmnat en sÄdan uppgift i ett tips eller förhör. Det kan vara frÄga om helt grundlösa pÄstÄenden. Eftersom Försvarsmakten inte kan hindra nÄgon frÄn att yttra sig
288
SOU 2018:63 |
Författningskommentar |
vare sig muntligen eller skriftligen pÄ dessa sÀtt, kan kÀnsliga per- sonuppgifter komma att behandlas. Behandlingen av den kÀnsliga personuppgiften omfattas i dessa fall av undantaget i andra stycket.
16§
Biometriska uppgifter fÄr behandlas endast om det Àr absolut nödvÀndigt för ÀndamÄlet för behandlingen. Genetiska uppgifter fÄr inte behandlas.
Paragrafen reglerar i vilken utstrÀckning biometriska uppgifter fÄr behandlas. Paragrafen behandlas i avsnitt 6.4.2.
Med biometriska uppgifter avses enligt definitionen i 1 kap. 8 § personuppgifter som rör en fysisk persons fysiska, fysiologiska eller beteendemÀssiga kÀnnetecken som tagits fram genom sÀrskild tek- nisk behandling och som möjliggör eller bekrÀftar unik identifiering av personen i frÄga.
BestÀmmelsen möjliggör anvÀndning av sÀrskild teknisk behand- ling för att bekrÀfta unik identifiering av en person. Det innebÀr att t.ex. fingeravtryck, ansiktsgeometri, röstigenkÀnning eller rörelse- mönster kan anvÀndas för att identifiera en person. Behovet av att behandla biometriska uppgifter mÄste prövas noga i ett enskilt Àrende.
Försvarsmakten fÄr inte behandla genetiska uppgifter. Uttrycket definieras i 1 kap. 8 §.
17 §
Vid sökning fÄr personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning an- vÀndas som sökbegrepp om det Àr absolut nödvÀndigt för syftet med behandlingen. Detsamma gÀller biometriska uppgifter.
Paragrafen reglerar i vilken utstrÀckning kÀnsliga personuppgifter fÄr anvÀndas som sökbegrepp. Paragrafen behandlas i avsnitt 6.4.2.
Paragrafen gÀller generellt, dvs. sÄvÀl personuppgifter som har gjorts gemensamt tillgÀngliga som personuppgifter som inte har det.
BestÀmmelsen gör det möjligt att utföra sökning i syfte att fÄ fram ett personurval grundat pÄ kÀnsliga personuppgifter, t.ex. i
289
Författningskommentar |
SOU 2018:63 |
syfte att fÄ fram ett urval av personer som t.ex. har viss politisk ÄskÄdning eller religiös övertygelse etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hÀlsa, sexualliv eller sexuell lÀggning, om sökningen Àr absolut nödvÀndig för de syften som utgör rÀttslig grund för Försvarsmaktens person- uppgiftsbehandlingar. Försvarsmakten kan behöva söka pÄ uppgifter som rör politiska Äsikter, religiös övertygelse eller etniskt ursprung, eftersom det ingÄr i Försvarsmaktens uppdrag att kartlÀgga sÄdan verksamhet som kan komma att hota Sveriges försvar och sÀkerhet. SÄdan sökning kan Àven behöva göras t.ex. för att förebygga, förhindra eller utreda angrepp mot svensk personal vid insatser utomlands. Kravet pÄ att det ska vara absolut nödvÀndigt att göra sökningen gör att utrymmet för sÄdana sökningar Àr begrÀnsat och att rutinmÀssiga sökningar pÄ kÀnsliga uppgifter inte Àr tillÄtna.
I vilken utstrÀckning det Àr tillÄtet att behandla nÄgon eller nÄgra av personuppgifterna i en sammanstÀllning av sÄdana uppgifter som sökningen resulterat i fÄr prövas mot huvudregeln om behandling av kÀnsliga personuppgifter i 15 §. RÀtten att göra sökning medför sÄledes inte en generell rÀtt att fortsÀtta att behandla uppgifterna.
Personnummer
18 §
Uppgifter om personnummer eller samordningsnummer fÄr behandlas bara nÀr det Àr klart motiverat med hÀnsyn till
1.ÀndamÄlet med behandlingen,
2.vikten av en sÀker identifiering, eller
3.nÄgot annat beaktansvÀrt skÀl.
Paragrafen reglerar i vilken omfattning personnummer fÄr behandlas vid Försvarsmakten. Paragrafen behandlas i avsnitt 6.4.3.
290
SOU 2018:63 |
Författningskommentar |
Om den som uppgifterna rör har offentliggjort uppgifterna eller lÀmnat sitt samtycke
19 §
Utan hinder av vad som föreskrivs i 15, 16 och 18 §§ fÄr person- uppgifter behandlas, om den som personuppgifterna rör har lÀmnat sitt uttryckliga samtycke eller pÄ ett tydligt sÀtt har offentliggjort uppgifterna.
Första stycket gÀller inte genetiska uppgifter.
Paragrafen behandlas i avsnitt 6.4.4.
Paragrafen ger Försvarsmakten möjlighet att behandla kÀnsliga personuppgifter, om den som personuppgifterna rör har lÀmnat sitt uttryckliga samtycke eller pÄ ett tydligt sÀtt har offentliggjort upp- gifterna. Samtyckessituationer kan exempelvis förekomma i Försvars- maktens militÀra sÀkerhetstjÀnst vid sÀkerhetsprövningar. Paragra- fen ger Àven Försvarsmakten möjlighet att behandla personuppgifter som tydligt har offentliggjorts genom att de exempelvis tillkÀnna- getts pÄ internet.
BestÀmmelsen gÀller inte genetiska uppgifter.
Behandling av personuppgifter i vissa fall
20 §
Hantering av information som innebÀr behandling av personuppgifter ska inte anses oförenlig med bestÀmmelserna i 1, 2, 4, 5, 7, 8 och
Paragrafen behandlas i avsnitt 6.4.5.
BestÀmmelsen innebÀr att hantering av information som innebÀr behandling av personuppgifter inte ska anses oförenlig med bestÀm- melserna om tillÄtlighet, ÀndamÄl, författningsenlig och korrekt behandling, personuppgifternas kvalitet och kÀnsliga personuppgifter i det skede av behandlingen dÄ det Ànnu inte har kunnat faststÀllas vilka personuppgifter som informationen innehÄller.
NÀr det stÄr klart att informationen innehÄller personuppgifter, samt vilka personuppgifterna Àr, ska Försvarsmakten behandla per- sonuppgifterna enligt övriga bestÀmmelser i lagen.
291
Författningskommentar |
SOU 2018:63 |
LÀngsta tid som personuppgifter fÄr behandlas
21 §
Personuppgifter som behandlas automatiserat fÄr inte behandlas under lÀngre tid Àn vad som behövs för nÄgot eller nÄgra av de ÀndamÄl som anges i
Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter fÄr behandlas under endast viss tid eller bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.
Paragrafen, som behandlas i avsnitt 6.4.6, innehÄller en generell bestÀm- melse om hur lÀnge Försvarsmakten fÄr behandla personuppgifter.
Enligt första stycket fÄr personuppgifter som behandlas automa- tiserat enligt bestÀmmelsen inte behandlas under lÀngre tid Àn vad som behövs för nÄgot eller nÄgra av de ÀndamÄl för vilka Försvars- makten fÄr behandla personuppgifter
BestÀmmelsen ger Àven stöd för fortsatt behandling av person- uppgifter i ett avslutat Àrende om uppgifterna bedöms ha ett allmÀnt vÀrde för exempelvis Försvarsmaktens försvarsunderrÀttelseverk- samhet eller militÀra sÀkerhetstjÀnst. En grundlÀggande förutsÀtt- ning för fortsatt behandling Àr att Försvarsmakten bedömer att upp- gifterna behöver finnas tillgÀngliga ytterligare en viss tid för nÄgot av de ÀndamÄl för vilka Försvarsmakten fÄr behandla personupp- gifter. NÀr det gÀller ostrukturerad underrÀttelseinformation kan det vara sÀrskilt svÄrt att bedöma det fortsatta behovet av behandling. Bedömningen mÄste innan bearbetningen Àr genomförd göras pÄ ett
292
SOU 2018:63 |
Författningskommentar |
mer övergripande plan och i större utstrÀckning utgÄ frÄn sanno- likheten av att personuppgifterna kan komma att behövas i verksam- heten Àn en reell bedömning av den enskilda uppgiften.
BestÀmmelsen hindrar inte att Försvarsmakten med stöd i annan författning arkiverar och bevarar allmÀnna handlingar eller att arkiv- material lÀmnas till en arkivmyndighet.
I andra stycket finns en upplysningsföreskrift om att regeringen eller den myndighet regeringen bestÀmmer kan meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter fÄr behandlas endast under viss tid eller bevaras för historiska, statistiska eller veten- skapliga ÀndamÄl.
UtlÀmnande av personuppgifter
22 §
Personuppgifter som behandlas med stöd av denna lag fÄr föras över till andra lÀnder eller internationella organisationer endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarsmakten ska kunna fullgöra sina uppgifter inom ramen för internationellt försvars- och sÀkerhetssamarbete.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall om det Àr nödvÀndigt för verksamheten vid Försvarsmakten.
Enligt paragrafen, som behandlas i avsnitt 6.4.7, fÄr personuppgifter föras över till andra lÀnder eller internationella organisationer endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvars- makten ska kunna fullgöra sina uppgifter inom ramen för det interna- tionella försvarsunderrÀttelse- och sÀkerhetssamarbetet. Paragrafen Àr Àgnad att uppfylla de krav pÄ nationell lagstiftning som dataskydds- konventionen stÀller nÀr det gÀller överföring av personuppgifter till andra lÀnder. Huruvida ett utlÀmnande ska ske eller inte mÄste i sin helhet avgöras efter en sekretessprövning och försvars- och sÀker- hetspolitiska övervÀganden.
Av bestÀmmelsen framgÄr vidare att begrÀnsningarna av möjlig- heterna till överföring gÀller sÄvida inte regeringen har meddelat föreskrifter eller beslut i enskilda fall om att överföring fÄr ske Àven
293
Författningskommentar |
SOU 2018:63 |
i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvars- makten.
23 §
Personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om det inte Àr olÀmpligt.
Elektroniskt utlÀmnande genom direktÄtkomst Àr tillÄtet bara i den utstrÀckning som anges i 3 kap.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begrÀnsning av möjligheten att lÀmna ut personuppgifter elektroniskt enligt första stycket.
Paragrafen, som behandlas i avsnitt 6.4.7, reglerar elektroniskt ut- lÀmnande.
BestÀmmelsens första stycke innebÀr att en större mÀngd person- uppgifter kan lÀmnas ut elektroniskt, om det inte Àr olÀmpligt.
I princip anses allt elektroniskt utlÀmnande som inte görs genom direktÄtkomst utlÀmnat pÄ medium för automatiserad behandling. SÄdant utlÀmnande kan göras pÄ mÄnga olika sÀtt. Det kan vara frÄga om att personuppgifter lÀmnas t.ex. via
Det har betydelse vem mottagaren Àr för frÄgan om det Àr olÀmpligt att lÀmna ut uppgifter elektroniskt. Som regel kan det inte anses vara olÀmpligt att lÀmna ut uppgifter pÄ det sÀttet till en myndighet (se prop. 2014/15:148 s. 113, jfr SOU 2015:39 s. 447 f.).
NÀr det gÀller utlÀmnande till andra Àn svenska myndigheter krÀvs en mer nyanserad bedömning med hÀnsyn till bl.a. innehÄllet i handlingen och vem (t.ex. en organisation) som Àr mottagare. Bedömer myndigheten att det finns risk för att personuppgifterna kan komma att missbrukas om de lÀmnas ut elektroniskt kan det var olÀmpligt att lÀmna ut dem pÄ detta sÀtt. Vid prövningen av om personupp- gifter bör lÀmnas ut elektroniskt bör Àven informationssÀkerheten, dvs. sÀkerheten hos mottagaren, vÀgas in.
Andra stycket anger att elektroniskt utlÀmnande genom direkt- Ätkomst endast Àr tillÄtet bara i den utstrÀckning som sÀrskilt anges i lagen (3 kap.
294
SOU 2018:63 |
Författningskommentar |
Tredje stycket upplyser om att regeringen kan meddela före- skrifter som begrÀnsar möjligheten att lÀmna ut personuppgifter elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst.
3 kap. Gemensamt tillgÀngliga uppgifter
Personuppgifter som fÄr göras gemensamt tillgÀngliga
1 §
Personuppgifter fÄr göras gemensamt tillgÀngliga om det behövs för nÄgot av de ÀndamÄl som anges i 2 kap. Personuppgifter som endast ett fÄtal personer har tillgÄng till anses inte som gemensamt tillgÀngliga.
Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.
I paragrafen anges genom en hÀnvisning till lagens syften vilka person- uppgifter som fÄr göras gemensamt tillgÀngliga. Paragrafen behand- las i avsnitt 6.5.1.
En grundlÀggande förutsÀttning för att personuppgifter ska anses vara gemensamt tillgÀngliga Àr att de kan anvÀndas gemensamt av flera, dvs. att fler Àn en person har Ätkomst till uppgifterna. Upp- gifter som endast ett fÄtal personer har rÀtt att ta del av bör dock inte anses som gemensamt tillgÀngliga.
Av andra stycket framgÄr att regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.
295
Författningskommentar |
SOU 2018:63 |
DirektÄtkomst
FörsvarsunderrÀttelseverksamhet
2 §
Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (2009:400) fÄr SÀkerhetspolisen och Försvarets radioanstalt medges direktÄtkomst till personuppgifter som utgör bearbetningsunderlag och analysresultat inom försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar.
I paragrafen anges vilka myndigheter som fÄr medges direktÄtkomst till uppgifter som har gjorts gemensamt tillgÀngliga i uppgiftssam- lingar och för vilka syften. Paragrafen behandlas i avsnitt 6.5.2.
BestÀmmelserna om sekretess till skydd för enskilda i försvars- underrÀttelsemyndigheternas verksamhet finns bl.a. i 38 kap. 4 § offentlighets- och sekretesslagen (2009:400). Sekretess gÀller för uppgift om en enskilds personliga och ekonomiska förhÄllanden, om det inte stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till honom eller henne lider skada eller men (omvÀnt skaderekvisit). BestÀmmelsen om direktÄtkomst innebÀr att sÄdana uppgifter som anges i sekretessbestÀmmelsen fÄr lÀmnas till SÀkerhetspolisen och Försvarets radioanstalt genom direkt- Ätkomst.
Bearbetningsunderlag och analysresultat bestÄr av information som Ànnu inte har bearbetats till underrÀttelserapporter.
3 §
Om det behövs för samarbetet mot terrorism eller vid svenskt del- tagande i annat internationellt underrÀttelse- och sÀkerhetssamarbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutat om det, en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § och som finns i uppgiftssamlingar.
I paragrafen regleras Försvarsmaktens möjlighet att medge utlÀndsk underrÀttelse- och sÀkerhetstjÀnst direktÄtkomst till vissa person- uppgifter. Paragrafen behandlas i avsnitt 6.5.2.
296
SOU 2018:63 |
Författningskommentar |
Möjligheten att dela information genom direktÄtkomst begrÀnsas till underrÀttelse- och sÀkerhetstjÀnster. UnderrÀttelse- och sÀker- hetstjÀnsterna fÄr endast medges direktÄtkomst om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat inter- nationellt underrÀttelse- och sÀkerhetssamarbete. DirektÄtkomst fÄr endast medges till personuppgifter som behandlas i Försvarsmaktens försvarsunderrÀttelseverksamhet och som finns i uppgiftssamlingar.
Innan Ätkomst medges till sÄdana personuppgifter mÄste Försvars- makten avgöra om det finns sakliga skÀl att lÄta utlÀndska under- rÀttelse- och sÀkerhetstjÀnster fÄ del av uppgifterna, dvs. om det finns behov av att lÀmna ut uppgifterna för att frÀmja bekÀmpningen av terrorism eller andra svenska intressen. Innan uppgifterna förs över ska Försvarsmakten dessutom bedöma om det finns rÀttsliga förutsÀttningar att lÀmna ut uppgifterna till utlÀndska mottagare, bl.a. om sekretess hindrar det.
DirektÄtkomst enligt paragrafen fÄr bara ske i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det.
DirektÄtkomst i andra fall
4 §
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela före- skrifter eller sÀrskilt beslut om vilka som i andra fall Àn de som anges i 2 § och 3 § fÄr ha direktÄtkomst till gemensamt tillgÀngliga uppgifter.
Paragrafen, som behandlas i avsnitt 6.5.2, Àr en upplysningsföre- skrift om att regeringen kan meddela föreskrifter eller i ett enskilt fall besluta att direktÄtkomst fÄr medges i andra fall Àn de som anges i 2 och 3 §§.
297
Författningskommentar |
SOU 2018:63 |
Ăvriga bestĂ€mmelser
5 §
Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela
1.ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten, och
2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.
Paragrafen, som behandlas i avsnitt 6.5.2, Àr en upplysningsföreskrift om att regeringen, eller den myndighet som regeringen bestÀmmer, kan meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten, och föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.
4 kap. Skyldighet som personuppgiftsansvarig
à tgÀrder för att sÀkerstÀlla författningsenlig behandling
1 §
Försvarsmakten ska, genom lÀmpliga tekniska och organisatoriska ÄtgÀrder, sÀkerstÀlla att behandlingen av personuppgifter Àr författnings- enlig och skydda rÀttigheterna för dem som uppgifterna rör.
Paragrafen behandlas i avsnitt 6.6.1. Den reglerar, tillsammans med 2 och 3 §§, de krav som stÀlls pÄ Försvarsmakten i frÄga om tekniska och organisatoriska ÄtgÀrder för att sÀkerstÀlla att behandlingen av personuppgifter Àr författningsenlig och att rÀttigheterna för de vars personuppgifter behandlas skyddas.
Tekniska och organisatoriska ÄtgÀrder för att skydda personupp- gifterna regleras i 4 §.
Organisatoriska ÄtgÀrder som avses i paragrafen Àr bl.a. att anta interna strategier för dataskydd, att informera och utbilda perso- nalen och att sÀkerstÀlla en tydlig ansvarsfördelning.
Vilka Ă„tgĂ€rder som bör vidtas fĂ„r avgöras efter en bedömning i enskilda fall. Vid den bedömningen har det betydelse bl.a. vilka per- sonuppgifter som ska behandlas, mĂ€ngden uppgifter och hur integ- ritetskĂ€nsliga de Ă€r. Ăven grunden för behandlingen och riskerna
298
SOU 2018:63 |
Författningskommentar |
med den ska beaktas. Mer lÄngtgÄende ÄtgÀrder kan behövas vid behandling som kan medföra sÀrskilda risker för integritetsintrÄng eller vid omfattande behandling av en stor mÀngd personuppgifter.
2 §
Försvarsmakten ska sÀkerstÀlla att det förs loggar över personuppgifts- behandling av gemensamt tillgÀngliga uppgifter. Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om loggar.
Paragrafen, som behandlas i avsnitt 6.6.2, reglerar Försvarsmaktens skyldighet att sÀkerstÀlla att det för gemensamt tillgÀngliga upp- gifter, dvs. frÀmst i automatiserade behandlingssystem, förs loggar över vissa typer av behandlingar.
Paragrafen gÀller enligt 11 § Àven för personuppgiftsbitrÀden som Försvarsmakten anlitar.
En logg Àr en behandlingshistorik som sparas under en viss tid. Det Àr en teknisk funktion i systemet som ska fungera automatiskt och som inte ska gÄ att Àndra eller pÄverka pÄ annat sÀtt. En logg bör vara sÄ detaljerad att den kan anvÀndas för att utreda felaktig eller obehörig anvÀndning av personuppgifter. Syftet med loggning Àr dels att verka förebyggande, dels att ge den personuppgiftsansvarige möjlighet att kontrollera anvÀndningen av systemen och att upptÀcka felaktig eller obehörig anvÀndning av personuppgifterna. Loggningen bör inte utformas sÄ att den medför onödiga intrÄng i anvÀndarnas integritet.
Krav pÄ loggning vid behandling av personuppgifter följer indirekt av de generella kraven pÄ lÀmpliga tekniska och organisatoriska Ät- gÀrder i bÄde 1 och 4 §§. Förevarande paragraf utgör dÀrmed ett mer preciserat krav pÄ loggning i vissa typer av system.
Med automatiserade behandlingssystem avses sÀrskilt för verk- samheten utformade eller anpassade behandlingssystem dÀr person- uppgifter behandlas mer eller mindre strukturerat, t.ex. verksam- hetsstöd i form av dokument- och Àrendehanteringssystem och olika typer av register och databaser. Standardprogram som Word, Outlook och Excel Àr i detta sammanhang inte att anse som automatiserade behandlingssystem och omfattas dÀrför inte av kravet pÄ loggning i
299
Författningskommentar |
SOU 2018:63 |
paragrafen. Inte heller lagringsytor som t.ex.
Paragrafen innebÀr att den personuppgiftsansvarige ska sÀker- stÀlla att de automatiserade behandlingssystem som anvÀnds möjlig- gör loggning i den utstrÀckning som krÀvs och att informationen faktiskt loggas. Av 1 § följer bl.a. krav pÄ logguppföljning. Logg- uppföljning ska göras systematiskt och Äterkommande och vara sÄvÀl förebyggande som reaktiv. Den personuppgiftsansvarige ska se till att det finns rutiner för logguppföljning.
I paragrafen finns en upplysning om att regeringen eller den myndighet regeringen bestÀmmer kan meddela föreskrifter om loggar.
3 §
TillgÄngen till personuppgifter ska alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Paragrafen, som behandlas i avsnitt 6.6.3, reglerar den interna till- gÄngen till personuppgifter för dem som arbetar vid Försvars- makten.
Paragrafen innebÀr att den personuppgiftsansvarige Àr skyldig att se till att anstÀllda och andra som deltar i arbetet bara ges tillgÄng till de personuppgifter som krÀvs för att de ska kunna fullgöra sina arbetsuppgifter. Inom Försvarsmakten behandlas en betydande mÀngd personuppgifter, ofta av integritetskÀnsligt slag, vilka inte bör spridas till nÄgon som inte Àr behörig att ta del av uppgifterna. Kravet pÄ behörighetsbegrÀnsning syftar till att minska den interna expo- neringen av personuppgifterna. Hur det bör göras fÄr bedömas med utgÄngspunkt i förutsÀttningarna och myndighetens behov. Faktorer som informationssystemens storlek och personuppgifternas natur ska beaktas.
Paragrafen reglerar inte bara Försvarsmaktens personals tillgÄng till personuppgifter. Vid direktÄtkomst Àr det den mottagande myn- digheten som ansvarar för att den egna personalen inte ges tillgÄng till fler personuppgifter i det informationssystem som Ätkomsten avser Àn vad arbetsuppgifterna motiverar.
300
SOU 2018:63 |
Författningskommentar |
SÀkerheten för personuppgifter
4 §
Försvarsmakten ska vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.
I paragrafen, som behandlas i avsnitt 6.6.4, regleras Försvarsmaktens skyldighet att genom lÀmpliga tekniska och organisatoriska ÄtgÀrder skydda de personuppgifter som behandlas.
Paragrafen gÀller enligt 11 § Àven för personuppgiftsbitrÀden som Försvarsmakten anlitar.
Enligt paragrafen ska Försvarsmakten vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas. Personuppgifterna ska sÀrskilt skyddas mot obehörig eller otillÄten behandling och mot förlust, förstöring eller annan oavsikt- lig skada. UpprÀkningen illustrerar vad skyddsÄtgÀrderna ska Ästad- komma, men den Àr inte uttömmande.
Skydd mot obehörig eller otillÄten behandling innebÀr att obehö- riga personer ska vÀgras Ätkomst till utrustning som anvÀnds vid behandling, att obehörig lÀsning, kopiering, Àndring eller radering av datamedier ska förhindras, att obehörig registrering av personupp- gifter och obehörig kÀnnedom om, Àndring eller radering av lagrade personuppgifter ska förhindras och att obehörig lÀsning, kopiering, Àndring eller radering av personuppgifter i samband med uppgifts- lÀmnande eller transport av databÀrare ska förhindras. à tgÀrder ska ocksÄ vidtas i syfte att sÀkerstÀlla att personer som Àr behöriga att anvÀnda ett informationssystem endast har tillgÄng till person- uppgifter som omfattas av deras behörighet. Den personuppgifts- ansvarige ska ocksÄ sÀkerstÀlla att det kan kontrolleras och faststÀllas till vilka myndigheter eller andra organ personuppgifter har över- förts och för vilka myndigheter eller andra organ uppgifterna har gjorts tillgÀngliga och att det i efterhand kan kontrolleras och fast- stÀllas vilka personuppgifter som förts in i ett informationssystem, nÀr det har gjorts och av vem.
Skydd mot förlust, förstöring eller annan oavsiktlig skada innebÀr bl.a. att de informationssystem som anvÀnds ska kunna ÄterstÀllas
301
Författningskommentar |
SOU 2018:63 |
vid störningar, att systemen ska fungera och att funktionsfel rappor- teras och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemen.
Som exempel pÄ organisatoriska skyddsÄtgÀrder kan nÀmnas fast- stÀllandet av en sÀkerhetspolicy, kontroller och uppföljning av sÀkerheten, utbildning i datasÀkerhet och information om vikten av att följa gÀllande sÀkerhetsrutiner.
Vilken skyddsnivÄ som Àr lÀmplig fÄr avgöras av Försvarsmakten frÄn fall till fall. Bedömningen Àr bl.a. beroende av vilka personupp- gifter som behandlas och hur integritetskÀnsliga de Àr.
Dataskyddsombud
5 §
Försvarsmakten ska inom myndigheten utse ett eller flera dataskydds- ombud och anmÀla till tillsynsmyndigheten nÀr dataskyddsombud utses och entledigas.
Paragrafen, som behandlas i avsnitt 6.6.5, reglerar Försvarsmaktens skyldighet att utse dataskyddsombud. Dataskyddsombud definieras i 1 kap. 8 §.
I paragrafen föreskrivs att ett eller flera dataskyddsombud ska utses. Dataskyddsombudet ska vara anstÀlld hos Försvarsmakten.
Försvarsmakten ska anmÀla till tillsynsmyndigheten nÀr data- skyddsombud utses och entledigas.
6 §
Dataskyddsombudet ska
1.sjÀlvstÀndigt kontrollera att Försvarsmakten behandlar person- uppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter,
2.informera och ge rÄd till Försvarsmakten och till dem som behand- lar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,
3.samrÄda med tillsynsmyndigheten, och
302
SOU 2018:63 |
Författningskommentar |
4.föra en förteckning över de kategorier av behandlingar som Försvars- makten ansvarar för och som Àr helt eller delvis automatiserade.
Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en för- teckning som avses i första stycket 4 ska innehÄlla.
Om Försvarsmakten bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas, ska dataskydds- ombudet anmÀla det till tillsynsmyndigheten.
I paragrafen, som behandlas i avsnitt 6.6.5, anges vilka uppgifter data- skyddsombud ska utföra.
I punkten 1 föreskrivs att dataskyddsombud sjÀlvstÀndigt ska kontrollera att den personuppgiftsansvarige behandlar personupp- gifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter. Det innebÀr att ombudet mÄste förvissa sig om att den personuppgiftsansvarige följer de bestÀmmelser som reglerar behandlingen av personuppgifter. Hur omfattande kontrollen bör vara fÄr avgöras efter omstÀndigheterna.
Dataskyddsombuden bör framför allt granska den faktiska han- teringen av personuppgifter. DÀrutöver bör ombuden exempelvis granska rutinerna för behandling av personuppgifter, hur tillgÄngen till personuppgifter hanteras och vilka krav pÄ utbildning och andra kvalifikationer som den personuppgiftsansvarige stÀller pÄ personal som behandlar personuppgifter. Ombudet bör pÄpeka eventuella brister för den personuppgiftsansvarige sÄ att denne blir medveten om dem och har möjlighet att vidta lÀmpliga ÄtgÀrder.
Kravet pÄ sjÀlvstÀndighet innebÀr att dataskyddsombud ska kunna utföra sina arbetsuppgifter pÄ ett oberoende sÀtt. Ombudet bör framför allt ha sÄdan stÀllning i organisationen att dess syn- punkter och rÄd tas pÄ allvar. De förutsÀtts ocksÄ ha goda kunskaper om regelverket om personuppgiftsbehandling.
I punkten 2 anges att dataskyddsombudet ska informera och ge rÄd till den personuppgiftsansvarige och de som behandlar person- uppgifter under dennes ledning om deras skyldigheter vid sÄdan behandling. Det handlar frÀmst om att göra den personuppgifts- ansvarige och medarbetarna medvetna om vad de i olika situationer Àr skyldiga att göra, t.ex. att ha sÀkerhetsrutiner och att dokumentera personuppgiftsbehandlingen. Det innebÀr inte att dataskyddsombuden
303
Författningskommentar |
SOU 2018:63 |
ska tala om för den personuppgiftsansvarige och medarbetarna hur de ska behandla personuppgifter i enskilda fall.
I punkten 3 föreskrivs att dataskyddsombudet ska samrÄda med tillsynsmyndigheten. Det innebÀr att ombuden vid tveksamheter av olika slag bör frÄga tillsynsmyndigheten om rÄd.
I punkten 4 föreskrivs att dataskyddsombudet ska föra en för- teckning över de kategorier av behandlingar som Försvarsmakten ansvarar för och som Àr helt eller delvis automatiserade Vad för- teckningarna ska innehÄlla föreskrivs av regeringen eller den myndig- het som regeringen bestÀmmer, vilket framgÄr av paragrafens andra stycke.
Av tredje stycket framgÄr att dataskyddsombudet ska anmÀla till tillsynsmyndigheten om Försvarsmakten bryter mot de bestÀmmel- ser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas.
PersonuppgiftsbitrÀden
7 §
Försvarsmakten fÄr, om det Àr lÀmpligt, anlita personuppgiftsbitrÀden för behandling av personuppgifter pÄ Försvarsmaktens vÀgnar. Innan ett personuppgiftsbitrÀde anlitas, ska Försvarsmakten försÀkra sig om att bitrÀdet kommer att vidta de lÀmpliga tekniska och organisatoriska ÄtgÀrder som krÀvs för att behandlingen av personuppgifter ska vara för- fattningsenlig och för att skydda rÀttigheterna för den som uppgifterna rör.
Av paragrafen framgÄr att personuppgiftsbitrÀden fÄr anlitas om det Àr lÀmpligt och vad Försvarsmakten mÄste göra innan ett person- uppgiftsbitrÀde anlitas. PersonuppgiftsbitrÀde definieras i 1 kap. 8 §. Paragrafen behandlas i avsnitt 6.6.6.
Försvarsmakten fÄr anlita personuppgiftsbitrÀden under förut- sÀttning att det Àr lÀmpligt. Om det Àr lÀmpligt fÄr avgöras med hÀnsyn bl.a. till vilka personuppgifter som ska behandlas. Paragrafen föreskriver att Försvarsmakten ska försÀkra sig om att bitrÀdet vidtar lÀmpliga tekniska och organisatoriska ÄtgÀrder för att personupp- giftsbehandlingen ska vara författningsenlig och för att skydda registre- rades rÀttigheter. Kraven omfattar inte bara sÀkerhetsÄtgÀrder, utan Àven andra tekniska och organisatoriska ÄtgÀrder. Skyldigheten
304
SOU 2018:63 |
Författningskommentar |
innebÀr att den personuppgiftsansvarige, innan ett personuppgifts- bitrÀde anlitas, bl.a. bör förhöra sig om hur bitrÀdet kommer att behandla uppgifterna tekniskt, hur arbetet Àr organiserat och vilket skydd personuppgifterna kommer att ha.
Som framgÄr av 11 § gÀller skyldigheten att logga behandling av personuppgifter enligt 2 § Àven för personuppgiftsbitrÀden som För- svarsmakten anlitar.
8 §
PersonuppgiftsbitrÀdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.
Paragrafen reglerar förhÄllandet mellan Försvarsmakten och person- uppgiftsbitrÀden. Den behandlas i avsnitt 6.6.6.
Det ska finnas ett skriftligt avtal eller en annan skriftlig överens- kommelse med personuppgiftsbitrÀden som reglerar personuppgifts- bitrÀdets behandling av personuppgifter för Försvarsmaktens rÀk- ning. Eftersom statliga myndigheter, som Àr enheter inom samma juridiska person, i rÀttslig mening inte kan ingÄ bindande avtal med varandra fÄr de trÀffa en skriftlig överenskommelse som reglerar behandlingen om en myndighet agerar personuppgiftsbitrÀde Ät en annan.
9 §
Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personuppgiftsbitrÀde utan skriftligt tillstÄnd av Försvarsmakten.
Av paragrafen, som behandlas i avsnitt 6.6.6, föreskrivs att person- uppgiftsbitrÀdet inte utan skriftligt tillstÄnd frÄn Försvarsmakten fÄr anlita ett annat personuppgiftsbitrÀde, ett s.k. underbitrÀde. Ett sÄdant tillstÄnd kan gÀlla bitrÀdets rÀtt att anlita underbitrÀden generellt eller i en specifik situation. Syftet med bestÀmmelsen Àr att Försvars- makten ska kÀnna till vilka personuppgiftsbitrÀden som behandlar personuppgifter för dennes rÀkning.
305
Författningskommentar |
SOU 2018:63 |
10 §
Ett personuppgiftsbitrÀde eller den eller de personer som arbetar under bitrÀdets eller Försvarsmaktens ledning ska behandla personuppgifter i enlighet med instruktioner frÄn Försvarsmakten.
Om ett personuppgiftsbitrÀde, i strid med Försvarsmaktens instruk- tioner, bestÀmmer ÀndamÄlen med och medlen för behandlingen, ska bitrÀdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.
Paragrafen, som behandlas i avsnitt 6.6.6, reglerar vad som gÀller vid behandling av personuppgifter hos ett personuppgiftsbitrÀde.
Av första stycket framgÄr den grundlÀggande principen att ett personuppgiftsbitrÀde och den eller de personer som arbetar under bitrÀdets ledning bara fÄr behandla personuppgifter i enlighet med instruktioner frÄn den personuppgiftsansvarige. Instruktionerna till bitrÀdet bör vara sÄ tydliga att det inte finns risk för otillÄten behand- ling. Instruktionerna kan exempelvis gÀlla hur tillgÄngen till per- sonuppgifter hos bitrÀdets anstÀllda ska begrÀnsas, om bitrÀdet ska anvÀnda kryptering vid kommunikation och andra ÄtgÀrder som krÀvs för dataskydd. Om det finns avvikande regler i annan lag- stiftning som föreskriver att personuppgiftsbitrÀdet Àr skyldig att utföra viss behandling, t.ex. att lÀmna ut allmÀnna handlingar, fÄr behandlingen utföras utan sÀrskilda instruktioner.
I andra stycket regleras det fallet dÀr personuppgiftsbitrÀdet i strid med den personuppgiftsansvariges instruktioner bestÀmmer Ànda- mÄlen med och medlen för behandlingen. PersonuppgiftsbitrÀdet Àr dÄ att anse som personuppgiftsansvarig för den behandlingen.
11 §
Det som sÀgs om Försvarsmaktens skyldigheter i
Paragrafen kopplar Försvarsmaktens skyldigheter i egenskap av per- sonuppgiftsansvarig till att gÀlla Àven för personuppgiftsbitrÀden. Vad som nÀrmare gÀller för personuppgiftsbitrÀdet framgÄr sÄledes av kommentarerna till
306
SOU 2018:63 |
Författningskommentar |
Att personuppgiftsbitrÀden ÄlÀggs vissa skyldigheter frÄntar inte Försvarsmakten dess ansvar. Försvarsmakten Àr, som framgÄr av kommentaren till 1 kap. 6 §, ansvarig för den behandling av person- uppgifter som personuppgiftsbitrÀdet utför pÄ myndighetens vÀgnar.
Den omstÀndigheten att personuppgiftsbitrÀden ges en direkt skyldighet att vidta vissa ÄtgÀrder innebÀr dock att tillsynsmyndig- heten vid brister kan vidta ÄtgÀrder mot bÄde personuppgiftsbitrÀdet och Försvarsmakten.
5 kap. Enskildas rÀttigheter
RĂ€tten till information
AllmÀn information
1 §
Försvarsmakten ska göra följande allmÀnna information tillgÀnglig.
1.Myndighetens identitet och kontaktuppgifter.
2.Uppgifter om dataskyddsombudet.
3.ĂndamĂ„len med behandlingen.
4.RÀtten enligt 3 § att begÀra att fÄ information om behandling av personuppgifter och att fÄ del av dem.
5.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen enligt 6 §.
I paragrafen, som behandlas i avsnitt 6.7.1, anges vilken allmÀn infor- mation som Försvarsmakten pÄ eget initiativ ska göra tillgÀnglig. Informationen, som riktar sig till allmÀnheten, kan göras tillgÀnglig t.ex. pÄ myndighetens webbplats.
Enligt punkten 1 ska myndighetens identitet och kontaktupp- gifter göras tillgÀngliga. Med det avses uppgifter om myndighetens namn, postadress, telefonnummer och
Försvarsmakten Àr enligt 4 kap. 5 § skyldig att utse dataskydds- ombud. Enligt punkten 2 ska uppgifter om dataskyddsombudet anges. Det behöver inte vara en kontaktuppgift direkt till dataskydds- ombudet, t.ex. hans eller hennes
I punkten 3 föreskrivs att ÀndamÄlen med behandlingen ska framgÄ. Det Àr inte ÀndamÄlen med behandlingen av personuppgifter i enskilda
307
Författningskommentar |
SOU 2018:63 |
fall som avses utan för vilka typer av ÀndamÄl som myndigheten behandlar personuppgifter. Det kan vara underrÀttelsearbete och ÄtgÀrder inom ett sÀrskilt verksamhetsomrÄde eller ÄtgÀrder som vidtas inom ramen för sÀkerhetsskyddsarbetet, exempelvis sÀkerhetspröv- ning och registerkontroll.
I punkterna 4 och 5 föreskrivs att Försvarsmakten ska upplysa om de rÀttigheter som enskilda har enligt 3 och 6 §§. Det gÀller rÀtten att fÄ information om behandlingen av personuppgifter och att fÄ del av dem samt rÀtten att begÀra rÀttelse, radering eller begrÀnsning av behandlingen.
Information som ska lÀmnas om uppgifterna samlas in frÄn personen sjÀlv
2 §
Om uppgifter om en person samlas in frÄn personen sjÀlv, ska Försvars- makten nÀr personuppgifterna erhÄlls, sjÀlvmant lÀmna följande informa- tion till den som uppgifterna rör:
1.uppgift om att det Àr Försvarsmakten som Àr personuppgifts- ansvarig för behandlingen,
2.uppgift om ÀndamÄlen med behandlingen, och
3.all övrig information som behövs för att den som uppgifterna rör ska kunna ta till vara sina rÀttigheter i samband med behandlingen, sÄsom information om mottagarna av uppgifterna, skyldighet att lÀmna uppgifter och rÀtten att ansöka om information och fÄ rÀttelse.
Paragrafen behandlas i avsnitt 6.7.2.
Den information som Försvarsmakten sjÀlvmant ska lÀmna en enskild dÄ personuppgifter samlats in frÄn den enskilde sjÀlv ska omfatta uppgifter om att det Àr Försvarsmakten som Àr ansvarig för personuppgiftsbehandlingen, ÀndamÄlen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rÀttigheter. Denna informationsskyldighet förutsÀtter att personuppgifter samlas in frÄn den som uppgifterna rör vid nÄgon form av direktkontakt med denne.
308
SOU 2018:63 |
Författningskommentar |
Information som ska lÀmnas efter begÀran
3 §
Försvarsmakten Àr skyldig att en gÄng per kalenderÄr till den som begÀr det lÀmna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökanden fÄ del av dem och fÄ följande skriftliga information.
1.Vilka personuppgifter om den sökande som behandlas.
2.VarifrÄn personuppgifterna kommer.
3.Den rÀttsliga grunden för behandlingen.
4.ĂndamĂ„len med behandlingen.
5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven i annat land eller internationella organisationer.
6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.
7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen enligt 6 §.
UtlÀmnande enligt första stycket behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.
En ansökan enligt första stycket ska göras skriftligen hos Försvars- makten och vara undertecknad av den sökande sjÀlv. Information enligt första stycket ska lÀmnas inom en mÄnad frÄn det att ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.
I paragrafen regleras enskildas rÀtt att en gÄng per kalenderÄr fÄ besked om huruvida deras personuppgifter behandlas, att fÄ del av sÄdana uppgifter och att fÄ viss information om behandlingen av dem.
Paragrafen behandlas i avsnitt 6.7.2.
I första stycket anges vilken information sökanden kan fÄ del av. I andra stycket undantas sÄdana personuppgifter som sökanden
har tagit del av frÄn skyldigheten att lÀmna ut uppgifterna. Sökanden ska dock informeras om att personuppgifterna i frÄga behandlas.
I 7 § föreskrivs att informationen ska lÀmnas till den uppgifterna rör avgiftsfritt en gÄng per Är och att begÀran dÀrutöver kan avslÄs.
Beslut att vÀgra att lÀmna information fÄr enligt 7 kap. 2 § över- klagas.
Av tredje stycket framgÄr kraven pÄ en begÀran om information.
309
Författningskommentar |
SOU 2018:63 |
BegrÀnsning av rÀtten till information
4 §
Informationsskyldigheten i 2 och 3 §§ gÀller inte i den utstrÀckning sekretess hindrar att uppgifterna lÀmnas ut.
Om förutsÀttningarna i första stycket Àr uppfyllda, Àr Försvars- makten inte skyldig att lÀmna ut skÀlen för beslut enligt första stycket eller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behand- lingen enligt 6 §.
I paragrafen, som behandlas i avsnitt 6.7.4, görs undantag frÄn För- svarsmaktens informationsskyldighet pÄ grund av sekretess.
MÄnga uppgifter som behandlas i Försvarsmaktens olika verk- samheter omfattas av utrikessekretess och försvarssekretess enligt 15 kap. 1 och 2 §§ offentlighets- och sekretesslagen (2009:400). Infor- mationsskyldigheten gÀller enligt första stycket inte i den utstrÀck- ning sekretess hindrar att uppgifterna lÀmnas ut till den som upp- gifterna rör.
Enligt andra stycket Àr Försvarsmakten inte heller skyldig att lÀmna ut skÀlen för beslut enligt första stycket och beslut i frÄga om rÀttelse, radering eller begrÀnsning av behandlingen om motiver- ingen skulle riskera att skada nÄgot av de intressen som sekretessen avser att skydda.
5 §
Informationsskyldigheten i 2 och 3 §§ gÀller inte personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller som utgör minnesanteckning eller liknande.
Informationsskyldigheten gÀller dock om uppgifterna har lÀmnats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller histo- riska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats lÀngre Àn ett Är.
310
SOU 2018:63 |
Författningskommentar |
I paragrafen, som behandlas i avsnitt 6.7.4, föreskrivs i första stycket undantag frÄn informationsskyldigheten i 2 och 3 §§ för person- uppgifter i viss typ av text. Undantaget gÀller dock enligt andra stycket inte i vissa fall.
Den personuppgiftsansvariges skyldighet att lÀmna personrelate- rad information enligt 2 och 3 §§ gÀller enligt första stycket inte för personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller text som utgör minnesanteckningar eller liknande. Med löpande text avses information som inte har struk- turerats sÄ att sökning av personuppgifter underlÀttas. Bild- och ljudupptagningar omfattas inte av undantaget eftersom det bara gÀller text. Med text som inte fÄtt sin slutliga utformning avses koncept eller utkast till protokoll, skrivelser, beslut eller liknande. Löpande text som Àr avsedd att tidvis Àndras eller kompletteras och dÀrför aldrig fÄr nÄgon slutlig utformning omfattas inte. Det sist- nÀmnda kan t.ex. vara diarier, journaler, register eller förteckningar som förs löpande. Med minnesanteckning avses anteckningar som utgör hjÀlpmedel för handlÀggningen, t.ex. promemorior och andra anteckningar eller upptagningar som har skapats bara för att för- bereda ett Àrende för avgörande och som inte har tillfört Àrendet nÄgot i sak.
Av andra stycket framgÄr att undantaget frÄn informationsskyl- digheten inte gÀller under vissa förhÄllanden. Sökanden har dÄ rÀtt att fÄ del av personuppgifter Àven i ofÀrdig löpande text eller som utgör minnesanteckningar och liknande. Undantaget gÀller inte om personuppgifterna har lÀmnats ut till tredje part. Tredje part definie- ras i 1 kap. 8 §. Det Àr den version av uppgifterna i t.ex. utkastet som lÀmnades till tredje part som informationsskyldigheten omfattar, Àven om utkastet dÀrefter har Àndrats.
Vidare gÀller inte undantaget om personuppgifterna behandlas enbart för vetenskapliga, statistiska eller historiska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse. Om ett Àrende har avslutats och utkastet eller minnesanteckningen har arkiverats eller om hand- lingarna endast anvÀnds vid statistikproduktion eller forskning ska alltsÄ information om behandlingen av personuppgifterna lÀmnas ut. Undantaget gÀller inte heller för löpande text som inte fÄtt sin slut- liga utformning, om personuppgifterna har behandlats under lÀngre tid Àn ett Är.
311
Författningskommentar |
SOU 2018:63 |
Det Àr tidpunkten för begÀran som Àr avgörande för bedöm- ningen av om nÄgot av undantagen gÀller. BÄde ettÄrsfristen och frÄgan om uppgifterna har lÀmnats ut till tredje part eller behandlas för vetenskapliga, statistiska eller historiska ÀndamÄl eller arkivÀnda- mÄl av allmÀnt intresse ska bedömas i förhÄllande till nÀr begÀran om information gjordes.
RÀtten till rÀttelse, radering och begrÀnsning av behandlingen
6 §
Försvarsmakten ska pÄ begÀran av den som personuppgiften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.
Försvarsmakten ska ocksÄ underrÀtta tredje part till vilken upp- gifterna har lÀmnats ut om ÄtgÀrden, om den som personuppgiften rör begÀr det eller om en mera betydande skada eller olÀgenhet för denne skulle kunna undvikas genom en underrÀttelse.
NÄgon underrÀttelse behöver dock inte lÀmnas, om sekretess hindrar det eller detta Àr omöjligt eller skulle innebÀra en oproportionerligt stor arbetsinsats.
Paragrafen reglerar enskildas rÀtt att begÀra rÀttelse, radering eller begrÀnsning av personuppgifter som inte har behandlats i enlighet med denna lag. Paragrafen behandlas i avsnitt 6.7.5.
Försvarsmakten ska enligt första stycket pÄ begÀran av den som personuppgiften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen. BegÀran kan framstÀllas formlöst.
Den personuppgiftsansvarige Àr sÄsom framgÄr av paragrafens andra stycke skyldig att underrÀtta tredje part om en korrigering, om den uppgiften rör begÀr det eller det kan antas att en underrÀttelse skulle kunna undvika mera betydande skada eller olÀgenhet för den registrerade. GÀller det dÀremot en mera harmlös uppgift bör det som regel krÀvas nÄgon sÀrskild omstÀndighet för att man ska kunna anta att en underrÀttelse skulle kunna undvika sÄdan skada eller
312
SOU 2018:63 |
Författningskommentar |
olÀgenhet som avses. Det mÄste vidare kunna antas att underrÀt- telsen medför att skadan eller olÀgenheten kan undvikas. Detta Àr inte fallet nÀr det Àr kÀnt att aktuella tredje mÀn redan har korrigerat uppgiften.
Enligt tredje stycket behöver inte nÄgon underrÀttelse lÀmnas, om sekretess hindrar det eller detta Àr omöjligt eller skulle innebÀra en oproportionerligt stor arbetsinsats. Vad som gÀller vid sekretess framgÄr av 4 §. Vad som Àr att betrakta som en oproportionerligt stor arbetsinsats fÄr bedömas frÄn fall till fall och vid eventuell granskning eller överprövning.
Beslut i frÄga om rÀttelse eller radering av personuppgifter eller begrÀnsning av behandlingen fÄr enligt 7 kap. 2 § överklagas.
Avgiftsfri information
7 §
Information enligt 1 och 2 §§ ska lÀmnas utan avgift.
Information och uppgifter enligt 3 § ska lÀmnas utan avgift en gÄng per kalenderÄr. Om nÄgon begÀr information och uppgifter enligt 3 § oftare Àn en gÄng per kalenderÄr, fÄr Försvarsmakten avslÄ begÀran.
Paragrafen behandlas i avsnitt 6.7.6.
Enligt första stycket ska information enligt 1 och 2 §§ lÀmnas utan att myndigheten har rÀtt att ta ut nÄgon avgift.
Försvarsmakten Àr Àven enligt 3 § skyldig att till var och som ansöker om det, en gÄng per kalenderÄr gratis lÀmna besked om huruvida personuppgifter som rör den sökande behandlas eller inte.
Enligt andra stycket i förevarande paragraf anges att rÀtten gÀller en begÀran per kalenderÄr och att Försvarsmakten har rÀtt att avslÄ ytterligare begÀran inom samma kalenderÄr. Försvarsmaktens pröv- ning i en sÄdan situation begrÀnsas till att kontrollera huruvida per- sonen har begÀrt uppgifter tidigare under Äret och att i sÄdant fall meddela ett avslagsbeslut.
313
Författningskommentar |
SOU 2018:63 |
6 kap. Tillsyn
Tillsyn över personuppgiftsbehandlingen
1 §
Den myndighet som regeringen bestÀmmer ska utöva allmÀn tillsyn över Försvarsmaktens behandling av personuppgifter enligt denna lag.
Tillsynsmyndigheten ska ge rÄd och stöd till Försvarsmakten om myndighetens skyldigheter enligt lag eller annan författning eller nÀr det i övrigt Àr pÄkallat.
I paragrafen, som behandlas i avsnitt 6.8.1, anges vilka tillsynsupp- gifter som tillsynsmyndigheten har.
Enligt första stycket ska tillsynsmyndigheten utöva allmÀn tillsyn över Försvarsmaktens behandling av personuppgifter enligt denna lag. Tillsynsmyndigheten avgör om och i vilken utstrÀckning tillsyn ska utövas och hur den ska genomföras. Myndigheten ska agera helt oberoende vid denna bedömning. Det innebÀr att ingen kan krÀva att myndigheten ska utöva tillsyn. Det finns inte heller nÄgra formella krav pÄ hur tillsynen ska utövas, med undantag frÄn vissa bestÀmmelser i denna lag och i föreskrifter som beslutas i anslutning till den.
Enligt andra stycket ska tillsynsmyndigheten ge rÄd och stöd till Försvarsmakten. Med rÄd avses bÄde muntliga och skriftliga rÄd. Det kan vara frÄga om allmÀnna rÄd eller rÄdgivning i ett enskilt fall. Myndigheten ska ge rÄd och stöd bara nÀr den anser att det Àr pÄkallat. RÄdgivningen och stödet ska avse personuppgiftsansvarigas och per- sonuppgiftsbitrÀdens skyldigheter. Paragrafen ger sÄledes ingen rÀtt för personuppgiftsansvariga eller personuppgiftsbitrÀden att avkrÀva tillsynsmyndigheten rÄd i en konkret frÄga.
Befogenheter
Utredningsbefogenheter
2 §
Tillsynsmyndigheten har rÀtt att av Försvarsmakten eller ett person- uppgiftsbitrÀde pÄ begÀran fÄ
1. tillgÄng till personuppgifter som behandlas,
314
SOU 2018:63 |
Författningskommentar |
2.upplysningar om och dokumentation av behandlingen av person- uppgifter och sÀkerhets- och skyddsÄtgÀrder,
3.tilltrÀde till sÄdana lokaler som har anknytning till behandling av personuppgifter och tillgÄng till utrustning och andra medel för behand- ling av personuppgifter, och
4.det bitrÀde och annan information som behövs för tillsynen.
I paragrafen, som behandlas i avsnitt 6.8.1, regleras tillsynsmyndig- hetens undersökningsbefogenheter.
Enligt punkten 1 har tillsynsmyndigheten rÀtt att för sin tillsyn frÄn personuppgiftsansvariga och personuppgiftsbitrÀden fÄ tillgÄng till alla personuppgifter som behandlas. Det innebÀr att Försvars- makten eller personuppgiftsbitrÀdet ska lÀmna de begÀrda upp- gifterna Àven om det krÀver viss efterforskning. Att tillsynsmyndig- heten har rÀtt fÄ del av annan information framgÄr av punkterna 2 och 4 och rÀtten att fÄ hjÀlp med de sökningar i behandlingssystem som myndigheten begÀr regleras i punkten 4.
Punkten 2 ger tillsynsmyndigheten rÀtt till upplysningar och dokumentation som rör behandling av personuppgifter och vilka ÄtgÀrder som har vidtagits för att sÀkerstÀlla skyddet för personupp- gifterna och registrerades personliga integritet. Dokumentationen kan avse exempelvis de register eller loggar som Försvarsmakten och personuppgiftsbitrÀden ska föra. Det kan ocksÄ vara frÄga om upp- lysningar om och dokumentation av vilka organisatoriska och tek- niska ÄtgÀrder som vidtogs i samband med att en viss typ av behand- ling pÄbörjades. Det kan ocksÄ röra sig om ÄtgÀrder för att garantera sÀkerheten, begrÀnsa den interna tillgÄngen till uppgifter eller för- hindra otillÄten behandling och ÄtgÀrder för intern kontroll. Infor- mationen kan avse exempelvis ÀndamÄlen med behandlingen eller loggar och förteckningar över pÄgÄende behandlingar
I punkten 3 regleras tillsynsmyndighetens rÀtt att fÄ tilltrÀde till lokaler som den personuppgiftsansvarige eller personuppgiftsbitrÀdet disponerar och tillgÄng till utrustning och andra medel som anvÀnds för behandlingen. RÀtten till tilltrÀde ger inte myndigheten rÀtt att bereda sig tilltrÀde med tvÄng. Om Försvarsmakten eller personupp- giftsbitrÀdet inte samarbetar kan tillsynsmyndigheten utnyttja sina korrigerande befogenheter enligt 4 §. Tillsynsmyndigheten har ocksÄ rÀtt att fÄ tillgÄng till den utrustning som tillsynsobjektet disponerar
315
Författningskommentar |
SOU 2018:63 |
för att, med hjÀlp av tillsynsobjektets personal, kunna göra nödvÀn- diga körningar och kontroller. Punkten ger sÄledes inte tillsyns- myndigheten nÄgon rÀtt att fritt anvÀnda tillsynsobjektets utrust- ning och datasystem.
Punkten 4 klargör att tillsynsmyndigheten har rÀtt att fÄ hjÀlp med de sökningar och andra ÄtgÀrder som den begÀr och annan nödvÀndig hjÀlp för att genomföra tillsynen. Paragrafen ger Àven tillsynsmyndigheten rÀtt till information som inte har direkt anknyt- ning till behandlingen av personuppgifter men som myndigheten behöver för tillsynen. Informationen kan avse t.ex. verksamhets- planer som beskriver den verksamhet dÀr behandlingen utförs.
Förebyggande befogenheter
3 §
Om tillsynsmyndigheten bedömer att det finns risk för att person- uppgifter kan komma att behandlas i strid med lag eller annan författ- ning, ska myndigheten genom rÄd, rekommendationer eller pÄpekan- den försöka förmÄ Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att minska den risken.
Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning. Detsamma gÀller om pÄgÄende behandling riskerar att stÄ i strid med lag eller annan författning.
Paragrafen reglerar tillsynsmyndighetens befogenheter i det före- byggande arbetet. De ÄtgÀrder som regleras i paragrafen Àr inte av tvingande karaktÀr. De syftar till att förebygga att framtida behand- ling av personuppgifter stÄr i strid med de bestÀmmelser som gÀller för behandlingen. Paragrafen behandlas i avsnitt 6.8.1.
Av första stycket framgÄr att tillsynsmyndigheten, om det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska försöka förmÄ Försvarsmakten eller personuppgiftsbitrÀdet att minska risken genom rÄd, rekommenda- tioner och pÄpekanden. RÄdgivning kan avse sÄvÀl formella som infor- mella samrÄd.
Av 4 § första stycket 1 framgÄr att de befogenheter som rÀknas upp i detta stycke Àven i vissa fall fÄr anvÀndas i korrigerande syfte.
316
SOU 2018:63 |
Författningskommentar |
Enligt andra stycket fÄr tillsynsmyndigheten skriftligen varna för att viss behandling riskerar att strida mot meddelade föreskrifter. En varning Àr en mer ingripande ÄtgÀrd Àn ÄtgÀrderna i första stycket. Varning kan anvÀndas för att visa hur allvarligt tillsynsmyndigheten ser pÄ den planerade behandlingen. Tillsynsmyndigheten behöver inte ha uttömt andra förebyggande ÄtgÀrder innan den utfÀrdar en varning. En varning ska vara skriftlig. Av den ska framgÄ varför till- synsmyndigheten bedömt att behandlingen inte kommer att vara författningsenlig. à tgÀrden Àr inte tvingande, men den som fÄr en varning förvÀntas rÀtta sig efter den.
Korrigerande befogenheter
4 §
Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Försvarsmakten eller ett personuppgiftsbitrÀde annars inte fullgör sina skyldigheter, fÄr tillsyns- myndigheten
1.genom sÄdana ÄtgÀrder som anges i 3 § första stycket försöka förmÄ Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldig- heter, eller
2.förelÀgga Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter.
Om ett förelÀggande utfÀrdas ska det av förelÀggandet framgÄ nÀr ÄtgÀrderna senast ska vara genomföras och, om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas.
I paragrafen regleras tillsynsmyndighetens korrigerande befogen- heter. Paragrafen, behandlas i avsnitt 6.8.1.
Tillsynsmyndigheten har möjlighet att successivt anvÀnda olika medel och dÀrigenom stegra pÄtryckningarna pÄ den som inte sjÀlv- mant rÀttar sig.
De korrigerande befogenheterna fÄr anvÀndas om tillsynsmyn- digheten konstaterar att Försvarsmakten eller ett personuppgifts- bitrÀde behandlar personuppgifter i strid med lag eller annan författ- ning eller annars inte fullgör sina skyldigheter. De skyldigheter som
317
Författningskommentar |
SOU 2018:63 |
avses Ă€r framför allt skyldigheterna i 4 kap. Försvarsmakten har emellertid ocksĂ„ skyldigheter enligt 2 och 5 kap. och skyldighet att bistĂ„ tillsynsmyndigheten enligt 2 §. Ăven underlĂ„tenhet att fullgöra sĂ„dana skyldigheter med anledning av denna lag omfattas.
Enligt första stycket punkten 1 fÄr tillsynsmyndigheten anvÀnda de förebyggande befogenheter som regleras i 3 § första stycket för att försöka förmÄ den Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter.
Enligt punkten 2 fÄr tillsynsmyndigheten förelÀgga Försvars- makten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att viss behandling av personuppgifter ska bli författningsenlig eller för att de ska uppfylla andra skyldigheter.
I andra stycket föreskrivs att det av ett förelÀggande alltid ska framgÄ nÀr ÄtgÀrderna senast ska vara genomförda och, om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas. Om förelÀggandet avser rÀttelse, radering eller begrÀnsning av behandlingen bör det framgÄ av före- lÀggandet vad som ska göras. Tillsynsmyndigheten fÄr emellertid över- lÄta Ät Försvarsmakten eller personuppgiftsbitrÀdet att avgöra vilka ÄtgÀrder som ska vidtas för att behandlingen ska bli författningsenlig eller hur andra skyldigheter ska fullgöras.
7 kap. SkadestÄnd och överklagande
SkadestÄnd
1 §
Den personuppgiftsansvarige ska ersÀtta den som personuppgiften rör för skada och krÀnkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.
ErsÀttningsskyldigheten kan i den utstrÀckning det Àr skÀligt, jÀmkas om den personuppgiftsansvarige visar att felet inte berodde pÄ denne.
I paragrafen regleras den registrerades rÀtt till skadestÄnd för behand- ling av personuppgifter i strid med regelverket. Paragrafen behandlas i avsnitt 6.9.1.
318
SOU 2018:63 |
Författningskommentar |
RÀtt till skadestÄnd kan uppkomma pÄ grund av behandling i strid med bestÀmmelser i denna lag eller föreskrifter som meddelats i anslutning till lagen. För att den personuppgiftsansvarige ska bli ersÀttningsskyldig mÄste den som personuppgifterna rör bevisa att behandling av dennes personuppgifter stÄtt i strid med reglerna om personuppgiftsbehandling och att den har skadat eller krÀnkt honom eller henne.
Den registrerades rÀtt till skadestÄnd omfattar ersÀttning för krÀnkning av den personliga integriteten och för annan skada. Med skada avses personskada, sakskada eller ren förmögenhetsskada.
Det Àr bara sÄdan krÀnkning eller skada som behandlingen av personuppgifter har vÄllat som ersÀtts.
ErsÀttningen för krÀnkning fÄr uppskattas efter skÀlighet mot bak- grund av samtliga omstÀndigheter i det enskilda fallet. SÄdana fak- torer som att det funnits risk för otillbörlig spridning av kÀnsliga eller felaktiga personuppgifter eller att den som uppgifterna rör genom behandlingen av uppgifterna drabbats av beslut eller ÄtgÀrder som kunnat fÄ negativa följder hör till det som bör beaktas.
Ăverklagande
2 §
Försvarsmaktens beslut om information som ska lÀmnas enligt 5 kap. 2 och 3 §§ och om rÀttelse och underrÀttelse till tredje part enligt 5 kap. 6 § fÄr överklagas hos allmÀn förvaltningsdomstol. Andra beslut enligt denna lag fÄr inte överklagas.
PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.
I paragrafen, som behandlas i avsnitt 6.9.2, anges i vilken utstrÀck- ning beslut som Försvarsmakten har fattat i egenskap av person- uppgiftsansvarig fÄr överklagas.
Vilka typer av beslut som fÄr överklagas rÀknas upp i första stycket. UpprÀkningen Àr uttömmande.
Besluten ska överklagas till allmÀn förvaltningsdomstol. Vilken förvaltningsdomstol som Àr behörig framgÄr av 14 § förordningen (1977:937) om allmÀnna förvaltningsdomstolars behörighet m.m. För prövning i kammarrÀtten krÀvs det enligt andra stycket prövnings- tillstÄnd.
319
Författningskommentar |
SOU 2018:63 |
3 §
Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrÀtt.
Paragrafen upplyser om att beslut i frÄgor om sekretess överklagas direkt till kammarrÀtt som första överprövningsinstans.
8.2Förslaget till lag om behandling av personuppgifter vid Försvarets radioanstalt
1 kap. AllmÀnna bestÀmmelser
Syftet med lagen
1 §
Syftet med denna lag Àr att sÀkerstÀlla att Försvarets radioanstalt kan behandla personuppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling.
BestÀmmelsen motsvarar 1 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
Lagens tillÀmpningsomrÄde
2 §
Denna lag gÀller vid behandling av personuppgifter i Försvarets radio- anstalts försvarsunderrÀttelse- och utvecklingsverksamhet samt informa- tionssÀkerhetsverksamhet.
Paragrafen reglerar, tillsammans med 3 §, lagens tillÀmpningsomrÄde. Den behandlas i avsnitt 6.2.3.
I paragrafen anges att lagen gÀller vid Försvarets radioanstalts för- svarsunderrÀttelse- och utvecklingsverksamhet samt informations- sÀkerhetsverksamhet.
320
SOU 2018:63 |
Författningskommentar |
Vad som Àr en personuppgift och behandling av personuppgifter definieras i 8 §.
Omfattningen av Försvarets radioanstalts uppgifter, som framgÄr av
3 §
Lagen gÀller vid sÄdan behandling av personuppgifter som Àr helt eller delvis automatiserad eller om uppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.
BestÀmmelsen motsvarar 1 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
4 §
Vid behandling av personuppgifter enligt denna lag gÀller inte lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskydds- förordning.
Paragrafen behandlas i avsnitt 6.2.4. Den upplyser om att lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskydds- förordning inte gÀller nÀr personuppgifter behandlas enligt lagen om behandling av personuppgifter vid Försvarets radioanstalt.
FörhÄllandet till annan reglering
5 §
BestÀmmelserna i denna lag ska inte tillÀmpas i den utstrÀckning det skulle inskrÀnka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lÀmna ut personuppgifter.
321
Författningskommentar |
SOU 2018:63 |
BestÀmmelsen motsvarar 1 kap. 5 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
Personuppgiftsansvar
6 §
Försvarets radioanstalt Àr personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under myndighetens ledning eller pÄ dess vÀgnar.
BestÀmmelsen motsvarar 1 kap. 6 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
7 §
Försvarets radioanstalt fÄr vara gemensamt personuppgiftsansvarig med annan endast i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
BestÀmmelsen motsvarar 1 kap. 7 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
Definitioner
8 §
I paragrafen, som behandlas i avsnitt 6.2.9, definieras vissa uttryck som anvÀnds i lagen.
BestÀmmelsen motsvarar 1 kap. 8 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.
322
SOU 2018:63 |
Författningskommentar |
2 kap. Behandling av personuppgifter
RĂ€ttsliga grunder
FörsvarsunderrÀttelseverksamhet
1 §
Personuppgifter fÄr behandlas i Försvarets radioanstalts försvarsunder- rÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet.
Paragrafen behandlas i avsnitt 6.3.6.
Paragrafen anger de ÀndamÄl för vilka personuppgifter fÄr an- vÀndas i försvarsunderrÀttelseverksamheten genom en hÀnvisning till lagen (2000:130) om försvarsunderrÀttelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet.
Enligt 1 § lagen om försvarsunderrÀttelseverksamhet ska för- svarsunderrÀttelseverksamhet bedrivas till stöd för svensk
Försvarets radioanstalt ska enligt 2 § förordningen (2008:923) om signalspaning i försvarsunderrÀttelsetjÀnst bedriva den verksam- het som avses i 1 § lagen om signalspaning i försvarsunderrÀttelse- verksamhet. Enligt andra stycket i den paragrafen fÄr signalspaning i försvarsunderrÀttelseverksamhet ske endast i syfte att kartlÀgga
1.yttre militÀra hot mot landet,
2.förutsÀttningar för svenskt deltagande i fredsfrÀmjande och humanitÀra insatser eller hot mot sÀkerheten för svenska intressen vid genomförandet av sÄdana insatser,
3.strategiska förhÄllanden avseende internationell terrorism och annan grov grÀnsöverskridande brottslighet som kan hota vÀsentliga nationella intressen,
4.utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av pro- dukter med dubbla anvÀndningsomrÄden och av tekniskt bistÄnd,
5.allvarliga yttre hot mot samhÀllets infrastruktur,
323
Författningskommentar |
SOU 2018:63 |
6.konflikter utomlands med konsekvenser för internationell sÀkerhet,
7.frÀmmande underrÀttelseverksamhet mot svenska intressen, eller
8.frÀmmande makts agerande eller avsikter av vÀsentlig betydelse för svensk
Regeringen bestÀmmer försvarsunderrÀttelseverksamhetens inrikt- ning.
FörsvarsunderrÀttelseverksamheten ska identifiera och redovisa eller ge förvarning om sÄdana förÀndringar i omvÀrldslÀget att detta kan ligga till grund för politiska beslut om totalförsvarets anpassning pÄ kort eller lÄng sikt.
I underrÀttelseverksamhetens natur ligger att det inte gÄr att pÄ förhand göra tydliga avgrÀnsningar av vilka uppgifter som mÄste inhÀm- tas för att nÄ det slutliga mÄlet att Ästadkomma de underrÀttelser som uppdragsgivarna efterfrÄgar. InhÀmtad information kan motivera inhÀmtning av annan information som man frÄn början inte kÀnde till. Det kan ocksÄ uppkomma behov av att vÀrdera trovÀrdigheten hos kÀllor, som man heller inte kÀnde till frÄn början. Verksamheten kan ocksÄ gÄ ut pÄ att leta efter företeelser och hot som Àr okÀnda men som antas existera.
2 §
De personuppgifter som Försvarets radioanstalt har fÄtt tillgÄng till i myndighetens försvarsunderrÀttelseverksamhet fÄr fortsatt behandlas i den verksamheten, om det behövs för att fullgöra den.
Vad som sÀgs i första stycket gÀller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslutning till lagen.
Paragrafen behandlas i avsnitt 6.3.6.
Av paragrafens första stycke framgÄr att de personuppgifter som Försvarets radioanstalt har fÄtt tillgÄng till i myndighetens försvars- underrÀttelseverksamhet som huvudregel fÄr fortsatt behandlas i den verksamheten om det behövs för att fullgöra den. Detta möjliggör för Försvarets radioanstalt att i sin försvarsunderrÀttelseverksamhet behandla Àldre information, inklusive personuppgifter, för att förstÄ
324
SOU 2018:63 |
Författningskommentar |
och bedöma den underrÀttelsemÀssiga relevansen av den information som inhÀmtas.
En förutsÀttning för behandlingen enligt bestÀmmelsen Àr att den inte strider mot nÄgon annan bestÀmmelse i lagen eller tillhörande förordning. Detta tydliggörs i andra stycket.
3 §
Personuppgifter som behandlas med stöd av 1 och 2 §§ fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs
1.i verksamhet hos berörda myndigheter som avses i 2 § första stycket lagen (2000:130) om försvarsunderrÀttelseverksamhet,
2.med anledning av samarbete med andra lÀnder och internatio- nella organisationer enligt lagen (2000:130) om försvarsunderrÀttelse- verksamhet och lagen (2008:717) om signalspaning i försvarsunder- rÀttelseverksamhet,
3.i utvecklingsverksamheten för de ÀndamÄl som anges i 4 §,
4.i informationssÀkerhetsverksamheten för de ÀndamÄl som anges i 6 §, eller
5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
Paragrafen behandlas i avsnitt 6.3.6.
Paragrafen ger uttryckligt rÀttsligt stöd för vidarebehandling av inhÀmtad information pÄ fem sÀrskilt angivna omrÄden. Behandling av personuppgifter pÄ dessa omrÄden har sÄledes genom denna bestÀmmelse uttryckligt rÀttsligt stöd (preciserad finalitet) utöver vad som framgÄr av den allmÀnt formulerade bestÀmmelsen i 2 kap. 11 § andra stycket (finalitetsprincipen).
Utvecklingsverksamhet
4 §
Om det Àr nödvÀndigt för försvarsunderrÀttelseverksamheten fÄr För- svarets radioanstalt behandla personuppgifter för att
1.följa förÀndringar i signalmiljön i omvÀrlden, den tekniska utveck- lingen och signalskyddet, och
325
Författningskommentar |
SOU 2018:63 |
2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.
Paragrafen behandlas i avsnitt 6.3.7.
Paragrafen anger de ÀndamÄl för vilka personuppgifter fÄr behandlas hos Försvarets radioanstalt i sÄdan utvecklingsverksamhet som bedrivs i syfte att skapa förutsÀttningar för försvarsunderrÀttelseverksamhe- ten. Motsvarande ÀndamÄl finns i 2 § tredje stycket lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet.
5 §
Personuppgifter som behandlas med stöd av 4 § fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs
1.med anledning av samverkan med annan avseende utvecklings- verksamhet,
2.med anledning av samarbete om utvecklingsverksamhet med andra lÀnder eller internationella organisationer enligt lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet,
3.i försvarsunderrÀttelseverksamheten för de ÀndamÄl som anges i
1och 2 §§,
4.i informationssÀkerhetsverksamhet för de ÀndamÄl som anges i
6§, eller
5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.
BestÀmmelsen behandlas i avsnitt 6.3.7.
PÄ samma sÀtt som 2 kap. 3 § innebÀr rÀttsligt stöd för vidare- behandling av uppgifter inom försvarsunderrÀttelseverksamheten, innebÀr denna bestÀmmelse rÀttsligt stöd för vidarebehandling av upp- gifter inom utvecklingsverksamheten pÄ fem sÀrskilt angivna omrÄ- den (preciserad finalitet). Paragrafen ger sÄledes stöd för behandling utöver den allmÀnt formulerade bestÀmmelsen i 2 kap. 11 andra stycket (finalitetsprincipen).
326
SOU 2018:63 |
Författningskommentar |
InformationssÀkerhetsverksamhet
6 §
Personuppgifter fÄr behandlas i Försvarets radioanstalts informations- sÀkerhetsverksamhet om det Àr nödvÀndigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som Àr av betydelse för Sveriges sÀkerhet. Uppgiften att lÀmna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.
Paragrafen behandlas i avsnitt 6.3.8.
Paragrafen utgör rÀttslig grund för behandling av personupp- gifter i Försvarets radioanstalts informationssÀkerhetsverksamhet. Behandling fÄr ske om det Àr nödvÀndigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som Àr av betydelse för Sveriges sÀkerhet. Försvarets radioanstalts upp- drag att vara statens resurs för teknisk informationssÀkerhet och stöd för myndigheter och statligt Àgda bolag pÄ informationssÀker- hetsomrÄdet och ha hög kompetens framgÄr av 4 § förordningen med instruktion för Försvarets radioanstalt. Verksamheten bedrivs bl.a. med stöd av det tekniska detekterings- och varningssystemet (TDV) som beskrivs i avsnitt 3.3.6.
7 §
Personuppgifter som behandlas med stöd av 6 § fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs
1.i verksamhet hos den som tar emot uppgifter om informations- sÀkerhet,
2.med anledning av samverkan med andra som verkar pÄ infor- mationssÀkerhetsomrÄdet sÄvÀl inom som utom landet i den utstrÀck- ning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det,
3.i försvarsunderrÀttelseverksamheten för de ÀndamÄl som anges i 1 § andra stycket 5 och 7 lagen (2008:717) om signalspaning i försvars- underrÀttelseverksamhet, eller
4.i utvecklingsverksamheten för de ÀndamÄl som anges i 4 §.
327
Författningskommentar |
SOU 2018:63 |
Paragrafen behandlas i avsnitt 6.3.8.
PÄ samma sÀtt som 2 kap. 3 § innebÀr rÀttsligt stöd för vidare- behandling av uppgifter inom försvarsunderrÀttelseverksamheten och 2 kap. 5 § inom utvecklingsverksamheten, innebÀr denna bestÀm- melse rÀttsligt stöd för vidarebehandling av uppgifter inom informa- tionssÀkerhetsverksamheten pÄ fyra sÀrskilt angivna omrÄden (precise- rad finalitet). Paragrafen ger sÄledes stöd för behandling utöver den allmÀnt formulerade bestÀmmelsen i 2 kap. 11 andra stycket (finalitets- principen).
Ăvriga rĂ€ttsliga grunder
8 §
Personuppgifter som utgör allmÀnt tillgÀnglig information fÄr behand- las av Försvarets radioanstalt om det Àr nödvÀndigt för de ÀndamÄl som anges i 1, 2, 4 och 6 §§.
BestÀmmelsen behandlas i avsnitt 6.3.9.
För att kunna bedriva en effektiv försvarsunderrÀttelseverksam- het behöver Försvarets radioanstalt, utöver den information som den inhÀmtar genom signalspaning, ocksÄ ha god tillgÄng till allmÀnt tillgÀnglig information. DÀrigenom kan den pÄ hemligt sÀtt inhÀm- tade informationen pÄ ett bÀttre sÀtt Àn annars sÀttas in i sitt rÀtta sammanhang. Av intresse hÀr Àr information som utgörs av person- uppgifter som kan pÄtrÀffas vid sökning pÄ internet eller vid sök- ningar i öppna databaser. Uppgifterna kan vara gratis eller tillgÀng- liga pÄ kommersiell grund. Gemensamt för dem Àr att de Àr publikt tillgÀngliga. Det kan röra sig om uppgifter som t.ex. en abonnent pÄ ett eller annat sÀtt har samtyckt att uppgifterna finns med i elek- troniska telefonkataloger eller förteckningar över
328
SOU 2018:63 |
Författningskommentar |
9 §
Försvarets radioanstalt fÄr behandla personuppgifter för vetenskapliga, statistiska eller historiska ÀndamÄl inom denna lags tillÀmpningsomrÄde.
BestÀmmelsen behandlas i avsnitt 6.3.10.
Genom bestÀmmelsen ges Försvarets radioanstalt möjlighet att behandla personuppgifter för historiska, statistiska eller vetenskap- liga ÀndamÄl.
10 §
Försvarets radioanstalt fÄr behandla personuppgifter för att kunna till- godose enskildas behov av information enligt 5 kap. och kunna lÀmna information vid tillsyn eller kontroll.
BestÀmmelsen behandlas i avsnitt 6.3.11.
Sökningar i uppgiftssamlingar och sammanstÀllningar av upp- gifter som Àr nödvÀndig för att Försvarets radioanstalt ska kunna tillmötesgÄ tillsynsmyndighetens och kontrollmyndighetens behov innebÀr att personuppgifter behandlas. BestÀmmelsen utgör rÀttslig grund för denna personuppgiftsbehandling samt för den personupp- giftsbehandling som krÀvs för att tillmötesgÄ enskildas rÀtt till informa- tion enligt 5 kap. Enskildas rÀttigheter behandlas vidare i avsnitt 6.7.3. Tillsynsmyndighetens verksamhet behandlas i avsnitt 6.8.
GrundlÀggande krav
ĂndamĂ„l
11 §
Personuppgifter fÄr bara behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl.
Personuppgifter fÄr inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket personuppgifterna ursprungligen behandlades.
BestÀmmelsen behandlas i avsnitt 6.4.1.
329
Författningskommentar |
SOU 2018:63 |
Paragrafen sÀtter, tillsammans med bestÀmmelserna i 12 och
13 §§, vissa ramar för Försvarets radioanstalts personuppgiftsbehand- ling inom lagens verksamhetsomrÄden.
BestÀmmelsen motsvarar 2 kap. 12 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.
Författningsenlig och korrekt behandling
12 §
Personuppgifter ska behandlas författningsenligt och pÄ ett korrekt sÀtt.
BestÀmmelsen motsvarar 2 kap. 13 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.
Personuppgifternas kvalitet
13 §
Personuppgifter som behandlas ska vara adekvata och relevanta i för- hÄllande till ÀndamÄlen med behandlingen och, om det Àr nödvÀndigt, uppdaterade.
Uppgifter som beskriver en persons utseende ska utformas pÄ ett objektivt sÀtt med respekt för mÀnniskovÀrdet.
Fler personuppgifter fÄr inte behandlas Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen.
BestÀmmelsen motsvarar 2 kap. 14 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.
330
SOU 2018:63 |
Författningskommentar |
KĂ€nsliga personuppgifter
14 §
Personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning fÄr inte behandlas.
NÀr uppgifter om en person behandlas fÄr de dock kompletteras med sÄdana uppgifter som avses i första stycket, om det Àr absolut nödvÀndigt för syftet med behandlingen.
BestÀmmelsen motsvarar 2 kap. 15 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.
15§
Biometriska uppgifter fÄr behandlas endast om det Àr absolut nödvÀndigt för ÀndamÄlet för behandlingen. Genetiska uppgifter fÄr inte behandlas.
BestÀmmelsen motsvarar 2 kap. 16 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.
16 §
Vid sökning fÄr personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning anvÀndas som sökbegrepp om det Àr absolut nödvÀndigt för syftet med behandlingen. Detsamma gÀller biometriska uppgifter.
BestÀmmelsen motsvarar 2 kap. 17 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.
331
Författningskommentar |
SOU 2018:63 |
Om den som uppgifterna rör har offentliggjort uppgifterna
17 §
Utan hinder av vad som föreskrivs i 14 och 15 §§ fÄr personuppgifter behandlas, om den som personuppgifterna rör pÄ ett tydligt sÀtt offent- liggjort uppgifterna.
Första stycket gÀller inte genetiska uppgifter.
BestÀmmelsen motsvarar 2 kap. 19 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.
Behandling av personuppgifter i vissa fall
18 §
Hantering av information som innebÀr behandling av personuppgifter ska inte anses oförenlig med bestÀmmelserna i 1, 4, 6, 8 och
BestÀmmelsen motsvarar 2 kap. 20 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.
LÀngsta tid som personuppgifter fÄr behandlas
19 §
Personuppgifter som behandlas automatiserat fÄr inte behandlas under lÀngre tid Àn vad som behövs för nÄgot eller nÄgra av de ÀndamÄl som anges i
Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter fÄr behandlas under endast viss tid eller bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.
332
SOU 2018:63 |
Författningskommentar |
BestÀmmelsen motsvarar 2 kap. 21 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
UtlÀmnande av personuppgifter
20 §
Personuppgifter som behandlas med stöd av denna lag fÄr föras över till en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet eller en internationell organisation endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för internatio- nellt försvarsunderrÀttelse- och sÀkerhetssamarbete.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvarets radioanstalt.
Enligt paragrafen, som behandlas i avsnitt 6.4.8, fÄr personuppgifter föras över till en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet eller en internationell organisation endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för internationellt försvarsunderrÀttelse- och sÀkerhetssamarbete.
Paragrafen Àr Àgnad att uppfylla de krav pÄ nationell lagstiftning som dataskyddskonventionen stÀller nÀr det gÀller överföring av per- sonuppgifter till andra lÀnder. Huruvida ett utlÀmnande ska ske eller inte mÄste i sin helhet avgöras efter en sekretessprövning och för- svars- och sÀkerhetspolitiska övervÀganden.
Av bestÀmmelsen framgÄr vidare att begrÀnsningarna av möjlig- heterna till överföring gÀller sÄvida inte regeringen har meddelat föreskrifter eller beslut i enskilda fall om att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvarets radioanstalt.
333
Författningskommentar |
SOU 2018:63 |
21 §
Personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direkt- Ätkomst om regeringen har meddelat föreskrifter eller sÀrskilt beslutat om det.
Elektroniskt utlÀmnande genom direktÄtkomst Àr tillÄtet bara i den utstrÀckning som anges i 3 kap.
Paragrafen behandlas i avsnitt 6.4.8.
Enligt första stycket fÄr personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst om regeringen har meddelat föreskrifter eller sÀrskilt beslutat om det.
3 kap. Gemensamt tillgÀngliga uppgifter
Personuppgifter som fÄr göras gemensamt tillgÀngliga
1 §
Personuppgifter fÄr göras gemensamt tillgÀngliga och behandlas i upp- giftssamlingar om det behövs för nÄgot av de ÀndamÄl som anges i 2 kap.
Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.
I paragrafen, behandlas i avsnitt 6.5.1, anges i första stycket genom en hÀnvisning till lagens syften vilka personuppgifter som fÄr göras gemensamt tillgÀngliga och behandlas i uppgiftssamlingar. Genom hÀnvisningen omfattas Àven informationssÀkerhetsverksamheten.
En grundlÀggande förutsÀttning för att personuppgifter ska anses vara gemensamt tillgÀngliga Àr att de kan anvÀndas gemensamt av flera, dvs. att fler Àn en person har Ätkomst till uppgifterna. Upp- gifter som endast ett fÄtal personer har rÀtt att ta del av bör dock inte anses som gemensamt tillgÀngliga. Vad som utgör en uppgiftssam- ling definieras i 1 kap. 8 §.
Av andra stycket framgÄr att regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter eller besluta i enskilda
334
SOU 2018:63 |
Författningskommentar |
fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.
I förslaget till förordning finns i 3 kap.
DirektÄtkomst
FörsvarsunderrÀttelseverksamhet
2 §
Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (2009:400) fÄr SÀkerhetspolisen och Försvarsmakten medges direktÄtkomst till per- sonuppgifter som utgör analysresultat inom försvarsunderrÀttelseverk- samheten och som finns i uppgiftssamlingar.
Paragrafen, som behandlas i avsnitt 6.5.3, motsvarar 3 kap. 2 § i för- slaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
DirektÄtkomst enligt bestÀmmelsen Àr begrÀnsad till person- uppgifter som utgör analysresultat inom försvarsunderrÀttelseverk- samheten och som finns i uppgiftssamlingar.
3 §
Om det behövs för samarbetet mot terrorism eller för annat inter- nationellt sÀkerhetssamarbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § och som finns i uppgiftssamlingar.
Paragrafen motsvarar 3 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
335
Författningskommentar |
SOU 2018:63 |
InformationssÀkerhetsverksamhet
4 §
Om det behövs för samarbetet mot
Paragrafen behandlas i avsnitt 6.5.3.
DirektÄtkomst för de omrÄden som omfattas av bestÀmmelsen Àr begrÀnsad till personuppgifter som behandlas inom Försvarets radio- anstalts informationssÀkerhetsverksamhet och som finns i uppgifts- samlingar.
DirektÄtkomst i andra fall
5 §
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela före- skrifter eller sÀrskilt beslut om vilka som i andra fall Àn i
Paragrafen, som behandlas i avsnitt 6.5.3, Àr en upplysningsföre- skrift om att regeringen kan meddela föreskrifter eller i ett enskilt fall besluta att direktÄtkomst fÄr medges i andra fall Àn de som anges i
Ăvriga bestĂ€mmelser
6 §
Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela
1.ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten, och
2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.
336
SOU 2018:63 |
Författningskommentar |
Paragrafen, som behandlas i avsnitt 6.5.3, Àr en upplysningsföreskrift om att regeringen, eller den myndighet som regeringen bestÀmmer, kan meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten, och föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.
4 kap. Skyldighet som personuppgiftsansvarig
à tgÀrder för att sÀkerstÀlla författningsenlig behandling
1 §
Försvarets radioanstalt ska, genom lÀmpliga tekniska och organisato- riska ÄtgÀrder, sÀkerstÀlla att behandlingen av personuppgifter Àr för- fattningsenlig och skydda rÀttigheterna för dem som uppgifterna rör.
BestÀmmelsen motsvarar 4 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
2 §
Försvarets radioanstalt ska sÀkerstÀlla att det i uppgiftsamlingar förs loggar över personuppgiftsbehandling. Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter om loggar.
BestÀmmelsen motsvarar 4 kap. 2 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten, med den skillnaden att bestÀmmelsen för Försvarets radioanstalt avser uppgiftssamlingar. För en kommentar hÀnvisas till bestÀmmelsen i lag om behandling av personuppgifter vid Försvarsmakten.
337
Författningskommentar |
SOU 2018:63 |
3 §
TillgÄngen till personuppgifter ska alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
BestÀmmelsen motsvarar 4 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
SÀkerheten för personuppgifter
4 §
Försvarets radioanstalt ska vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.
BestÀmmelsen motsvarar 4 kap. 4 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
Dataskyddsombud
5 §
Försvarets radioanstalt ska inom myndigheten utse ett eller flera data- skyddsombud och anmÀla dessa till tillsynsmyndigheten nÀr data- skyddsombud utses och entledigas.
BestÀmmelsen motsvarar 4 kap. 5 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
338
SOU 2018:63 |
Författningskommentar |
6 §
Dataskyddsombudet ska
1.sjÀlvstÀndigt kontrollera att Försvarets radioanstalt behandlar personuppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter,
2.informera och ge rÄd till Försvarets radioanstalt och till dem som behandlar personuppgifter under myndighetens ledning om deras skyl- digheter vid behandling av personuppgifter,
3.samrÄda med tillsynsmyndigheten, och
4.föra en förteckning över de kategorier av behandlingar som Försva- rets radioanstalt ansvarar för och som Àr helt eller delvis automatiserade.
Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en för- teckning som avses i första stycket 4 ska innehÄlla.
Om Försvarets radioanstalt bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas, ska data- skyddsombudet anmÀla det till tillsynsmyndigheten.
BestÀmmelsen motsvarar 4 kap. 6 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
PersonuppgiftsbitrÀden
7 §
Försvarets radioanstalt fÄr, om det Àr lÀmpligt, anlita personuppgifts- bitrÀden för behandling av personuppgifter pÄ Försvarets radioanstalts vÀgnar. Innan ett personuppgiftsbitrÀde anlitas, ska Försvarets radio- anstalt försÀkra sig om att bitrÀdet kommer att vidta de lÀmpliga tekniska och organisatoriska ÄtgÀrder som krÀvs för att behandlingen av person- uppgifter ska vara författningsenlig och för att skydda rÀttigheterna för den som uppgifterna rör.
BestÀmmelsen motsvarar 4 kap. 7 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
339
Författningskommentar |
SOU 2018:63 |
8 §
PersonuppgiftsbitrÀdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.
BestÀmmelsen motsvarar 4 kap. 8 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
9 §
Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personuppgiftsbitrÀde utan skriftligt tillstÄnd av Försvarets radioanstalt.
BestÀmmelsen motsvarar 4 kap. 9 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
10 §
Ett personuppgiftsbitrÀde eller den eller de personer som arbetar under bitrÀdets eller Försvarets radioanstalts ledning ska behandla person- uppgifter i enlighet med instruktioner frÄn Försvarets radioanstalt.
Om ett personuppgiftsbitrÀde, i strid med Försvarets radioanstalts instruktioner, bestÀmmer ÀndamÄlen med och medlen för behandlingen, ska bitrÀdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.
BestÀmmelsen motsvarar 4 kap. 10 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.
340
SOU 2018:63 |
Författningskommentar |
11 §
Det som sÀgs om Försvarets radioanstalts skyldigheter i
BestÀmmelsen motsvarar 4 kap. 11 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
5 kap. Enskildas rÀttigheter
RĂ€tten till information
AllmÀn information
1 §
Försvarets radioanstalt ska göra följande allmÀnna information till- gÀnglig.
1.Myndighetens identitet och kontaktuppgifter.
2.Uppgifter om dataskyddsombudet.
3.ĂndamĂ„len med behandlingen.
4.RÀtten enligt 2 § att begÀra att fÄ information om behandling av personuppgifter och att fÄ del av dem.
5.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen enligt 5 §.
BestÀmmelsen motsvarar 5 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
Information som ska lÀmnas efter begÀran
2 §
Försvarets radioanstalt Àr skyldig att utan onödigt dröjsmÄl en gÄng per kalenderÄr till den som begÀr det lÀmna skriftligt besked om personupp- gifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökanden fÄ del av dem och fÄ följande skriftliga information.
1. Vilka personuppgifter om den sökande som behandlas.
341
Författningskommentar |
SOU 2018:63 |
2.VarifrÄn personuppgifterna kommer.
3.Den rÀttsliga grunden för behandlingen.
4.ĂndamĂ„len med behandlingen.
5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven
iannat land eller internationella organisationer.
6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.
7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen enligt 5 §.
UtlÀmnande enligt första stycket behöver inte omfatta person- uppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.
En ansökan enligt första stycket ska göras skriftligen hos Försvarets radioanstalt och vara undertecknad av den sökande sjÀlv. Information enligt första stycket ska lÀmnas inom en mÄnad frÄn det att ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.
BestÀmmelsen motsvarar 5 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
BegrÀnsning av rÀtten till information
3 §
Informationsskyldigheten i 2 § gÀller inte i den utstrÀckning sekretess hindrar att uppgifterna lÀmnas ut.
Om förutsÀttningarna i första stycket Àr uppfyllda, Àr Försvarets radioanstalt inte skyldig att lÀmna ut skÀlen för beslut enligt första stycket eller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behandlingen enligt 5 §.
BestÀmmelsen motsvarar 5 kap. 4 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
342
SOU 2018:63 |
Författningskommentar |
4 §
Informationsskyldigheten i 2 § gÀller inte personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller som utgör minnesanteckning eller liknande.
Informationsskyldigheten gÀller dock om uppgifterna har lÀmnats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller historiska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats lÀngre Àn ett Är.
BestÀmmelsen motsvarar 5 kap. 5 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
RÀtten till rÀttelse, radering och begrÀnsning av behandlingen
5 §
Försvarets radioanstalt ska pÄ begÀran av den som personuppgiften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.
Försvarets radioanstalt ska ocksÄ underrÀtta tredje part till vilken uppgifterna har lÀmnats ut om ÄtgÀrden, om den som personuppgiften rör begÀr det eller om en mera betydande skada eller olÀgenhet för denne skulle kunna undvikas genom en underrÀttelse.
NÄgon underrÀttelse behöver dock inte lÀmnas, om sekretess hindrar det eller detta Àr omöjligt eller skulle innebÀra en oproportionerligt stor arbetsinsats.
BestÀmmelsen motsvarar 5 kap. 6 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
343
Författningskommentar |
SOU 2018:63 |
Avgiftsfri information
6 §
Information enligt 1 § ska lÀmnas utan avgift.
Information och uppgifter enligt 2 § ska lÀmnas utan avgift en gÄng per kalenderÄr. Om nÄgon begÀr information och uppgifter enligt 2 § oftare Àn en gÄng per kalenderÄr, fÄr Försvarets radioanstalt avslÄ begÀran.
BestÀmmelsen motsvarar 5 kap. 7 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
6 kap. Tillsyn
Tillsyn över personuppgiftsbehandlingen
1 §
Den myndighet som regeringen bestÀmmer ska utöva allmÀn tillsyn över Försvarets radioanstalts behandling av personuppgifter enligt denna lag.
Tillsynsmyndigheten ska ge rÄd och stöd till Försvarets radioanstalt om myndighetens skyldigheter enligt lag eller annan författning eller nÀr det i övrigt Àr pÄkallat.
BestÀmmelsen motsvarar 6 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
2 §
I lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet finns det sÀrskilda bestÀmmelser om kontroll som rör Försvarets radio- anstalts behandling av personuppgifter i försvarsunderrÀttelse- och ut- vecklingsverksamheten.
Paragrafen behandlas i avsnitt 6.8.1 och upplyser om att det i lagen om signalspaning i försvarsunderrÀttelseverksamhet finns sÀrskilda bestÀmmelser om kontroll. Enligt 10 § nÀmnda lag ska kontrollen
344
SOU 2018:63 |
Författningskommentar |
sÀrskilt avse granskning av sökbegrepp, förstöring av uppgifter samt rapportering.
Befogenheter
Utredningsbefogenheter
3 §
Tillsynsmyndigheten har rÀtt att av Försvarets radioanstalt eller ett personuppgiftsbitrÀde pÄ begÀran fÄ
1.tillgÄng till personuppgifter som behandlas,
2.upplysningar om och dokumentation av behandlingen av person- uppgifter och sÀkerhets- och skyddsÄtgÀrder,
3.tilltrÀde till sÄdana lokaler som har anknytning till behandling av personuppgifter och tillgÄng till utrustning och andra medel för behand- ling av personuppgifter, och
4.det bitrÀde och annan information som behövs för tillsynen.
BestÀmmelsen motsvarar 6 kap. 2 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
Förebyggande befogenheter
4 §
Om tillsynsmyndigheten bedömer att det finns risk för att person- uppgifter kan komma att behandlas i strid med lag eller annan författ- ning, ska myndigheten genom rÄd, rekommendationer eller pÄpekan- den försöka förmÄ Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att minska den risken.
Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning. Detsamma gÀller om pÄgÄende behandling riskerar att stÄ i strid med lag eller annan författning.
345
Författningskommentar |
SOU 2018:63 |
BestÀmmelsen motsvarar 6 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
Korrigerande befogenheter
5 §
Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Försvarets radioanstalt eller ett personuppgiftsbitrÀde annars inte fullgör sina skyldigheter, fÄr tillsynsmyndigheten
1.genom sÄdana ÄtgÀrder som anges i 4 § första stycket försöka förmÄ Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, eller
2.förelÀgga Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att full- göra andra skyldigheter.
Om ett förelÀggande utfÀrdas ska det av förelÀggandet framgÄ nÀr ÄtgÀrderna senast ska vara genomförda och, om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas.
BestÀmmelsen motsvarar 6 kap. 4 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
7 kap. SkadestÄnd och överklagande
SkadestÄnd
1 §
Den personuppgiftsansvarige ska ersÀtta den som personuppgiften rör för skada och krÀnkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.
ErsÀttningsskyldigheten kan i den utstrÀckning det Àr skÀligt, jÀmkas om den personuppgiftsansvarige visar att felet inte berodde pÄ denne.
346
SOU 2018:63 |
Författningskommentar |
BestÀmmelsen motsvarar 7 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
Ăverklagande
2 §
Försvarets radioanstalts beslut om information som ska lÀmnas enligt 5 kap. 2 § och om rÀttelse och underrÀttelse till tredje part enligt 5 kap. 5 § fÄr överklagas hos allmÀn förvaltningsdomstol. Andra beslut enligt denna lag fÄr inte överklagas.
PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.
BestÀmmelsen motsvarar 7 kap. 2 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.
3 §
Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrÀtt.
Paragrafen upplyser om att beslut i frÄgor om sekretess överklagas direkt till kammarrÀtt som första överprövningsinstans.
347
Författningskommentar |
SOU 2018:63 |
8.3Förslaget till lag om Àndring i lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning
1 kap.
3 §
BestÀmmelserna i 2 § gÀller inte i verksamhet som omfattas av
1.lagen (2019:000) om behandling av personuppgifter vid För- svarsmakten,
2.lagen (2019:000) om behandling av personuppgifter vid Försva- rets radioanstalt, eller
3.6 kap. polisdatalagen (2010:361).
Paragrafen behandlas i avsnitt 6.12.1 och innebÀr att hÀnvisningarna till
8.4Förslaget till lag om Àndring i brottsdatalagen (2018:1177)
1 kap.
4 §
Lagen gÀller inte vid SÀkerhetspolisens behandling av personuppgifter som rör nationell sÀkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell sÀkerhet frÄn SÀkerhetspolisen.
Lagen gÀller inte heller i sÄdan verksamhet som omfattas av lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten.
Paragrafen behandlas i avsnitt 6.12.2 och innebÀr att hÀnvisningen till
348
SOU 2018:63 |
Författningskommentar |
8.5Förslaget till lag om Àndring i lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet
2 a §
InhÀmtning fÄr inte avse signaler mellan en avsÀndare och mottagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmtningen, ska upptagningen eller uppteckningen för- störas sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats.
Första stycket tillÀmpas inte i frÄga om signaler som utvÀxlas autonomt mellan tekniska system i sÄdana fall dÀr signalerna inte innehÄller personuppgifter. Första stycket tillÀmpas inte heller i frÄga om övriga signaler mellan sÀndare och mottagare pÄ utlÀndska stats- fartyg, statsluftfartyg eller militÀra fordon.
Paragrafen behandlas i avsnitt 6.12.3. I andra stycket första meningen har införts ett nytt undantag frÄn bestÀmmelserna i första stycket. Det nya undantaget avser signaler som utvÀxlas autonomt mellan tekniska system i sÄdana fall dÀr signalerna inte innehÄller person- uppgifter.
12 a §
I lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt finns ytterligare bestÀmmelser om behandlingen av in- hÀmtade personuppgifter.
Paragrafen behandlas i avsnitt 6.12.3 och innebÀr att hÀnvisningen till
349
Bilaga 1
Kommittédirektiv 2017:42
Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt
Beslut vid regeringssammantrÀde den 27 april 2017
Sammanfattning
En sÀrskild utredare ska göra en översyn av den lagstiftning som gÀller för personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt. Syftet med uppdraget Àr att sÀkerstÀlla att lagstiftningen Àr anpassad till den tekniska och legala utvecklingen.
Utredaren ska bl.a.
âąanalysera om rĂ„dande lagstiftning Ă€r Ă€ndamĂ„lsenlig för Försvars- maktens och Försvarets radioanstalts verksamheter och om den Ă€r tillrĂ€cklig i frĂ„ga om skyddet för enskildas personliga integritet,
âąsĂ€rskilt utreda hur personuppgifter behandlas i Försvarets radio- anstalt i samband med att myndigheten stödjer andra myndigheter och statligt Ă€gda bolag inom informationssĂ€kerhetsomrĂ„det, och
âąlĂ€mna de författningsförslag som behövs och Ă€r lĂ€mpliga.
Uppdraget ska redovisas senast den 31 maj 2018.
GrundlÀggande bestÀmmelser om skyddet av personuppgifter
En vÀl avvÀgd balans Àr nödvÀndig mellan Ä ena sidan skyddet för den personliga integriteten och Ä andra sidan upprÀtthÄllandet av statens sÀkerhet. Den snabba tekniska utvecklingen skapar möjligheter att pÄ ett effektivt sÀtt inhÀmta information som Àr av betydelse för att
351
Bilaga 1 |
SOU 2018:63 |
kunna skydda landet mot yttre hot, men innebÀr samtidigt utma- ningar för skyddet av den personliga integriteten. IntrÄng i den personliga integriteten mÄste alltid stÄ i rimlig proportion till det intresse som ska tillgodoses med behandlingen av personuppgifterna.
GrundlÀggande bestÀmmelser till skydd för den personliga integ- riteten finns i regeringsformen. I 1 kap. 2 § första stycket slÄs det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda mÀnniskans frihet och i fjÀrde stycket anges bl.a. att det allmÀnna ska vÀrna den enskildes privatliv och familjeliv. Enligt
2kap. 6 § andra stycket Àr var och en skyddad gentemot det allmÀnna mot betydande intrÄng i den personliga integriteten, om det sker utan samtycke och innebÀr övervakning eller kartlÀggning av den enskildes personliga förhÄllanden. InskrÀnkningar i det grundlags- fÀsta skyddet kan endast göras genom lag och bara under de förut- sÀttningar som anges i 2 kap.
Enligt artikel 8 i den europeiska konventionen angÄende skydd för de mÀnskliga rÀttigheterna och de grundlÀggande friheterna (Europakonventionen) har var och en rÀtt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Med detta avses bl.a. skyddet av personuppgifter. RÀttigheten Àr dock inte absolut. In- skrÀnkningar fÄr göras med stöd av lag och om det Àr nödvÀndigt i ett demokratiskt samhÀlle med hÀnsyn till vissa sÀrskilt angivna ÀndamÄl, bl.a. statens sÀkerhet och den allmÀnna sÀkerheten. Av 2 kap.
19§ regeringsformen följer att en lag eller annan föreskrift inte fÄr meddelas i strid med Sveriges Ätaganden pÄ grund av konventionen.
Den europeiska konventionen om skydd för enskilda vid auto- matisk databehandling av personuppgifter, den s.k. dataskyddskon- ventionen, kan ses som en precisering av skyddet för enskilda enligt artikel 8 i Europakonventionen i frÄga om behandlingen av person- uppgifter. Konventionen och dess tillÀggsprotokoll har ett generellt tillÀmpningsomrÄde och kompletteras av ett antal rekommendationer som antagits av ministerkommittén och som handlar om hur person- uppgifter bör behandlas inom olika omrÄden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. En översyn av konventionen pÄgÄr inom EuroparÄdet.
I Europeiska unionens stadga om de grundlÀggande rÀttigheterna bekrÀftas de rÀttigheter som har sin grund i medlemsstaternas ge- mensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och EuroparÄdets sociala stadgor samt
352
SOU 2018:63 |
Bilaga 1 |
rÀttspraxis vid Europeiska unionens domstol och Europeiska dom- stolen för de mÀnskliga rÀttigheterna. Artikel 7 i stadgan anger att var och en har rÀtt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Artikel 8 reglerar skydd av person- uppgifter. Enligt artikeln har var och en rÀtt till skydd av de person- uppgifter som rör honom eller henne. SÄdana uppgifter ska behandlas lagenligt för bestÀmda ÀndamÄl och pÄ grundval av den berörda personens samtycke eller nÄgon annan legitim och lagenlig grund. Var och en har rÀtt att fÄ tillgÄng till insamlade uppgifter som rör honom eller henne och att fÄ dem rÀttade. En oberoende myndighet ska kontrollera att reglerna följs.
EU:s dataskyddsdirektiv
Den allmÀnna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rÄdets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende pÄ behandling av personuppgifter och om behandling av det fria flödet av sÄdana uppgifter (dataskyddsdirektivet).
Dataskyddsdirektivet gÀller inte för behandling av personupp- gifter pÄ omrÄden som faller utanför gemenskapsrÀtten, t.ex. försvar och statens sÀkerhet (artikel 3.2). Direktivet har genomförts i svensk rÀtt genom personuppgiftslagen (1998:204). Sverige valde i samband med att dataskyddsdirektivet genomfördes i svensk rÀtt att inte begrÀnsa personuppgiftslagens tillÀmpningsomrÄde, bl.a. med moti- veringen att det Àr sÀrskilt viktigt med ett starkt integritetsskydd nÀr det gÀller uppgifter inom all offentlig verksamhet. En annan moti- vering var att den valda lösningen garanterar att behovet av sÀrregler i förhÄllande till personuppgiftslagen alltid övervÀgs noga i den ordning som krÀvs för författningsgivning (se prop. 1997/98:44 s.
EU:s dataskyddsförordning
Den 27 april 2016 antogs Europaparlamentets och rÄdets förordning (EU) 2016/679 om skydd för enskilda personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana
353
Bilaga 1 |
SOU 2018:63 |
uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn data- skyddsförordning), kallad dataskyddsförordningen. Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och kommer att ersÀtta det nuvarande dataskyddsdirektivet. Förord- ningen ska börja tillÀmpas den 25 maj 2018.
Dataskyddsförordningen baseras till stor del pÄ dataskyddsdirek- tivets struktur och innehÄll, men rymmer Àven en rad nyheter sÄsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrÀttandet av Europeiska dataskyddsstyrelsen. Dataskyddsför- ordningen Àr direkt tillÀmplig i medlemsstaterna, men den bÄde för- utsÀtter och möjliggör kompletterande nationella bestÀmmelser av olika slag. Behandling av personuppgifter som utgör ett led i en verk- samhet som inte omfattas av unionsrÀtten, t.ex. försvar och statens sÀkerhet, undantas frÄn dataskyddsförordningens tillÀmpningsomrÄde, pÄ samma sÀtt som gÀller för dataskyddsdirektivet. Förordningen ger ocksÄ ett visst utrymme för medlemsstaterna att behÄlla eller införa mer specifika bestÀmmelser för sÄdan personuppgiftsbehand- ling som Àr nödvÀndig för att den personuppgiftsansvarige ska kunna uppfylla en rÀttslig skyldighet, utföra en arbetsuppgift av allmÀnt intresse eller behandla uppgifter i samband med myndighetsutövning (förordningens artikel 6.2).
Regeringen tillsatte den 25 februari 2016 en utredning som bl.a. ska undersöka vilka kompletterande nationella föreskrifter som data- skyddsförordningen krÀver (Ju 2016:04). I utredningens direktiv anges att personuppgiftslagen och personuppgiftsförordningen (1998:1191) samt Datainspektionens föreskrifter i anslutning till denna reglering kommer att behöva upphÀvas. Uppdraget ska redovisas senast den 12 maj 2017.
Regeringen har Àven tillsatt en utredning som ska föreslÄ hur EU:s direktiv om skydd av personuppgifter vid brottsbekÀmpning, brott- mÄlshantering och straffverkstÀllighet ska genomföras i svensk rÀtt (Ju 2016:06). Uppdraget ska redovisas senast den 30 september 2017.
354
SOU 2018:63 |
Bilaga 1 |
Uppdraget att se över den reglering som gÀller vid behandling av personuppgifter inom Försvarsmakten och Försvarets radioanstalt
Myndigheternas verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas integritet vÀrnas
Personuppgiftslagen Àr subsidiÀr vilket innebÀr att lagens bestÀm- melser inte ska tillÀmpas om det finns avvikande bestÀmmelser i en annan lag eller förordning. Det finns en stor mÀngd sÄdana bestÀm- melser i s.k. sÀrskilda registerförfattningar.
PÄ Försvarsmaktens verksamhetsomrÄde finns lagen (2007:258) och förordningen (2007:260) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀker- hetstjÀnst. För stora delar av Försvarets radioanstalts verksamhet gÀller lagen (2007:259) och förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrÀttelse och utvecklingsverksamhet. Lagarna Àr fristÄende i förhÄllande till personuppgiftslagen, men deras strukturer och materiella innehÄll Àr till stor del inspirerade av den lagen.
Försvarsmakten och Försvarets radioanstalt behandlar Àven person- uppgifter för andra syften Àn de som anges i nu nÀmnda lagar, t.ex. inom myndigheternas administrativa verksamhet. För sÄdan behand- ling av personuppgifter gÀller personuppgiftslagen.
De sÀrskilda lagarna om viss personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt tillkom 2007. Person- uppgiftslagen kommer att ersÀttas av dataskyddsförordningen och nationella kompletterande bestÀmmelser. Det finns dÀrför anledning att sÀkerstÀlla att regleringen av all den personuppgiftsbehandling som sker inom Försvarsmakten och Försvarets radioanstalt Àr ÀndamÄlsenlig i förhÄllande till sÄvÀl ny övergripande reglering, den tekniska utvecklingen och myndigheternas verksamheter i övrigt. UtgÄngspunkten Àr att myndigheternas verksamheter ska kunna be- drivas effektivt med rationellt datorstöd samtidigt som enskildas personliga integritet vÀrnas.
Utredaren ska dÀrför
âąĂ¶versiktligt beskriva hur personuppgifter behandlas och vilken reglering som gĂ€ller för behandlingen inom Försvarsmakten och Försvarets radioanstalt,
355
Bilaga 1 |
SOU 2018:63 |
âąbedöma om den reglering som gĂ€ller vid behandling av personupp- gifter i Försvarsmaktens försvarsunderrĂ€ttelseverksamhet och militĂ€ra sĂ€kerhetstjĂ€nst och i Försvarets radioanstalts försvars- underrĂ€ttelse- och utvecklingsverksamhet Ă€r Ă€ndamĂ„lsenligt utfor- mad och tillrĂ€cklig nĂ€r det gĂ€ller skyddet för enskildas personliga integritet,
âąanalysera vilket utrymme det finns för nationell reglering av den personuppgiftsbehandling i Försvarsmakten och Försvarets radio- anstalt som i dag regleras i personuppgiftslagen, och utifrĂ„n den analysen bedöma om behandlingen helt eller delvis bör regleras sĂ€rskilt, och
âąlĂ€mna de författningsförslag som behövs och Ă€r lĂ€mpliga.
Hur bör personuppgiftsbehandlingen inom Försvarets radioanstalts arbete med informationssÀkerhet regleras?
Försvarets radioanstalt ska ha hög teknisk kompetens inom informa- tionssÀkerhetsomrÄdet och fÄr, efter begÀran, stödja andra statliga myndigheter och statligt Àgda bolag som hanterar information som bedöms vara kÀnslig frÄn
Den personuppgiftsbehandling som kan uppkomma inom ramen för Försvarets radioanstalts arbete pÄ informationssÀkerhetsomrÄdet, och som myndigheten ansvarar för, regleras av personuppgiftslagen. Som nÀmnts kommer lagen att upphÀvas och ersÀttas av dataskydds- förordningen med kompletterande nationella föreskrifter.
Utredaren ska dÀrför
âąnĂ€rmare utreda hur personuppgifter behandlas inom Försvarets radioanstalt i samband med att myndigheten stödjer andra myn- digheter och statligt Ă€gda bolag inom informationssĂ€kerhets- omrĂ„det,
356
SOU 2018:63 |
Bilaga 1 |
âąbedöma om regleringen för personuppgiftsbehandlingen i För- svarets radioanstalt Ă€r Ă€ndamĂ„lsenlig med hĂ€nsyn till verksam- heten och skyddet för enskildas personliga integritet,
âąanalysera vilket utrymme det finns för en nationell reglering, och
âąlĂ€mna lĂ€mpliga författningsförslag.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmÀnna och för enskilda. Om förslagen kan förvÀntas leda till kostnadsökningar för det allmÀnna ska utredaren föreslÄ hur dessa ska finansieras. Utredaren ska ocksÄ redovisa förslagens konse- kvenser för den personliga integriteten och för eventuella verksam- hetsmÀssiga konsekvenser.
SamrÄd och redovisning av uppdraget
NÀr utredaren genomför uppdraget ska han eller hon sÀrskilt höra Statens inspektion för försvarsunderrÀttelseverksamheten. Utredaren ska Àven, i den utstrÀckning som bedöms lÀmplig, ha en dialog med och inhÀmta upplysningar frÄn övriga myndigheter och andra som kan vara berörda av aktuella frÄgor.
Utredaren ska hÄlla sig vÀl informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsvÀsendet och EuroparÄdet. Detta innebÀr bl.a. att utredaren ska hÄlla sig informerad om arbetet med en ny sÀkerhetsskyddslag (SOU 2015:25), liksom det arbete som bedrivs i Integritetskommittén (Ju 2014:09), i Data- skyddsutredningen (Ju 2016:04), i utredningen om 2016 Ärs data- skyddsdirektiv (Ju 2016:06), i utredningen om behandling av person- uppgifter om totalförsvarspliktiga (Fö 2016:01), samt om den översyn som görs av dataskyddskonventionen.
Uppdraget ska redovisas senast den 31 maj 2018.
(Försvarsdepartementet)
357
Bilaga 2
Kommittédirektiv 2018:28
TillÀggsdirektiv till Utredningen behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt (Fö 2017:03)
Beslut vid regeringssammantrÀde den 19 april 2018
FörlÀngd tid för uppdraget
Regeringen beslutade den 27 april 2017 kommittédirektiv om behand- lingen av personuppgifter inom Försvarsmakten och Försvarets radio- anstalt (dir. 2017:42). Enligt utredningens direktiv skulle uppdraget redovisas senast den 31 maj 2018.
Utredningstiden förlÀngs. Uppdraget ska i stÀllet redovisas senast den 31 juli 2018.
(Försvarsdepartementet)
359
Statens offentliga utredningar 2018
Kronologisk förteckning
1.Ett reklamlandskap i förÀndring
âkonsumentskydd och tillsyn i en digitaliserad vĂ€rld. Fi.
2.StÀrkt straffrÀttsligt skydd
för blÄljusverksamhet och andra samhÀllsnyttiga funktioner. Ju.
3.En strategisk agenda
för internationalisering. U.
4.Framtidens biobanker. S.
5.Vissa processuella frÄgor pÄ socialförsÀkringsomrÄdet. S.
6.Grovt upphovsrÀttsbrott och grovt varumÀrkesbrott. Ju.
7.Försvarsmaktens lÄngsiktiga materielbehov. Fö.
8.KunskapslÀget pÄ kÀrnavfallsomrÄdet 2018. Beslut under osÀkerhet. M.
9.Ăkad trygghet för studerande som blir sjuka. U.
10.Myndighetsgemensam indelning â samverkan pĂ„ regional nivĂ„. Volym 1. Myndighetsgemensam indelning â författningsĂ€ndringar till följd av ny landstingsbeteckning. Volym 2. Fi.
11.VĂ„rt gemensamma ansvar
âför unga som varken arbetar eller studerar. U.
12.Uppdrag: Samverkan 2018. MÄnga utmaningar ÄterstÄr. A.
13.Finansiering av infrastruktur med skatt eller avgift? Fi.
14.Bidragsbrott och underrĂ€ttelseskyl- dighet vid felaktiga utbetalningar frĂ„n vĂ€lfĂ€rdssystemen â en utvĂ€rdering. Fi.
15.Mindre aktörer i energilandskapet
âgenomgĂ„ng av nulĂ€get. M.
16.VĂ€gen till sjĂ€lvkörande fordon â introduktion. Del 1 + 2. N.
17.Med undervisningsskicklighet
icentrum â ett ramverk för lĂ€rares och rektorers professionella utveckling. U.
18.Statens stöd till trossamfund i ett mÄngreligiöst Sverige. Ku.
19.Forska tillsammans â samverkan för lĂ€rande och förbĂ€ttring. U.
20.GrÀsrotsfinansiering. Fi.
21.Flexibel rehabilitering. A.
22.Ett ordnat mottagande â gemensamt ansvar för snabb etablering eller Ă„tervĂ€ndande. A.
23.KonstnĂ€r â oavsett villkor? Ku.
24.Tid för utveckling. A.
25.Juridik som stöd för förvaltningens digitalisering. Fi.
26.NÄgra frÄgor i skyddslagstiftningen. Fö.
27.Ekonomiska sanktioner mot terrorism. UD.
28.En nationell alarmeringstjÀnst
âför snabba, sĂ€kra och effektiva hjĂ€lpinsatser. Ju.
29.Validering i högskolan â för tillgodorĂ€knande och livslĂ„ngt lĂ€rande. U.
30.Förenklat förfarande vid vissa beslut om hemlig avlyssning. Ju.
31.En lag om operativt militÀrt stöd mellan Sverige och Finland. Fö.
32.Ju förr desto bĂ€ttre â vĂ€gar till en förebyggande socialtjĂ€nst. S.
33.Aggressionsbrottet och Àndringar
iRomstadgan. Ju.
34.VÀgar till hÄllbara vattentjÀnster. M.
35.Ett gemensamt bostadsförsörjningsansvar. N.
36.RĂ€tt att forska. LĂ„ngsiktig reglering av forskningsdatabaser. U.
37.Att bryta ett vÄldsamt beteende
âĂ„terfallsförebyggande insatser
för mÀn som utsÀtter nÀrstÄende för vÄld. S.
38.Styra och leda med tillit. Forskning och praktik. Fi.
39.God och nÀra vÄrd.
En primĂ€rvĂ„rdsreformÂ. S.
40.Vissa fredspliktsfrÄgor. A.
41.Statliga skolmyndigheter.
âför elever och barn i en bĂ€ttre skola. U.
42.Tryggad tillgÄng till kontanter. Fi.
43.Statliga servicekontor
âmer service pĂ„ fler platser. Fi.
44.Möjligt, tillÄtet och tillgÀngligt
âförslag till enklare och flexiblare upphandlingsregler och vissa regler om överprövningsmĂ„l. Fi.
45.Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. A.
46.En utvecklad översiktsplanering. Del 1: Att underlÀtta efterföljande planering. Del 2: Kommunal reglering av upplÄtelseformen. N.
47.Med tillit vÀxer handlingsutrymmet.
âtillitsbaserad styrning och ledning av vĂ€lfĂ€rdssektorn. Fi.
48.En lÀrande tillsyn. Statlig granskning som bidrar till verksamhetsutveckling i vÄrd, skola och omsorg. Fi.
49.
ânĂ„gra sĂ€rskilt utpekade frĂ„gor. Fi.
50.Ett oberoende public service för alla
ânya möjligheter och ökat ansvar. Ku.
51.Resurseffektiv anvÀndning av byggmaterial. N.
52.Behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys. S.
53.Ăversyn av maskinell dos, extempore, prövningslĂ€kemedel m.m. S.
54.En effektivare kommunal rÀddnings- tjÀnst. Ju.
55.Styrning och vÄrdkonsumtion ur ett jÀmlikhetsperspektiv. KartlÀggning av socioekonomiska skillnader i vÄrdutnyttjande och utgÄngspunkter för bÀttre styrning. S.
56.BÀttre kommunikation för fler investeringar. UD.
57.Barns och ungas lÀsning
âett ansvar för hela samhĂ€llet. Ku.
58.SĂ€rskilda persontransporter
âmoderniserad lagstiftning för ökad samordning. N.
59.Statens gruvliga risker. M.
60.TilltrÀde till Rotterdamreglerna. Ju.
61.RÀttssÀkerhetsgarantier och hemliga tvÄngsmedel. Ju.
62.Kamerabevakning i brottsbekĂ€mp- ningen â ett enklare förfarande. Ju.
63.Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt. Fö.
Statens offentliga utredningar 2018
Systematisk förteckning
Arbetsmarknadsdepartementet
Uppdrag: Samverkan 2018.
MÄnga utmaningar ÄterstÄr. [12] Flexibel rehabilitering. [21]
Ett ordnat mottagande â gemensamt ansvar för snabb etablering eller Ă„tervĂ€ndande. [22]
Tid för utveckling. [24] Vissa fredspliktsfrÄgor. [40]
Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. [45]
Finansdepartementet
Ett reklamlandskap i förÀndring
âkonsumentskydd och tillsyn i en digitaliserad vĂ€rld. [1]
Myndighetsgemensam indelning â sam- verkan pĂ„ regional nivĂ„. Volym 1. Myndighetsgemensam indelning â författningsĂ€ndringar till följd av ny landstingsbeteckning. Volym 2. [10]
Finansiering av infrastruktur med skatt eller avgift? [13]
Bidragsbrott och underrĂ€ttelseskyldig- het vid felaktiga utbetalningar frĂ„n vĂ€lfĂ€rdssystemen â en utvĂ€rdering. [14]
GrÀsrotsfinansiering. [20]
Juridik som stöd för förvaltningens digitalisering. [25]
Styra och leda med tillit. Forskning och praktik. [38]
Tryggad tillgÄng till kontanter. [42]
Statliga servicekontor
â mer service pĂ„ fler platser. [43] Möjligt, tillĂ„tet och tillgĂ€ngligt
âförslag till enklare och flexiblare upphandlingsregler och vissa regler om överprövningsmĂ„l. [44]
Med tillit vÀxer handlingsutrymmet.
âtillitsbaserad styrning och ledning av vĂ€lfĂ€rdssektorn. [47]
En lÀrande tillsyn. Statlig granskning som bidrar till verksamhetsutveckling i vÄrd, skola och omsorg. [48]
â nĂ„gra sĂ€rskilt utpekade frĂ„gor. [49]
Försvarsdepartementet
Försvarsmaktens lÄngsiktiga materielbehov. [7]
NÄgra frÄgor i skyddslagstiftningen. [26]
En lag om operativt militÀrt stöd mellan Sverige och Finland. [31]
Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt. [63]
Justitiedepartementet
StÀrkt straffrÀttsligt skydd
för blÄljusverksamhet och andra samhÀllsnyttiga funktioner. [2]
Grovt upphovsrÀttsbrott och grovt varumÀrkesbrott. [6]
En nationell alarmeringstjÀnst
âför snabba, sĂ€kra och effektiva hjĂ€lpinsatser. [28]
Förenklat förfarande vid vissa beslut om hemlig avlyssning. [30]
Aggressionsbrottet och Àndringar i Romstadgan. [33]
En effektivare kommunal rÀddningstjÀnst. [54]
TilltrÀde till Rotterdamreglerna. [60]
RÀttssÀkerhetsgarantier och hemliga tvÄngsmedel. [61]
Kamerabevakning i brottsbekÀmpningen
â ett enklare förfarande. [62]
Kulturdepartementet
Statens stöd till trossamfund i ett mÄngreligiöst Sverige. [18]
KonstnĂ€r â oavsett villkor? [23] Ett oberoende public service för alla
ânya möjligheter och ökat ansvar. [50]
Barns och ungas lÀsning
â ett ansvar för hela samhĂ€llet. [57]
Miljö- och energidepartementet
KunskapslÀget pÄ kÀrnavfallsomrÄdet 2018. Beslut under osÀkerhet. [8]
Mindre aktörer i energilandskapet
âgenomgĂ„ng av nulĂ€get. [15] VĂ€gar till hĂ„llbara vattentjĂ€nster. [34] Statens gruvliga risker. [59]
NĂ€ringsdepartementet
VĂ€gen till sjĂ€lvkörande fordon â introduktion. Del 1 + 2. [16]
Ett gemensamt bostadsförsörjningsansvar. [35]
En utvecklad översiktsplanering.
Del 1: Att underlÀtta efterföljande
planering. Del 2: Kommunal reglering av upplÄtelseformen. [46]
Resurseffektiv anvÀndning av byggmaterial. [51]
SĂ€rskilda persontransporter
âmoderniserad lagstiftning för ökad samordning. [58]
Socialdepartementet
Framtidens biobanker. [4]
Vissa processuella frÄgor pÄ social- försÀkringsomrÄdet. [5]
Ju förr desto bĂ€ttre â vĂ€gar till
en förebyggande socialtjÀnst. [32] Att bryta ett vÄldsamt beteende
âĂ„terfallsförebyggande insatser för mĂ€n som utsĂ€tter nĂ€rstĂ„ende för vĂ„ld. [37]
God och nĂ€ra vĂ„rd. En primĂ€rvĂ„rdsreformÂ. [39]
Behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys. [52]
Ăversyn av maskinell dos, extempore, prövningslĂ€kemedel m.m. [53]
Styrning och vÄrdkonsumtion ur ett jÀmlikhetsperspektiv. KartlÀggning av socioekonomiska skillnader i vÄrdutnyttjande och utgÄngspunkter för bÀttre styrning. [55]
Utbildningsdepartementet
En strategisk agenda
för internationalisering. [3]
Ăkad trygghet för studerande som blir sjuka. [9]
VĂ„rt gemensamma ansvar
âför unga som varken arbetar eller studerar. [11]
Med undervisningsskicklighet
i centrum â ett ramverk för lĂ€rares och rektorers professionella utveckling. [17]
Forska tillsammans â samverkan för lĂ€rande och förbĂ€ttring. [19]
Validering i högskolan â för tillgodo- rĂ€knande och livslĂ„ngt lĂ€rande. [29]
RĂ€tt att forska. LĂ„ngsiktig reglering av forskningsdatabaser. [36]
Statliga skolmyndigheter.
âför elever och barn i en bĂ€ttre skola. [41]
Utrikesdepartementet
Ekonomiska sanktioner mot terrorism. [27]
BÀttre kommunikation för fler investeringar. [56]