Behandlingen av personuppgifter vid Försvarsmakten

och Försvarets radioanstalt

BetÀnkande av Utredningen om behandlingen av personuppgifter vid Försvarsmakten

och Försvarets radioanstalt

Stockholm 2018

SOU 2018:63

SOU och Ds kan köpas frĂ„n Norstedts Juridiks kundservice. BestĂ€llningsadress: Norstedts Juridik, Kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@nj.se

Webbadress: www.nj.se/offentligapublikationer

För remissutsÀndningar av SOU och Ds svarar Norstedts Juridik AB pÄ uppdrag av Regeringskansliets förvaltningsavdelning.

Svara pĂ„ remiss – hur och varför

StatsrÄdsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara pÄ remiss.

HÀftet Àr gratis och kan laddas ner som pdf frÄn eller bestÀllas pÄ regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2018

ISBN 978-91-24849-2

ISSN 0375-250X

Till statsrÄdet och chefen för Försvarsdepartementet

Regeringen beslutade den 27 april 2017 att tillkalla en sÀrskild ut- redare med uppdrag att göra en översyn av den lagstiftning som gÀller för personuppgiftsbehandling inom Försvarsmakten och För- svarets radioanstalt. Syftet med uppdraget Àr att sÀkerstÀlla att lag- stiftningen Àr anpassad till den tekniska och legala utvecklingen.

Som sĂ€rskild utredare förordnades samma dag f.d. generaldirek- tören och chefen för Försvarets radioanstalt Ingvar Åkesson.

Som sakkunniga i utredningen förordnades samma dag Àmnes- rÄdet och bitrÀdande enhetschefen Mikael Andersson, Försvars- departementet och kanslirÄdet Eva Larsson Behrmann, Försvars- departementet.

Som experter att bitrÀda utredningen förordnades den 2 juni 2017 chefsjuristen Michaela Dràb, Försvarets radioanstalt, avdelnings- chefen Stefan Vestergren, Försvarsmakten, sektionschefen Annika Grahn Sulusi, Försvarsmakten och avdelningsdirektören Christer Hellsten, Försvarets radioanstalt.

Som sekreterare anstÀlldes den 29 maj 2017 hovrÀttsassessorn Alexander Lundén.

Utredningen har antagit namnet Utredningen om behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt.

HÀrmed överlÀmnas betÀnkandet Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63). Upp- draget Àr hÀrmed slutfört.

Stockholm i juli 2018

Ingvar Åkesson

/Alexander Lundén

InnehÄll

Sammanfattning ................................................................

13

Förkortningar m.m. ............................................................

21

1

Författningsförslag.....................................................

25

1.1Förslag till lag (2019:000) om behandling

av personuppgifter vid Försvarsmakten ................................

25

1.2 Förslag till lag (2019:000) om behandling

 

av personuppgifter vid Försvarets radioanstalt .....................

42

1.3Förslag till lag om Àndring i lagen (2018:218) med

kompletterande bestÀmmelser till EU:s

 

dataskyddsförordning.............................................................

59

1.4Förslag till lag om Àndring i lagen (2008:717) om

signalspaning i försvarsunderrÀttelseverksamhet..................

60

1.5Förslag till lag om Àndring i brottsdatalagen

(2018:1177) .............................................................................

61

1.6Förslag till förordning (2019:000) om behandling

av personuppgifter vid Försvarsmakten ................................

62

1.7Förslag till förordning (2019:000) om behandling

av personuppgifter vid Försvarets radioanstalt .....................

73

1.8Förslag till förordning om Àndring

i förordningen (2009:969) med instruktion för Statens

inspektion för försvarsunderrÀttelseverksamheten ..............

82

5

InnehÄll

SOU 2018:63

1.9Förslag till förordning om Àndring i förordningen

 

(1995:1301) om handlÀggning av skadestÄndsansprÄk

 

 

mot staten ...............................................................................

84

2

Utredningens uppdrag och arbete ................................

87

2.1

Utredningsuppdraget .............................................................

87

2.2

Genomförande av uppdraget .................................................

87

3

Försvarsmaktens och Försvarets radioanstalts

 

 

uppgifter...................................................................

89

3.1

Försvarsmaktens uppgifter ....................................................

89

3.2

Försvarets radioanstalts uppgifter .........................................

92

3.3

FörsvarsunderrÀttelseverksamhet..........................................

94

 

3.3.1

Försvarsmaktens underrÀttelseverksamhet

 

 

 

och militÀra sÀkerhetstjÀnst ....................................

96

 

3.3.2

Försvarsmaktens

 

 

 

försvarsunderrÀttelseverksamhet ...........................

96

 

3.3.3

Försvarsmaktens militÀra sÀkerhetstjÀnst..............

97

 

3.3.4

Övrig militĂ€r underrĂ€ttelseverksamhet..................

98

3.3.5Försvarets radioanstalts signalspaning i försvarsunderrÀttelse- och

utvecklingsverksamhet............................................

99

3.3.6Försvarets radioanstalts

 

 

informationssÀkerhetsverksamhet

....................... 101

4

GÀllande rÀtt ...........................................................

103

4.1

Internationella överenskommelser ......................................

103

 

4.1.1

Förenta nationerna................................................

103

 

4.1.2

OECD ...................................................................

104

4.2

EuroparÀtt .............................................................................

104

 

4.2.1

EuroparÄdet ...........................................................

104

 

4.2.2

Europeiska unionen ..............................................

107

4.3Nationell reglering till skydd för den personliga

integriteten............................................................................

112

4.3.1

RĂ€tten till personlig integritet ..............................

112

6

SOU 2018:63InnehÄll

 

4.3.2

Regeringsformen ...................................................

112

 

4.3.3

Personuppgiftslagen ..............................................

113

 

4.3.4

SÀrskilda registerförfattningar ..............................

116

 

4.3.5

Offentlighets- och sekretesslagen ........................

117

5

Regleringen av personuppgiftsbehandling

 

 

vid Försvarsmakten och Försvarets radioanstalt ...........

119

 

5.1.1

AllmÀnt...................................................................

119

 

5.1.2

NÀr behandling av personuppgifter Àr tillÄten .....

120

 

5.1.3

KĂ€nsliga personuppgifter ......................................

123

5.1.4Behandling av personuppgifter hos

 

Försvarets radioanstalt i vissa fall .........................

123

5.1.5

Uppgiftssamlingar .................................................

124

5.1.6Vidarebehandling av personuppgifter

för vissa andra ÀndamÄl..........................................

125

5.1.7Elektroniskt utlÀmnande av och direktÄtkomst

till personuppgifter ................................................

126

5.1.8Information till den enskilde, rÀttelse

 

 

och skadestÄnd.......................................................

128

 

5.1.9

SĂ€kerheten vid behandling ....................................

129

 

5.1.10

Personuppgiftsombud ...........................................

130

 

5.1.11

Tillsyn och kontroll...............................................

131

 

5.1.12

Gallring av personuppgifter ..................................

131

 

5.1.13

Straff och överklagande.........................................

134

6

ÖvervĂ€ganden och förslag .........................................

137

6.1

AllmÀnna utgÄngspunkter ....................................................

137

 

6.1.1

Reglering i tvÄ nya lagar ........................................

137

 

6.1.2

SÀrskild författningsreglering ...............................

138

6.2

AllmÀnna bestÀmmelser........................................................

139

 

6.2.1

Syftet med lagarna .................................................

139

6.2.2TillÀmpningsomrÄden för lagen om behandling av personuppgifter

vid Försvarsmakten ...............................................

141

6.2.3TillÀmpningsomrÄden för lagen om behandling av personuppgifter

 

vid Försvarets radioanstalt ....................................

144

6.2.4

Behandlingar som omfattas av de nya lagarna .....

146

7

InnehÄll

SOU 2018:63

6.2.5Lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning gÀller inte personuppgiftsbehandling enligt

 

de nya lagarna ........................................................

146

6.2.6

Lagarnas förhÄllande till annan reglering.............

147

6.2.7

Personuppgiftsansvar............................................

148

6.2.8

Gemensamt personuppgiftsansvar .......................

148

6.2.9

Uttryck i lagen ......................................................

150

6.3 Behandlingen av personuppgifter ........................................

156

6.3.1Försvar och sÀkerhet som rÀttslig grund för behandling av personuppgifter hos

Försvarsmakten .....................................................

156

6.3.2FörsvarsunderrÀttelseverksamhet som rÀttslig grund för behandling av personuppgifter hos

Försvarsmakten .....................................................

160

6.3.3MilitÀr sÀkerhetstjÀnst som rÀttslig grund för behandling av personuppgifter hos

Försvarsmakten .....................................................

165

6.3.4RÀttsliga grunder för behandling vid

 

Försvarsmakten av personuppgifter som utgör

 

 

allmÀnt tillgÀnglig information.............................

171

6.3.5

Övriga rĂ€ttsliga grunder för behandlingen

 

 

av personuppgifter vid Försvarsmakten...............

172

6.3.6FörsvarsunderrÀttelseverksamhet som rÀttslig

 

grund för behandling av personuppgifter

 

 

vid Försvarets radioanstalt....................................

173

6.3.7

Utvecklingsverksamhet som rÀttslig

 

 

grund för behandling av personuppgifter

 

 

hos Försvarets radioanstalt ...................................

179

6.3.8InformationssÀkerhetsverksamhet som rÀttslig grund för behandling av personuppgifter

hos Försvarets radioanstalt ...................................

182

6.3.9RÀttsliga grunder för behandling vid Försvarets radioanstalt av allmÀnt tillgÀnglig

information för vissa ÀndamÄl ..............................

185

6.3.10 RÀttsliga grunder för behandling

 

för vetenskapliga, statistiska eller

 

historiska ÀndamÄl.................................................

186

8

SOU 2018:63

InnehÄll

6.3.11RÀttsliga grunder för behandling av personuppgifter för att tillgodose behov av information hos enskilda och behov

 

av information vid tillsyn och kontroll ................

187

6.4 GrundlÀggande krav pÄ behandling av personuppgifter .....

188

6.4.1

GrundlÀggande krav ..............................................

188

6.4.2

Behandling av kÀnsliga personuppgifter...............

189

6.4.3Behandling av personnummer

och samordningsnummer......................................

191

6.4.4Behandling av personuppgifter om den som uppgifterna rör har offentliggjort uppgifterna

 

eller lÀmnat sitt samtycke......................................

192

6.4.5

Behandling av personuppgifter i vissa fall ............

193

6.4.6

LÀngsta tid som personuppgifter fÄr behandlas...

196

6.4.7Försvarsmaktens utlÀmnande

av personuppgifter.................................................

198

6.4.8Försvarets radioanstalts utlÀmnande

av personuppgifter.................................................

202

6.5 Gemensamt tillgÀngliga uppgifter........................................

204

6.5.1Personuppgifter som fÄr göras gemensamt

tillgÀngliga ..............................................................

204

6.5.2DirektÄtkomst till personuppgifter

hos Försvarsmakten ..............................................

210

6.5.3DirektÄtkomst till personuppgifter

hos Försvarets radioanstalt ...................................

220

6.6 Skyldigheter som personuppgiftsansvarig...........................

226

6.6.1Författningsenlig behandling genom lÀmpliga

 

tekniska och organisatoriska ÄtgÀrder ..................

226

6.6.2

Myndigheterna ska föra loggar över

 

 

personuppgiftsbehandling.....................................

227

6.6.3Myndigheterna ska begrÀnsa tillgÄngen

 

till personuppgifter ................................................

228

6.6.4

SÀkerheten för personuppgifter ............................

229

6.6.5

Dataskyddsombud.................................................

229

6.6.6

PersonuppgiftsbitrÀden .........................................

231

6.6.7BestÀmmelser om konsekvensbedömningar

bör inte införas.......................................................

233

9

InnehÄllSOU 2018:63

6.7 Enskildas rÀttigheter.............................................................

234

6.7.1

AllmÀn information som ska göras tillgÀnglig ....

234

6.7.2Enskilds rÀtt till personrelaterad information

hos Försvarsmakten ..............................................

236

6.7.3Enskilds rÀtt till personrelaterad information

 

hos Försvarets radioanstalt...................................

240

6.7.4

BegrÀnsning av rÀtten till information .................

243

6.7.5RÀtten till rÀttelse, radering och begrÀnsning

av behandlingen .....................................................

244

6.7.6Avgifter samt beslut om avslag vid upprepad

begÀran ...................................................................

245

6.8 Tillsyn och kontroll..............................................................

246

6.8.1Tillsynsmyndighetens funktion,

uppgifter och befogenheter ..................................

246

6.8.2Rapporteringsskyldighet för

 

 

personuppgiftsincidenter bör inte införas

 

 

 

i de nya lagarna ......................................................

249

 

6.8.3

Sanktionsavgift bör inte fÄ tas ut .........................

250

6.9

SkadestÄnd och överklagande ..............................................

252

 

6.9.1

SkadestÄnd .............................................................

252

 

6.9.2

Överklagande av en myndighets beslut

 

 

 

i egenskap av personuppgiftsansvarig ..................

253

6.10

Övriga bestĂ€mmelser............................................................

254

 

6.10.1

Straff.......................................................................

254

6.11

ÖvergĂ„ngsbestĂ€mmelser ......................................................

255

6.12 Ändringar i andra författningar till följd

 

 

av utredningens förslag ........................................................

256

 

6.12.1

Ändring i lagen (2018:218) med

 

 

 

kompletterande bestÀmmelser till

 

 

 

EU:s dataskyddsförordning .................................

256

 

6.12.2

Ändring i brottsdatalagen (2018:1177)................

256

 

6.12.3

Ändring i lagen (2008:717) om signalspaning

 

 

 

i försvarsunderrÀttelseverksamhet .......................

257

6.12.4Ändring i förordningen (2009:969) med instruktion för Statens inspektion

för försvarsunderrÀttelseverksamheten ...............

259

10

SOU 2018:63

InnehÄll

6.12.5Ändring i förordningen (1995:1301)

 

 

om handlÀggning av skadestÄndsansprÄk

 

 

 

mot staten ..............................................................

261

7

Konsekvenser..........................................................

263

7.1

Inledning ...............................................................................

263

7.2

Konsekvenser av förslagen ...................................................

264

 

7.2.1

TvÄ nya lagar men inga nya uppgifter...................

264

7.3

Ekonomiska konsekvenser ...................................................

264

 

7.3.1

Konsekvenser för den personliga integriteten .....

265

 

7.3.2

Konsekvenser i övrigt............................................

266

8

Författningskommentar ............................................

267

8.1Förslaget till lag om behandling av personuppgifter

vid Försvarsmakten...............................................................

267

8.2Förslaget till lag om behandling av personuppgifter

vid Försvarets radioanstalt ...................................................

320

8.3Förslaget till lag om Àndring i lagen (2018:218)

med kompletterande bestÀmmelser till EU:s

 

dataskyddsförordning...........................................................

348

8.4Förslaget till lag om Àndring i brottsdatalagen

(2018:1177) ...........................................................................

348

8.5Förslaget till lag om Àndring i lagen (2008:717)

om signalspaning i försvarsunderrÀttelseverksamhet .........

349

Bilagor

 

 

Bilaga 1

Kommittédirektiv 2017:42 ...........................................

351

Bilaga 2

Kommittédirektiv 2018:28 ...........................................

359

11

Sammanfattning

Uppdraget

Sedan nuvarande sÀrskilda regler för personuppgiftsbehandling i För- svarsmaktens och Försvarets radioanstalts verksamheter trÀdde i kraft Är 2007 har det skett en omfattande utveckling och ett reformarbete pÄ personuppgiftsomrÄdet. Bl.a. har Europeiska unionen (EU) enats om en genomgripande dataskyddsreform som genomfördes under vÄren 2018. Reformen omfattade dels en allmÀn dataskyddsförord- ning, dels ett dataskyddsdirektiv som behandlar dataskyddet vid bl.a. brottsbekÀmpning, lagföring och straffverkstÀllighet. En konse- kvens av EU:s reform Àr att den svenska personuppgiftslagen har upphÀvts och att all personuppgiftslagstiftning som anknyter till denna lag dÀrför behöver ses över och anpassas.

Verksamheter inom försvar och nationell sÀkerhet Àr uttryckligen undantagna frÄn EU:s lagstiftningskompetens. Viss verksamhet vid Försvarsmakten och Försvarets radioanstalt regleras emellertid för nÀrvarande av personuppgiftslagen, varför denna utredning fick i upp- drag bl.a. att göra en översyn av de författningar som reglerar per- sonuppgiftsbehandling inom Försvarsmakten och Försvarets radio- anstalt. Utredningen fick Àven i uppdrag att analysera huruvida rÄdande lagstiftning Àr ÀndamÄlsenlig för Försvarsmaktens och För- svarets radioanstalts verksamheter och om den Àr tillrÀcklig i frÄga om skyddet för enskildas personliga integritet.

13

Sammanfattning

SOU 2018:63

Anpassningar och andra Àndringar genom tvÄ nya lagar

TillÀmpningsomrÄdet

Utredningen föreslÄr att viss, sÀrskilt angiven verksamhet hos För- svarsmakten och Försvarets radioanstalt Àven fortsÀttningsvis ska sÀr- regleras i tvÄ nya heltÀckande och sjÀlvstÀndiga lagar. Utredningen föreslÄr samtidigt ett antal Àndringar i förhÄllande till nuvarande reg- ler för personuppgiftsbehandling hos de bÄda myndigheterna. Bl.a. vidgas tillÀmpningsomrÄdet för vilka verksamheter hos de bÄda myn- digheterna som omfattas av den sÀrskilda lagregleringen.

TillÄtna rÀttsliga grunder och behandling för nya ÀndamÄl

Som anförts ovan föreslÄr utredningen vidgade tillÀmpningsomrÄ- den för de bÄda nya lagarna jÀmfört med nuvarande lagstiftning. De nya lagarna innehÄller emellertid ocksÄ tydliga och uttömmande rÀttsliga grunder som anger vilka personuppgiftsbehandlingar som omfattas av de bÄda nya lagarna. För Försvarets radioanstalt införs dessutom bestÀmmelser om s.k. preciserad finalitet, vilket innebÀr förbÀttrad förutsÀgbarhet om i vilka syften Försvarets radioanstalt fÄr vidarebehandla inhÀmtade uppgifter.

RĂ€ttslig grund för Försvarsmakten – Sveriges försvar och sĂ€kerhet

Personuppgiftsbehandling inom Försvarsmaktens huvuduppgifter bör omfattas av en svensk nationell reglering. Försvarsmakten före- slÄs dÀrför fÄ behandla personuppgifter om det Àr nödvÀndig för att planera, förbereda och genomföra verksamhet som rör Sveriges för- svar och sÀkerhet eller internationellt försvars- och sÀkerhetssamar- bete. Uppgiften att bedriva sÄdan verksamhet ska följa av lag, förord- ning eller ett sÀrskilt beslut i vilket regeringen har uppdragit Ät myndigheten att utföra uppgiften.

Försvarsmakten har bl.a. i uppdrag att upprÀtthÄlla och utveckla ett militÀrt försvar som ytterst kan möta ett vÀpnat angrepp samt att försvara Sverige och frÀmja svensk sÀkerhet. Vid höjd beredskap ska Försvarsmakten kunna krigsorganisera, mobilisera och anvÀnda alla krigsförband för att möta ett militÀrt hot mot Sverige och svenska intressen. Krigsorganisationen och planeringen av denna innefattar

14

SOU 2018:63

Sammanfattning

personuppgiftsbehandling av anstÀllda i Försvarsmakten och andra som pÄ annat sÀtt Àr knutna till myndigheten. NÀr Försvarsmakten planerar, förbereder och genomför militÀra operationer och öv- ningar behandlar myndigheten ocksÄ uppgifter om de som deltar i operationerna och övningarna. Personuppgiftsbehandling inom under- rÀttelseverksamhet för att lösa Försvarsmaktens militÀra uppgifter, som inte utgör försvarsunderrÀttelseverksamhet eller militÀr sÀker- hetstjÀnst, omfattas av bestÀmmelsen om den rÀttsliga grunden, lik- som att pröva och anpassa teknisk utrustning och tekniska system. Den rÀttliga grunden ger Försvarsmakten det stöd för personupp- giftsbehandling enligt den föreslagna lagen som krÀvs inom bl.a. dessa verksamheter.

RÀttsliga grunder för Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst

Med vissa Àndringar innehÄller den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten i huvudsak samma rÀttsliga grunder för myndighetens försvarsunderrÀttelseverksamhet och mili- tÀra sÀkerhetstjÀnst som i nuvarande lagstiftning. Kravet att uppgif- ter om en person fÄr behandlas i försvarsunderrÀttelseverksamheten endast om personen har anknytning till en preciserad inriktning för försvarsunderrÀttelseverksamheten tas dock bort.

RÀttsliga grunder för Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet

OcksÄ för denna verksamhet innehÄller den föreslagna lagen om be- handling av personuppgifter vid Försvarets radioanstalt samma rÀtts- liga grunder som i nuvarande lagstiftning. Kravet att uppgifter om en person fÄr behandlas i försvarsunderrÀttelseverksamheten endast om personen har anknytning till en preciserad inriktning för för- svarsunderrÀttelseverksamheten tas dock bort.

15

Sammanfattning

SOU 2018:63

RÀttslig grund för Försvarets radioanstalts informationssÀkerhetsverksamhet

Av Försvarets radioanstalts instruktion framgÄr att Försvarets radio- anstalt har i uppdrag att vara statens resurs för teknisk informa- tionssÀkerhet och ska ha hög kompetens inom informationssÀker- hetsomrÄdet. Förslaget till lag om behandling av personuppgifter vid Försvarets radioanstalt innehÄller en rÀttslig grund som innebÀr att personuppgifter fÄr behandlas i Försvarets radioanstalts informa- tionssÀkerhetsverksamhet om det Àr nödvÀndigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som Àr av betydelse för Sveriges sÀkerhet. Uppgiften att lÀmna stöd till andra verksamheter ska följa av lag eller förordning eller reger- ingsbeslut i ett enskilt fall.

Det finns Àven ett antal tillkommande ÀndamÄl för vilka person- uppgifter som behandlas i informationssÀkerhetsverksamheten bör fÄ behandlas. Personuppgiftsbehandling föreslÄs fÄ ske om det Àr nödvÀndigt för att tillhandahÄlla information som behövs hos den som tar emot uppgifter om informationssÀkerhet samt om det Àr nödvÀndigt för att tillhandahÄlla information som behövs med an- ledning av samverkan med andra som verkar pÄ informationssÀker- hetsomrÄdet sÄvÀl inom som utom landet. Detta bör dock bara fÄ ske i den utstrÀckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutar om det.

En nÀra samverkan mellan försvarsunderrÀttelseverksamheten och informationssÀkerhetsverksamheten Àr enligt utredningen av stor betydelse. För underrÀttelseverksamheten Àr det angelÀget att kunna ta del av uppgifter frÄn informationssÀkerhetsverksamheten nÀr det gÀller att kartlÀgga allvarliga yttre hot mot samhÀllets infra- struktur och frÀmmande underrÀttelseverksamhet. Personuppgifter förslÄs dÀrför Àven fÄ behandlas om det Àr nödvÀndigt för att till- handahÄlla information av detta slag.

InformationssÀkerhetsverksamheten Àr Àven av betydelse för ut- vecklingsverksamheten. Personuppgifter som fÄr behandlas i infor- mationssÀkerhetsverksamheten förslÄs dÀrför Àven fÄ behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs i utvecklingsverksamheten.

16

SOU 2018:63

Sammanfattning

Behandling av personuppgifter i allmÀnt tillgÀnglig information

För att kunna bedriva en effektiv försvarsunderrÀttelseverksamhet utöver den information som inhÀmtas genom hemliga metoder be- höver bÄde Försvarsmakten och Försvarets radioanstalt ocksÄ till- gÄng till allmÀnt tillgÀnglig information. AllmÀnt tillgÀnglig infor- mation kan vara personuppgifter som kan pÄtrÀffas vid sökning pÄ internet eller vid sökningar i öppna databaser. Uppgifterna kan vara gratis eller tillgÀngliga pÄ kommersiell grund. Det kan ocksÄ röra sig om uppgifter som t.ex. en abonnent pÄ ett eller annat sÀtt har sam- tyckt att uppgifterna finns med i elektroniska telefonkataloger eller förteckningar över ip-adresser i olika lÀnder

Personuppgifter som utgör allmÀnt tillgÀnglig information före- slÄs dÀrför fÄ behandlas av Försvarsmakten om det Àr nödvÀndigt för planering, förberedelse och genomförande av verksamhet som rör Sveriges försvar och sÀkerhet eller internationellt försvars- och sÀker- hetssamarbete, försvarsunderrÀttelseverksamheten, eller den militÀra sÀkerhetstjÀnsten. Motsvarande föreslÄs för Försvarets radioanstalt om det Àr nödvÀndigt för de ÀndamÄl som anges för försvarsunder- rÀttelse- och utvecklingsverksamheten och informationssÀkerhets- verksamheten.

Behandling av kÀnsliga personuppgifter

De föreslagna lagarna, liksom de nuvarande, förbjuder behandling av personuppgifter som grundar sig enbart pÄ kÀnsliga personuppgifter. Författningarna innehÄller undantag frÄn förbudet genom att andra uppgifter fÄr kompletteras med kÀnsliga uppgifter och att kÀnsliga personuppgifter fÄr anvÀndas som sökbegrepp om det Àr absolut nöd- vÀndigt. KÀnsliga personuppgifter i form av biometriska uppgifter fÄr emellertid behandlas sjÀlvstÀndigt, medan behandling av gene- tiska uppgifter föreslÄs vara helt förbjudet för bÄda myndigheterna.

KÀnsliga personuppgifter föreslÄs emellertid fÄ behandlas utan hinder av dessa regler om den som personuppgifterna rör har lÀmnat sitt uttryckliga samtycke eller pÄ ett tydligt sÀtt har offentliggjort uppgifterna. Detta ska dock inte gÀlla genetiska uppgifter.

17

Sammanfattning

SOU 2018:63

LÀngsta tid för behandling

De föreslagna lagarna reglerar lĂ€ngsta tid för behandling, men inne- hĂ„ller inte – som de nuvarande – regler om bevarande och gallring. Lagarna syftar nĂ€mligen till att skydda den personliga integriteten och reglerar inte bevarande och gallring i arkivlagens mening. JĂ€m- fört med nuvarande bestĂ€mmelser har de dĂ€rför formuleras om sĂ„ att det framgĂ„r att det Ă€r frĂ„ga om dataskyddsbestĂ€mmelser. Regler- ingen ska utgĂ„ frĂ„n hur lĂ€nge personuppgifter fĂ„r behandlas.

Utökade möjligheter till elektroniskt utlÀmnande

Regleringen av i vilken utstrÀckning personuppgifter fÄr lÀmnas ut pÄ medium för automatiserad behandling moderniseras för att möta de ökade behoven av att kunna kommunicera elektroniskt. För För- svarsmakten blir det tillÄtet att lÀmna ut personuppgifter elektro- niskt pÄ annat sÀtt Àn genom direktÄtkomst om det inte Àr olÀmpligt, medan utlÀmnande frÄn Försvarets radioanstalt Àr fortsatt mer restriktivt.

Försvarsmakten och Försvarets radioanstalt ska fĂ„ medge varandra och SĂ€kerhetspolisen direktĂ„tkomst till personuppgifter som har gjorts gemensamt tillgĂ€ngliga och som behandlas för vissa syften. Även utlĂ€ndska underrĂ€ttelse- och sĂ€kerhetstjĂ€nster kan fĂ„ medges direktĂ„tkomst till uppgifter som Försvarsmakten behandlar för vissa syften, om det t.ex. behövs för samarbetet mot terrorism. SĂ„dan direktĂ„tkomst ska dock endast fĂ„ medges till personuppgifter i en avskild uppgiftssamling och endast om svenska intressen kan moti- vera det.

Tillsyn över myndigheternas personuppgiftsbehandling

BÄde Datainspektionen och Statens inspektion för försvarsunder- rÀttelseverksamheten ska pÄ samma sÀtt som i dag utöva tillsyn och kontroll över Försvarsmaktens och Försvarets radioanstalts person- uppgiftsbehandling.

18

SOU 2018:63

Sammanfattning

Konsekvenser för den personliga integriteten

Sammantaget innebÀr förslagen att skyddet för den personliga integ- riteten kommer att vara pÄ samma nivÄ som för nÀrvarande. I viss mÄn kan intrÄnget i personlig integritet öka genom de ökade möjlig- heterna till direktÄtkomst som motiveras av starka försvars- och sÀker- hetsintressen.

IkrafttrÀdande och övergÄngsbestÀmmelser

De nya författningarna och Àndringarna i de befintliga författning- arna föreslÄs trÀda i kraft den 1 oktober 2019. Det krÀvs sÀrskilda övergÄngsbestÀmmelser för bestÀmmelserna om loggning i uppgifts- samlingar. Till de nya lagarna krÀvs det ocksÄ övergÄngsbestÀmmel- ser för Àrenden om tillsyn eller granskning som rör behandlingen av personuppgifter som har pÄbörjats före ikrafttrÀdandet men inte hunnit slutföras.

19

Förkortningar m.m.

2016 Ärs dataskydds- Europaparlamentets och rÄdets direktiv

direktiv

(EU) 2016/680 av den 27 april 2016 om

 

skydd för fysiska personer med avseende

 

pÄ behöriga myndigheters behandling av

 

personuppgifter för att förebygga, för-

 

hindra, utreda, avslöja eller lagföra brott

 

eller verkstÀlla straffrÀttsliga pÄföljder, och

 

det fria flödet av sÄdana uppgifter och om

 

upphÀvande av rÄdets rambeslut

 

2008/977/RIF

brottsdatalagen

Brottsdatalagen (2018:1177)

dataskyddsdirektivet

Europaparlamentets och rÄdets direktiv

 

95/46/EG av den 24 oktober 1995 om

 

skydd för enskilda personer med avseende

 

pÄ behandling av personuppgifter och om

 

det fria flödet av sÄdana uppgifter

dataskydds-

Europaparlamentets och rÄdets förordning

förordningen

(EU) 2016/679 av den 27 april 2016 om

 

skydd för fysiska personer med avseende

 

pÄ behandling av personuppgifter och om

 

det fria flödet av sÄdana uppgifter och om

 

upphÀvande av direktiv 95/46/EG (allmÀn

 

dataskyddsförordning)

dataskydds-

EuroparÄdets konvention av den 28 januari

konventionen

1981 om skydd för enskilda vid automatisk

 

databehandling av personuppgifter

 

21

Förkortningar

SOU 2018:63

dataskyddslagen

Lagen (2018:218) med kompletterande

 

bestÀmmelser till EU:s dataskydds-

 

förordning

dataskydds-

RĂ„dets rambeslut 2008/977/RIF av den

rambeslutet

27 november 2008 om skydd av person-

 

uppgifter som behandlas inom ramen för

 

polissamarbete och straffrÀttsligt

 

samarbete

DI

Datainspektionen

dir.

direktiv

dnr

diarienummer

EU

Europeiska unionen

Europadomstolen

Europeiska domstolen för de mÀnskliga

 

rÀttigheterna

Europakonventionen

Europeiska konventionen den 4 november

 

1950 angÄende skydd för de mÀnskliga

 

rÀttigheterna och de grundlÀggande

 

friheterna

EU-stadgan

Europeiska unionens stadga om de grund-

 

lÀggande rÀttigheterna

f./ff.

följande sida/sidor

FM

Försvarsmakten

FM-PuF

förordningen (2007:260) om behandling

 

av personuppgifter i Försvarsmaktens

 

försvarsunderrÀttelseverksamhet och

 

militÀra sÀkerhetstjÀnst

22

SOU 2018:63Förkortningar

FM-PuL

Lagen (2007:258) om behandling av

 

personuppgifter i Försvarsmaktens

 

försvarsunderrÀttelseverksamhet och

 

militÀra sÀkerhetstjÀnst

FN

Förenta nationerna

FRA

Försvarets radioanstalt

FRA-PuF

förordningen (2007:261) om behandling av

 

personuppgifter i Försvarets radioanstalts

 

försvarsunderrÀttelse- och utvecklings-

 

verksamhet

FRA-PuL

lagen (2007:259) om behandling av person-

 

uppgifter i Försvarets radioanstalts

 

försvarsunderrÀttelse- och utvecklings-

 

verksamhet

FUL

lagen (2000:130) om försvarsunderrÀttelse-

 

verksamhet

Fö

Försvarsdepartementet

IKFN

förordningen (1982:765) om Försvars-

 

maktens ingripanden vid krÀnkningar av

 

Sveriges territorium under fred och

 

neutralitet m.m.

JO

Riksdagens ombudsmÀn

JK

Justitiekanslern

KU

Konstitutionsutskottet

MSB

Myndigheten för samhÀllsskydd

 

och beredskap

23

Förkortningar

SOU 2018:63

NCT

Nationellt centrum för

 

terrorhotbedömning

OSL

offentlighets- och sekretesslagen

 

(2009:400)

prop.

regeringens proposition

PUL

personuppgiftslagen (1998:204)

RA-FS

Riksarkivets författningssamling

RA-MS

Riksarkivets myndighetsspecifika

 

föreskrifter

rskr.

Riksdagsskrivelse

Signalspaningslagen

lagen (2008:717) om signalspaning

 

i försvarsunderrÀttelseverksamhet

Siun

Statens inspektion för försvarsunder-

 

rÀttelseverksamheten

SOU

Statens offentliga utredningar

TDV

Tekniskt detekterings- och varningssystem

TF

Tryckfrihetsförordningen (1949:105)

24

1 Författningsförslag

1.1Förslag till lag (2019:000) om behandling av personuppgifter vid Försvarsmakten

HÀrigenom föreskrivs följande.

1 kap. AllmÀnna bestÀmmelser

Syftet med lagen

1 § Syftet med denna lag Àr att sÀkerstÀlla att Försvarsmakten kan behandla personuppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling.

Lagens tillÀmpningsomrÄde

2 § Denna lag gÀller vid Försvarsmaktens behandling av personupp- gifter som rör Sveriges försvar och sÀkerhet.

3 § Lagen gÀller vid sÄdan behandling av personuppgifter som Àr helt eller delvis automatiserad eller om uppgifterna ingÄr i eller Àr av- sedda att ingÄ i en strukturerad samling av personuppgifter som Àr till- gÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.

4 § Vid behandling av personuppgifter enligt denna lag gÀller inte lagen (2018:218) med kompletterande bestÀmmelser till EU:s data- skyddsförordning.

25

Författningsförslag

SOU 2018:63

FörhÄllandet till annan reglering

5 § BestÀmmelserna i denna lag ska inte tillÀmpas i den utstrÀck- ning det skulle inskrÀnka skyldigheten enligt 2 kap. tryckfrihetsför- ordningen att lÀmna ut personuppgifter.

Personuppgiftsansvar

6 § Försvarsmakten Àr personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under myndighetens ledning eller pÄ dess vÀgnar.

7 § Försvarsmakten fÄr vara gemensamt personuppgiftsansvarig med annan endast i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Definitioner

8 § I denna lag anvÀnds följande uttryck med nedan angiven be- tydelse.

Uttryck

Betydelse

Behandling av personuppgifter

En ÄtgÀrd eller kombination av

 

ÄtgÀrder som vidtas i frÄga om per-

 

sonuppgifter eller uppsÀttningar

 

av personuppgifter, oavsett om

 

det görs automatiserat eller inte,

 

t.ex. insamling, registrering, orga-

 

nisering, strukturering, lagring,

 

bearbetning eller Àndring, fram-

 

tagning, lÀsning, anvÀndning, ut-

 

lÀmnande, spridning eller till-

 

handahÄllande pÄ annat sÀtt,

 

justering, sammanföring, begrÀns-

 

ning, radering eller förstöring.

26

SOU 2018:63Författningsförslag

Biometriska uppgifter

Personuppgifter som rör en per-

 

sons fysiska, fysiologiska eller

 

beteendemÀssiga kÀnnetecken,

 

som tagits fram genom sÀrskild

 

teknisk behandling och som möj-

 

liggör eller bekrÀftar unik identi-

 

fiering av personen i frÄga.

Dataskyddsombud

En fysisk person som utses av

 

den personuppgiftsansvarige för

 

att sjÀlvstÀndigt se till att person-

 

uppgifter behandlas författnings-

 

enligt och pÄ ett korrekt sÀtt.

Genetiska uppgifter

Personuppgifter som rör en per-

 

sons nedÀrvda eller förvÀrvade

 

genetiska kÀnnetecken och som

 

hÀrrör frÄn analys av ett spÄr av

 

eller ett prov frÄn personen i

 

frÄga.

Logg

Behandlingshistorik som sparas

 

viss tid.

Mottagare

Den till vilken personuppgifter

 

lÀmnas ut, med undantag av en

 

myndighet som med stöd av för-

 

fattning utövar tillsyn, kontroll

 

eller revision.

Personuppgift

Varje upplysning om en identi-

 

fierad eller identifierbar fysisk

 

person som Àr i livet.

Personuppgiftsansvarig

Den som ensam eller tillsam-

 

mans med andra bestÀmmer Ànda-

 

mÄlen med och medlen för be-

 

handlingen av personuppgifter.

27

FörfattningsförslagSOU 2018:63

PersonuppgiftsbitrÀde

Den som, med stöd av ett skrift-

 

ligt avtal eller annan skriftlig

 

överenskommelse, behandlar per-

 

sonuppgifter för den personupp-

 

giftsansvariges rÀkning.

Tredje part

NÄgon annan Àn den som per-

 

sonuppgiften rör, personupp-

 

giftsansvarige, dataskyddsombu-

 

det, personuppgiftsbitrÀdet och

 

sÄdana personer som under den

 

personuppgiftsansvariges eller per-

 

sonuppgiftsbitrÀdets direkta an-

 

svar har rÀtt att behandla person-

 

uppgifter.

Uppgiftssamling

En samling med uppgifter som

 

med hjÀlp av automatiserad be-

 

handling Àr gemensamt tillgÀng-

 

liga.

2 kap. Behandling av personuppgifter

RĂ€ttsliga grunder

Försvar och sÀkerhet

1 § Försvarsmakten fÄr behandla personuppgifter om det Àr nödvÀn- digt för att planera, förbereda och genomföra verksamhet som rör

1.Sveriges försvar och sÀkerhet, eller

2.internationellt försvars- och sÀkerhetssamarbete. Försvarsmaktens uppgift att bedriva sÄdan verksamhet som anges

iförsta stycket ska följa av lag, förordning eller ett sÀrskilt beslut i vilket regeringen uppdragit Ät myndigheten att utföra uppgiften.

28

SOU 2018:63

Författningsförslag

SÀrskilt om försvarsunderrÀttelseverksamhet

2 § Personuppgifter fÄr behandlas i Försvarsmaktens försvarsunder- rÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksam- het som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet.

3 § De personuppgifter som Försvarsmakten har fÄtt tillgÄng till i myndighetens försvarsunderrÀttelseverksamhet fÄr fortsatt behand- las i den verksamheten, om det behövs för att fullgöra den.

Vad som sÀgs i första stycket gÀller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslut- ning till lagen.

SÀrskilt om militÀr sÀkerhetstjÀnst

4 § Personuppgifter fÄr behandlas i Försvarsmaktens militÀra sÀker- hetstjÀnst för att upptÀcka, förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhets- intressen, om det Àr nödvÀndigt för att

1.klarlÀgga verksamhet som innefattar hot mot Sveriges sÀker- het, eller

2.vidta ÄtgÀrder som hindrar eller försvÄrar sÀkerhetshotande verksamhet.

5 § Uppgifter om en person fÄr behandlas för de ÀndamÄl som anges i 4 § endast om

1.uppgifterna Àr nödvÀndiga för att kartlÀgga verksamhet som innefattar brott som kan hota Sveriges sÀkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvar- ande brottslighet enligt tidigare lagstiftning,

2.uppgifterna Àr nödvÀndiga för att kartlÀgga underrÀttelseverk- samhet riktad mot Försvarsmakten och dess sÀkerhetsintressen,

3.uppgifterna Àr nödvÀndiga för att kartlÀgga annan sÀkerhets- hotande verksamhet Àn som avses i 1 och som innefattar brott eller ÄsidosÀttande av Äligganden i anstÀllning hos Försvarsmakten, och det finns sÀrskilda skÀl till att uppgiften ska behandlas,

4.personen har lÀmnat uppgifter om sÀkerhetshotande verksam- het och personuppgifterna Àr nödvÀndiga för att bedöma personens trovÀrdighet, eller

29

Författningsförslag

SOU 2018:63

5.uppgifterna avser information som har framkommit i samband med sÀkerhetsprövning enligt sÀkerhetsskyddslagen (1996:627) eller

iannat fall Àr nödvÀndiga för att utföra en uppgift som rör sÀker- hetsskydd.

6 § Personuppgifter som behandlas enligt 5 § ska förses med upp- lysning om pÄ vilken av de angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av nÄgot annat Àn antagande om att personen har utövat eller kommer att utöva brotts- lig verksamhet ska det sÀrskilt anges att personen inte Àr misstÀnkt för brottslig verksamhet, om det inte pÄ annat sÀtt klart framgÄr att sÄdan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan sÀkerhetshotande verksamhet ska förses med en sÀrskild upplysning om detta, om det inte pÄ annat sÀtt klart framgÄr att sÄdant antagande inte finns.

Personuppgifter som behandlas enligt 5 § första stycket 1–3 ska i förekommande fall förses med en upplysning om uppgiftslĂ€mnarens trovĂ€rdighet och uppgifternas riktighet i sak.

7 § Trots vad som sÀgs i 5 och 6 §§ fÄr personuppgifter som ingÄr i eller har uppkommit i samband med anvÀndning av totalförsvarets telekommunikations- och informationssystem behandlas för att för- hindra obehörig insyn i och pÄverkan av dessa system. Det gÀller Àven sÄdana uppgifter som avses i 15, 16, 18 och 19 §§. Behandling som sÀrskilt syftar till att identifiera en person fÄr dock endast utföras om bestÀmmelserna i 5 § 1, 2 eller 3 tillÀmpas.

Övriga rĂ€ttsliga grunder

8 § Personuppgifter som utgör allmÀnt tillgÀnglig information fÄr behandlas av Försvarsmakten om det Àr nödvÀndigt för de ÀndamÄl som anges i 1, 2 och 4 §§.

9 § Personuppgifter fÄr behandlas av Försvarsmakten om det Àr nöd- vÀndigt för diarieföring, arkivering, handlÀggning av ett Àrende eller för att utföra annan liknande uppgift som Äligger myndigheten.

30

SOU 2018:63

Författningsförslag

10 § Försvarsmakten fÄr behandla personuppgifter för vetenskap- liga, statistiska eller historiska ÀndamÄl inom denna lags tillÀmp- ningsomrÄde.

11 § Försvarsmakten fÄr behandla personuppgifter för att kunna tillgodose enskildas behov av information enligt 5 kap. och kunna lÀmna information vid tillsyn eller kontroll.

GrundlÀggande krav

ÄndamĂ„l

12 § Personuppgifter fÄr bara behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl.

Personuppgifter fÄr inte behandlas för nÄgot ÀndamÄl som Àr oför- enligt med det ÀndamÄl för vilket personuppgifterna ursprungligen behandlades.

Författningsenlig och korrekt behandling

13 § Personuppgifter ska behandlas författningsenligt och pÄ ett korrekt sÀtt.

Personuppgifternas kvalitet

14 § Personuppgifter som behandlas ska vara adekvata och rele- vanta i förhÄllande till ÀndamÄlen med behandlingen och, om det Àr nödvÀndigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas pÄ ett objektivt sÀtt med respekt för mÀnniskovÀrdet.

Fler personuppgifter fÄr inte behandlas Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen.

31

Författningsförslag

SOU 2018:63

KĂ€nsliga personuppgifter

15 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening eller som rör hÀlsa, sexualliv eller sexuell lÀggning fÄr inte behandlas.

NÀr uppgifter om en person behandlas fÄr de dock kompletteras med sÄdana uppgifter som avses i första stycket, om det Àr absolut nödvÀndigt för syftet med behandlingen.

16 § Biometriska uppgifter fÄr behandlas endast om det Àr absolut nödvÀndigt för ÀndamÄlet för behandlingen. Genetiska uppgifter fÄr inte behandlas.

17 § Vid sökning fÄr personuppgifter som avslöjar ras, etniskt ur- sprung, politiska Äsikter, religiös eller filosofisk övertygelse eller med- lemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀgg- ning anvÀndas som sökbegrepp om det Àr absolut nödvÀndigt för syftet med behandlingen. Detsamma gÀller biometriska uppgifter.

Personnummer

18 § Uppgifter om personnummer eller samordningsnummer fÄr behandlas bara nÀr det Àr klart motiverat med hÀnsyn till

1.ÀndamÄlet med behandlingen,

2.vikten av en sÀker identifiering, eller

3.nÄgot annat beaktansvÀrt skÀl.

Om den som uppgifterna rör har offentliggjort uppgifterna eller lÀmnat sitt samtycke

19 § Utan hinder av vad som föreskrivs i 15, 16 och 18 §§ fÄr per- sonuppgifter behandlas, om den som personuppgifterna rör har lÀmnat sitt uttryckliga samtycke eller pÄ ett tydligt sÀtt har offentliggjort uppgifterna.

Första stycket gÀller inte genetiska uppgifter.

32

SOU 2018:63

Författningsförslag

Behandling av personuppgifter i vissa fall

20 § Hantering av information som innebĂ€r behandling av person- uppgifter ska inte anses oförenlig med bestĂ€mmelserna i 1, 2, 4, 5, 7, 8 och 12–16 §§ i det skede av behandlingen dĂ„ det inte har kunnat faststĂ€llas vilka personuppgifter som informationen innehĂ„ller.

LÀngsta tid som personuppgifter fÄr behandlas

21 § Personuppgifter som behandlas automatiserat fĂ„r inte behand- las under lĂ€ngre tid Ă€n vad som behövs för nĂ„got eller nĂ„gra av de Ă€ndamĂ„l som anges i 1–11 §§.

Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i ett en- skilt fall besluta att personuppgifter fÄr behandlas under endast viss tid eller bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

UtlÀmnande av personuppgifter

22 § Personuppgifter som behandlas med stöd av denna lag fÄr föras över till andra lÀnder eller internationella organisationer endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvars- makten ska kunna fullgöra sina uppgifter inom ramen för inter- nationellt försvars- och sÀkerhetssamarbete.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall om det Àr nödvÀndigt för verksamheten vid Försvarsmakten.

23 § Personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst om det inte Àr olÀmpligt.

Elektroniskt utlĂ€mnande genom direktĂ„tkomst Ă€r tillĂ„tet bara i den utstrĂ€ckning som anges i 3 kap. 2–4 §§.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begrÀnsning av möjligheten att lÀmna ut personupp- gifter elektroniskt enligt första stycket.

33

Författningsförslag

SOU 2018:63

3 kap. Gemensamt tillgÀngliga uppgifter

Personuppgifter som fÄr göras gemensamt tillgÀngliga

1 § Personuppgifter fÄr göras gemensamt tillgÀngliga om det behövs för nÄgot av de ÀndamÄl som anges i 2 kap. Personuppgifter som endast ett fÄtal personer har tillgÄng till anses inte som gemensamt tillgÀngliga.

Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.

DirektÄtkomst

FörsvarsunderrÀttelseverksamhet

2 § Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretess- lagen (2009:400) fÄr SÀkerhetspolisen och Försvarets radioanstalt medges direktÄtkomst till personuppgifter som utgör bearbetnings- underlag och analysresultat inom försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar.

3 § Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrÀttelse- och sÀkerhetssam- arbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det, en utlÀndsk under- rÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgif- ter som behandlas med stöd av 2 kap. 2 § och som finns i uppgifts- samlingar.

DirektÄtkomst i andra fall

4 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter eller sÀrskilt beslut om vilka som i andra fall Àn de som anges i 2 § och 3 § fÄr ha direktÄtkomst till gemensamt tillgÀng- liga uppgifter.

34

SOU 2018:63

Författningsförslag

Övriga bestĂ€mmelser

5 § Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktÄtkomsten, och

2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.

4 kap. Skyldighet som personuppgiftsansvarig

ÅtgĂ€rder för att sĂ€kerstĂ€lla författningsenlig behandling

1 § Försvarsmakten ska, genom lÀmpliga tekniska och organisato- riska ÄtgÀrder, sÀkerstÀlla att behandlingen av personuppgifter Àr för- fattningsenlig och skydda rÀttigheterna för dem som uppgifterna rör.

2 § Försvarsmakten ska sÀkerstÀlla att det förs loggar över person- uppgiftsbehandling av gemensamt tillgÀngliga uppgifter. Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om loggar.

3 § TillgÄngen till personuppgifter ska alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

SÀkerheten för personuppgifter

4 § Försvarsmakten ska vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot för- lust eller annan oavsiktlig skada.

Dataskyddsombud

5 § Försvarsmakten ska inom myndigheten utse ett eller flera data- skyddsombud och anmÀla till tillsynsmyndigheten nÀr dataskydds- ombud utses och entledigas.

35

Författningsförslag

SOU 2018:63

6 § Dataskyddsombudet ska

1.sjÀlvstÀndigt kontrollera att Försvarsmakten behandlar person- uppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt full- gör sina skyldigheter,

2.informera och ge rÄd till Försvarsmakten och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.samrÄda med tillsynsmyndigheten, och

4.föra en förteckning över de kategorier av behandlingar som Försvarsmakten ansvarar för och som Àr helt eller delvis automati- serade.

Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en förteckning som avses i första stycket 4 ska innehÄlla.

Om Försvarsmakten bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas, ska data- skyddsombudet anmÀla det till tillsynsmyndigheten.

PersonuppgiftsbitrÀden

7 § Försvarsmakten fÄr, om det Àr lÀmpligt, anlita personuppgifts- bitrÀden för behandling av personuppgifter pÄ Försvarsmaktens vÀgnar. Innan ett personuppgiftsbitrÀde anlitas, ska Försvarsmakten försÀkra sig om att bitrÀdet kommer att vidta de lÀmpliga tekniska och organi- satoriska ÄtgÀrder som krÀvs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda rÀttigheterna för den som uppgifterna rör.

8 § PersonuppgiftsbitrÀdets behandling av personuppgifter ska reg- leras i ett skriftligt avtal eller annan skriftlig överenskommelse.

9 § Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personupp- giftsbitrÀde utan skriftligt tillstÄnd av Försvarsmakten.

10 § Ett personuppgiftsbitrÀde eller den eller de personer som arbetar under bitrÀdets eller Försvarsmaktens ledning ska behandla person- uppgifter i enlighet med instruktioner frÄn Försvarsmakten.

36

SOU 2018:63

Författningsförslag

Om ett personuppgiftsbitrÀde, i strid med Försvarsmaktens in- struktioner, bestÀmmer ÀndamÄlen med och medlen för behandlingen, ska bitrÀdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.

11 § Det som sĂ€gs om Försvarsmaktens skyldigheter i 2–4 §§ gĂ€ller Ă€ven för personuppgiftsbitrĂ€den som Försvarsmakten anlitar.

5 kap. Enskildas rÀttigheter

RĂ€tten till information

AllmÀn information

1 § Försvarsmakten ska göra följande allmÀnna information till- gÀnglig.

1.Myndighetens identitet och kontaktuppgifter.

2.Uppgifter om dataskyddsombudet.

3.ÄndamĂ„len med behandlingen.

4.RÀtten enligt 3 § att begÀra att fÄ information om behandling av personuppgifter och att fÄ del av dem.

5.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen enligt 6 §.

Information som ska lÀmnas om uppgifterna samlas in frÄn personen sjÀlv

2 § Om uppgifter om en person samlas in frÄn personen sjÀlv, ska Försvarsmakten nÀr personuppgifterna erhÄlls, sjÀlvmant lÀmna föl- jande information till den som uppgifterna rör:

1.uppgift om att det Àr Försvarsmakten som Àr personuppgifts- ansvarig för behandlingen,

2.uppgift om ÀndamÄlen med behandlingen, och

3.all övrig information som behövs för att den som uppgifterna rör ska kunna ta till vara sina rÀttigheter i samband med behandlingen, sÄ- som information om mottagarna av uppgifterna, skyldighet att lÀmna uppgifter och rÀtten att ansöka om information och fÄ rÀttelse.

37

Författningsförslag

SOU 2018:63

Information som ska lÀmnas efter begÀran

3 § Försvarsmakten Àr skyldig att en gÄng per kalenderÄr till den som begÀr det lÀmna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökan- den fÄ del av dem och fÄ följande skriftliga information.

1.Vilka personuppgifter om den sökande som behandlas.

2.VarifrÄn personuppgifterna kommer.

3.Den rÀttsliga grunden för behandlingen.

4.ÄndamĂ„len med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven i annat land eller internationella organisationer.

6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.

7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen enligt 6 §.

UtlÀmnande enligt första stycket behöver inte omfatta person- uppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.

En ansökan enligt första stycket ska göras skriftligen hos För- svarsmakten och vara undertecknad av den sökande sjÀlv. Informa- tion enligt första stycket ska lÀmnas inom en mÄnad frÄn det att ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.

BegrÀnsning av rÀtten till information

4 § Informationsskyldigheten i 2 och 3 §§ gÀller inte i den utstrÀck- ning sekretess hindrar att uppgifterna lÀmnas ut.

Om förutsÀttningarna i första stycket Àr uppfyllda, Àr Försvars- makten inte skyldig att lÀmna ut skÀlen för beslut enligt första stycket eller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behand- lingen enligt 6 §.

5 § Informationsskyldigheten i 2 och 3 §§ gÀller inte personupp- gifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller som utgör minnesanteckning eller liknande.

38

SOU 2018:63

Författningsförslag

Informationsskyldigheten gÀller dock om uppgifterna har lÀm- nats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller historiska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats lÀngre Àn ett Är.

RÀtten till rÀttelse, radering och begrÀnsning av behandlingen

6 § Försvarsmakten ska pÄ begÀran av den som personuppgiften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.

Försvarsmakten ska ocksÄ underrÀtta tredje part till vilken upp- gifterna har lÀmnats ut om ÄtgÀrden, om den som personuppgiften rör begÀr det eller om en mera betydande skada eller olÀgenhet för denne skulle kunna undvikas genom en underrÀttelse.

NÄgon underrÀttelse behöver dock inte lÀmnas, om sekretess hind- rar det eller detta Àr omöjligt eller skulle innebÀra en oproportionerligt stor arbetsinsats.

Avgiftsfri information

7 § Information enligt 1 och 2 §§ ska lÀmnas utan avgift. Information och uppgifter enligt 3 § ska lÀmnas utan avgift en

gÄng per kalenderÄr. Om nÄgon begÀr information och uppgifter en- ligt 3 § oftare Àn en gÄng per kalenderÄr, fÄr Försvarsmakten avslÄ begÀran.

6 kap. Tillsyn

Tillsyn över personuppgiftsbehandlingen

1 § Den myndighet som regeringen bestÀmmer ska utöva allmÀn tillsyn över Försvarsmaktens behandling av personuppgifter enligt denna lag.

Tillsynsmyndigheten ska ge rÄd och stöd till Försvarsmakten om myndighetens skyldigheter enligt lag eller annan författning eller nÀr det i övrigt Àr pÄkallat.

39

Författningsförslag

SOU 2018:63

Befogenheter

Utredningsbefogenheter

2 § Tillsynsmyndigheten har rÀtt att av Försvarsmakten eller ett personuppgiftsbitrÀde pÄ begÀran fÄ

1.tillgÄng till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av per- sonuppgifter och sÀkerhets- och skyddsÄtgÀrder,

3.tilltrÀde till sÄdana lokaler som har anknytning till behandling av personuppgifter och tillgÄng till utrustning och andra medel för behandling av personuppgifter, och

4.det bitrÀde och annan information som behövs för tillsynen.

Förebyggande befogenheter

3 § Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom rÄd, rekommendationer eller pÄpekanden försöka förmÄ Försvarsmakten eller personuppgifts- bitrÀdet att vidta ÄtgÀrder för att minska den risken.

Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att plane- rad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning. Detsamma gÀller om pÄgÄende behandling riske- rar att stÄ i strid med lag eller annan författning.

Korrigerande befogenheter

4 § Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning, eller att Försvars- makten eller ett personuppgiftsbitrÀde annars inte fullgör sina skyl- digheter, fÄr tillsynsmyndigheten

1.genom sÄdana ÄtgÀrder som anges i 3 § första stycket försöka förmÄ Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀr- der för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, eller

2.förelÀgga Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att full- göra andra skyldigheter.

40

SOU 2018:63

Författningsförslag

Om ett förelÀggande utfÀrdas ska det av förelÀggandet framgÄ nÀr ÄtgÀrderna senast ska vara genomförda och, om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas.

7 kap. SkadestÄnd och överklagande

SkadestÄnd

1 § Den personuppgiftsansvarige ska ersÀtta den som personupp- giften rör för skada och krÀnkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

ErsÀttningsskyldigheten kan i den utstrÀckning det Àr skÀligt, jÀmkas om den personuppgiftsansvarige visar att felet inte berodde pÄ denne.

Överklagande

2 § Försvarsmaktens beslut om information som ska lÀmnas enligt 5 kap. 2 och 3 §§ och om rÀttelse och underrÀttelse till tredje part enligt 5 kap. 6 § fÄr överklagas hos allmÀn förvaltningsdomstol. Andra beslut enligt denna lag fÄr inte överklagas.

PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.

3 § Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrÀtt.

1.Denna lag trÀder i kraft den 1 oktober 2019.

2.BestÀmmelsen i 4 kap. 2 § om loggning behöver inte tillÀmpas pÄ automatiserade system för behandling av personuppgifter som inrÀttats före ikrafttrÀdandet förrÀn den 1 maj 2024.

3.Ärenden om tillsyn eller granskning av Försvarsmaktens person- uppgiftsbehandling som Datainspektionen eller Statens inspektion för försvarsunderrĂ€ttelseverksamheten inte har avgjort före ikrafttrĂ€dan- det handlĂ€ggs enligt Ă€ldre föreskrifter.

41

Författningsförslag

SOU 2018:63

1.2Förslag till lag (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt

HÀrigenom föreskrivs följande.

1 kap. AllmÀnna bestÀmmelser

Syftet med lagen

1 § Syftet med denna lag Àr att sÀkerstÀlla att Försvarets radioanstalt kan behandla personuppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling.

Lagens tillÀmpningsomrÄde

2 § Denna lag gÀller vid behandling av personuppgifter i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet samt informationssÀkerhetsverksamhet.

3 § Lagen gÀller vid sÄdan behandling av personuppgifter som Àr helt eller delvis automatiserad eller om uppgifterna ingÄr i eller Àr av- sedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.

4 § Vid behandling av personuppgifter enligt denna lag gÀller inte lagen (2018:218) med kompletterande bestÀmmelser till EU:s data- skyddsförordning.

FörhÄllandet till annan reglering

5 § BestÀmmelserna i denna lag ska inte tillÀmpas i den utstrÀck- ning det skulle inskrÀnka skyldigheten enligt 2 kap. tryckfrihetsför- ordningen att lÀmna ut personuppgifter.

42

SOU 2018:63

Författningsförslag

Personuppgiftsansvar

6 § Försvarets radioanstalt Àr personuppgiftsansvarig för den be- handling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under myndighetens ledning eller pÄ dess vÀgnar.

7 § Försvarets radioanstalt fÄr vara gemensamt personuppgifts- ansvarig med annan endast i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Definitioner

8 § I denna lag anvÀnds följande uttryck med nedan angiven be- tydelse.

Uttryck

Betydelse

 

 

 

Behandling av personuppgifter

En ÄtgÀrd eller kombination av

 

ÄtgÀrder som vidtas i frÄga om

 

personuppgifter

eller

uppsÀtt-

 

ningar av personuppgifter, oav-

 

sett om det görs automatiserat

 

eller inte, t.ex. insamling, regi-

 

strering,

organisering,

struktu-

 

rering, lagring, bearbetning eller

 

Ă€ndring,

framtagning,

lÀsning,

 

anvÀndning, utlÀmnande, sprid-

 

ning eller tillhandahÄllande pÄ

 

annat sÀtt, justering, sammanför-

 

ing, begrÀnsning,

radering eller

 

förstöring.

 

 

Biometriska uppgifter

Personuppgifter som rör en per-

 

sons fysiska, fysiologiska eller

 

beteendemÀssiga

kÀnnetecken,

 

som tagits fram genom sÀrskild

43

FörfattningsförslagSOU 2018:63

 

teknisk behandling och som möj-

 

liggör eller bekrÀftar unik identi-

 

fiering av personen i frÄga.

Dataskyddsombud

En fysisk person som utses av

 

den personuppgiftsansvarige för

 

att sjÀlvstÀndigt se till att person-

 

uppgifter behandlas författnings-

 

enligt och pÄ ett korrekt sÀtt.

Genetiska uppgifter

Personuppgifter som rör en per-

 

sons

nedÀrvda eller

förvÀrvade

 

genetiska kÀnnetecken och som

 

hÀrrör frÄn analys av ett spÄr av

 

eller ett prov frÄn personen i

 

frÄga.

 

 

 

Logg

Behandlingshistorik som sparas

 

viss tid.

 

 

Mottagare

Den till vilken personuppgifter

 

lÀmnas ut, med undantag av en

 

myndighet som med stöd av för-

 

fattning utövar tillsyn, kontroll

 

eller revision.

 

Personuppgift

Varje upplysning om en identi-

 

fierad

eller

identifierbar fysisk

 

person som Àr i livet.

 

Personuppgiftsansvarig

Den som ensam eller tillsam-

 

mans

med

andra

bestÀmmer

 

ÀndamÄlen med och medlen för

 

behandlingen av personuppgifter.

44

SOU 2018:63Författningsförslag

PersonuppgiftsbitrÀde

Den som, med stöd av ett skrift-

 

ligt avtal eller annan skriftlig

 

överenskommelse, behandlar per-

 

sonuppgifter för den personupp-

 

giftsansvariges rÀkning.

Tredje part

NÄgon annan Àn den som person-

 

uppgiften rör, personuppgiftsan-

 

svarige, dataskyddsombudet, per-

 

sonuppgiftsbitrÀdet och sÄdana

 

personer som under den person-

 

uppgiftsansvariges eller person-

 

uppgiftsbitrÀdets direkta ansvar

 

har rÀtt att behandla person-

 

uppgifter.

Uppgiftssamling

En samling med uppgifter som

 

med hjÀlp av automatiserad be-

 

handling Àr gemensamt tillgÀng-

 

liga.

2 kap. Behandling av personuppgifter

RĂ€ttsliga grunder

FörsvarsunderrÀttelseverksamhet

1 § Personuppgifter fÄr behandlas i Försvarets radioanstalts för- svarsunderrÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunder- rÀttelseverksamhet och lagen (2008:717) om signalspaning i försvars- underrÀttelseverksamhet.

2 § De personuppgifter som Försvarets radioanstalt har fÄtt till- gÄng till i myndighetens försvarsunderrÀttelseverksamhet fÄr fortsatt behandlas i den verksamheten, om det behövs för att fullgöra den.

Vad som sÀgs i första stycket gÀller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslut- ning till lagen.

45

Författningsförslag

SOU 2018:63

3 § Personuppgifter som behandlas med stöd av 1 och 2 §§ fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs

1.i verksamhet hos berörda myndigheter som avses i 2 § första stycket lagen (2000:130) om försvarsunderrÀttelseverksamhet,

2.med anledning av samarbete med andra lÀnder och interna- tionella organisationer enligt lagen (2000:130) om försvarsunder- rÀttelseverksamhet och lagen (2008:717) om signalspaning i försvars- underrÀttelseverksamhet,

3.i utvecklingsverksamheten för de ÀndamÄl som anges i 4 §,

4.i informationssÀkerhetsverksamheten för de ÀndamÄl som an- ges i 6 §, eller

5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Utvecklingsverksamhet

4 § Om det Àr nödvÀndigt för försvarsunderrÀttelseverksamheten fÄr Försvarets radioanstalt behandla personuppgifter för att

1.följa förÀndringar i signalmiljön i omvÀrlden, den tekniska ut- vecklingen och signalskyddet, och

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

5 § Personuppgifter som behandlas med stöd av 4 § fÄr Àven be- handlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs

1.med anledning av samverkan med annan avseende utvecklings- verksamhet,

2.med anledning av samarbete om utvecklingsverksamhet med andra lÀnder eller internationella organisationer enligt lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet,

3.i försvarsunderrÀttelseverksamheten för de ÀndamÄl som anges

i1 och 2 §§,

4.i informationssÀkerhetsverksamhet för de ÀndamÄl som anges

i6 §, eller

46

SOU 2018:63

Författningsförslag

5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

InformationssÀkerhetsverksamhet

6 § Personuppgifter fÄr behandlas i Försvarets radioanstalts infor- mationssÀkerhetsverksamhet om det Àr nödvÀndigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verk- samheter som Àr av betydelse för Sveriges sÀkerhet. Uppgiften att lÀmna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.

7 § Personuppgifter som behandlas med stöd av 6 § fÄr Àven be- handlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs

1.i verksamhet hos den som tar emot uppgifter om informa- tionssÀkerhet,

2.med anledning av samverkan med andra som verkar pÄ infor- mationssÀkerhetsomrÄdet sÄvÀl inom som utom landet i den ut- strÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det,

3.i försvarsunderrÀttelseverksamheten för de ÀndamÄl som anges

i1 § andra stycket 5 och 7 lagen (2008:717) om signalspaning i för- svarsunderrÀttelseverksamhet, eller

4.i utvecklingsverksamheten för de ÀndamÄl som anges i 4 §.

Övriga rĂ€ttsliga grunder

8 § Personuppgifter som utgör allmÀnt tillgÀnglig information fÄr behandlas av Försvarets radioanstalt om det Àr nödvÀndigt för de Ànda- mÄl som anges i 1, 2, 4 och 6 §§.

9 § Försvarets radioanstalt fÄr behandla personuppgifter för veten- skapliga, statistiska eller historiska ÀndamÄl inom denna lags tillÀmp- ningsomrÄde.

47

Författningsförslag

SOU 2018:63

10 § Försvarets radioanstalt fÄr behandla personuppgifter för att kunna tillgodose enskildas behov av information enligt 5 kap. och kunna lÀmna information vid tillsyn eller kontroll.

GrundlÀggande krav

ÄndamĂ„l

11 § Personuppgifter fÄr bara behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl.

Personuppgifter fÄr inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket personuppgifterna ursprung- ligen behandlades.

Författningsenlig och korrekt behandling

12 § Personuppgifter ska behandlas författningsenligt och pÄ ett korrekt sÀtt.

Personuppgifternas kvalitet

13 § Personuppgifter som behandlas ska vara adekvata och rele- vanta i förhÄllande till ÀndamÄlen med behandlingen och, om det Àr nödvÀndigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas pÄ ett objektivt sÀtt med respekt för mÀnniskovÀrdet.

Fler personuppgifter fÄr inte behandlas Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen.

KĂ€nsliga personuppgifter

14 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening eller som rör hÀlsa, sexualliv eller sexuell lÀggning fÄr inte behandlas.

48

SOU 2018:63

Författningsförslag

NÀr uppgifter om en person behandlas fÄr de dock kompletteras med sÄdana uppgifter som avses i första stycket, om det Àr absolut nödvÀndigt för syftet med behandlingen.

15 § Biometriska uppgifter fÄr behandlas endast om det Àr absolut nödvÀndigt för ÀndamÄlet för behandlingen. Genetiska uppgifter fÄr inte behandlas.

16 § Vid sökning fÄr personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning anvÀndas som sökbegrepp om det Àr absolut nödvÀndigt för syftet med behandlingen. Detsamma gÀller biometriska uppgifter.

Om den som uppgifterna rör har offentliggjort uppgifterna

17 § Utan hinder av vad som föreskrivs i 14 och 15 §§ fÄr person- uppgifter behandlas, om den som personuppgifterna rör pÄ ett tyd- ligt sÀtt offentliggjort uppgifterna.

Första stycket gÀller inte genetiska uppgifter.

Behandling av personuppgifter i vissa fall

18 § Hantering av information som innebĂ€r behandling av per- sonuppgifter ska inte anses oförenlig med bestĂ€mmelserna i 1, 4, 6, 8 och 11–15 §§ i det skede av behandlingen dĂ„ det inte har kunnat faststĂ€llas vilka personuppgifter som informationen innehĂ„ller.

LÀngsta tid som personuppgifter fÄr behandlas

19 § Personuppgifter som behandlas automatiserat fĂ„r inte be- handlas under lĂ€ngre tid Ă€n vad som behövs för nĂ„got eller nĂ„gra av de Ă€ndamĂ„l som anges i 1–10 §§.

Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter fÄr behandlas under endast

49

Författningsförslag

SOU 2018:63

viss tid eller bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

UtlÀmnande av personuppgifter

20 § Personuppgifter som behandlas med stöd av denna lag fÄr föras över till en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet eller en interna- tionell organisation endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för internationellt försvarsunderrÀttelse- och sÀkerhetssamarbete.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvarets radioanstalt.

21 § Personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst om regeringen har meddelat föreskrifter eller sÀrskilt beslutat om det.

Elektroniskt utlĂ€mnande genom direktĂ„tkomst Ă€r tillĂ„tet bara i den utstrĂ€ckning som anges i 3 kap. 2–6 §§.

3 kap. Gemensamt tillgÀngliga uppgifter

Personuppgifter som fÄr göras gemensamt tillgÀngliga

1 § Personuppgifter fĂ„r göras gemensamt tillgĂ€ngliga och behand- las i uppgiftssamlingar om det behövs för nĂ„got av de Ă€ndamĂ„l som anges i 2 kap. 1–10 §§. Personuppgifter som endast ett fĂ„tal personer har tillgĂ„ng till anses inte som gemensamt tillgĂ€ngliga.

Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.

50

SOU 2018:63

Författningsförslag

DirektÄtkomst

FörsvarsunderrÀttelseverksamhet

2 § Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretess- lagen (2009:400) fÄr SÀkerhetspolisen och Försvarsmakten medges direktÄtkomst till personuppgifter som utgör analysresultat inom försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar.

3 § Om det behövs för samarbetet mot terrorism eller för annat internationellt sÀkerhetssamarbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direkt- Ätkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § och som finns i uppgiftssamlingar.

InformationssÀkerhetsverksamhet

4 § Om det behövs för samarbetet mot it-relaterade hot mot sam- hÀllsviktiga system fÄr, i den utstrÀckning det följer av lag eller för- ordning eller om regeringen i ett enskilt fall beslutar om det, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 6 § och som finns i uppgiftssamlingar.

DirektÄtkomst i andra fall

5 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter eller sĂ€rskilt beslut om vilka som i andra fall Ă€n i 2–4 §§ fĂ„r ha direktĂ„tkomst till uppgiftssamlingar.

Övriga bestĂ€mmelser

6 § Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktÄtkomsten, och

2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.

51

Författningsförslag

SOU 2018:63

4 kap. Skyldighet som personuppgiftsansvarig

ÅtgĂ€rder för att sĂ€kerstĂ€lla författningsenlig behandling

1 § Försvarets radioanstalt ska, genom lÀmpliga tekniska och orga- nisatoriska ÄtgÀrder, sÀkerstÀlla att behandlingen av personuppgifter Àr författningsenlig och skydda rÀttigheterna för dem som uppgift- erna rör.

2 § Försvarets radioanstalt ska sÀkerstÀlla att det i uppgiftsamlingar förs loggar över personuppgiftsbehandling. Regeringen eller den myn- dighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om loggar.

3 § TillgÄngen till personuppgifter ska alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

SÀkerheten för personuppgifter

4 § Försvarets radioanstalt ska vidta lÀmpliga tekniska och organi- satoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.

Dataskyddsombud

5 § Försvarets radioanstalt ska inom myndigheten utse ett eller flera dataskyddsombud och anmÀla dessa till tillsynsmyndigheten nÀr dataskyddsombud utses och entledigas.

6 § Dataskyddsombudet ska

1.sjÀlvstÀndigt kontrollera att Försvarets radioanstalt behandlar personuppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter,

2.informera och ge rÄd till Försvarets radioanstalt och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.samrÄda med tillsynsmyndigheten, och

52

SOU 2018:63

Författningsförslag

4.föra en förteckning över de kategorier av behandlingar som Försvarets radioanstalt ansvarar för och som Àr helt eller delvis auto- matiserade.

Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en förteckning som avses i första stycket 4 ska innehÄlla.

Om Försvarets radioanstalt bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas, ska dataskyddsombudet anmÀla det till tillsynsmyndigheten.

PersonuppgiftsbitrÀden

7 § Försvarets radioanstalt fÄr, om det Àr lÀmpligt, anlita person- uppgiftsbitrÀden för behandling av personuppgifter pÄ Försvarets radioanstalts vÀgnar. Innan ett personuppgiftsbitrÀde anlitas, ska Försvarets radioanstalt försÀkra sig om att bitrÀdet kommer att vidta de lÀmpliga tekniska och organisatoriska ÄtgÀrder som krÀvs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda rÀttigheterna för den som uppgifterna rör.

8 § PersonuppgiftsbitrÀdets behandling av personuppgifter ska reg- leras i ett skriftligt avtal eller annan skriftlig överenskommelse.

9 § Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personupp- giftsbitrÀde utan skriftligt tillstÄnd av Försvarets radioanstalt.

10 § Ett personuppgiftsbitrÀde eller den eller de personer som arbe- tar under bitrÀdets eller Försvarets radioanstalts ledning ska behandla personuppgifter i enlighet med instruktioner frÄn Försvarets radio- anstalt.

Om ett personuppgiftsbitrÀde, i strid med Försvarets radioanstalts instruktioner, bestÀmmer ÀndamÄlen med och medlen för behand- lingen, ska bitrÀdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.

11 § Det som sĂ€gs om Försvarets radioanstalts skyldigheter i 2–4 §§ gĂ€ller Ă€ven för personuppgiftsbitrĂ€den som Försvarets radio- anstalt anlitar.

53

Författningsförslag

SOU 2018:63

5 kap. Enskildas rÀttigheter

RĂ€tten till information

AllmÀn information

1 § Försvarets radioanstalt ska göra följande allmÀnna information tillgÀnglig.

1.Myndighetens identitet och kontaktuppgifter.

2.Uppgifter om dataskyddsombudet.

3.ÄndamĂ„len med behandlingen.

4.RÀtten enligt 2 § att begÀra att fÄ information om behandling av personuppgifter och att fÄ del av dem.

5.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen enligt 5 §.

Information som ska lÀmnas efter begÀran

2 § Försvarets radioanstalt Àr skyldig att utan onödigt dröjsmÄl en gÄng per kalenderÄr till den som begÀr det lÀmna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behand- las sÄdana uppgifter ska sökanden fÄ del av dem och fÄ följande skriftliga information.

1.Vilka personuppgifter om den sökande som behandlas.

2.VarifrÄn personuppgifterna kommer.

3.Den rÀttsliga grunden för behandlingen.

4.ÄndamĂ„len med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven i annat land eller internationella organisationer.

6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.

7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen enligt 5 §.

UtlÀmnande enligt första stycket behöver inte omfatta person- uppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.

En ansökan enligt första stycket ska göras skriftligen hos För- svarets radioanstalt och vara undertecknad av den sökande sjÀlv. Infor- mation enligt första stycket ska lÀmnas inom en mÄnad frÄn det att

54

SOU 2018:63

Författningsförslag

ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.

BegrÀnsning av rÀtten till information

3 § Informationsskyldigheten i 2 § gÀller inte i den utstrÀckning sekretess hindrar att uppgifterna lÀmnas ut.

Om förutsÀttningarna i första stycket Àr uppfyllda, Àr Försvarets radioanstalt inte skyldig att lÀmna ut skÀlen för beslut enligt första stycket eller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behandlingen enligt 5 §.

4 § Informationsskyldigheten i 2 § gÀller inte personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjor- des eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gÀller dock om uppgifterna har lÀm- nats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller historiska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats lÀngre Àn ett Är.

RÀtten till rÀttelse, radering och begrÀnsning av behandlingen

5 § Försvarets radioanstalt ska pÄ begÀran av den som personupp- giften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.

Försvarets radioanstalt ska ocksÄ underrÀtta tredje part till vilken uppgifterna har lÀmnats ut om ÄtgÀrden, om den som personupp- giften rör begÀr det eller om en mera betydande skada eller olÀgenhet för denne skulle kunna undvikas genom en underrÀttelse.

NÄgon underrÀttelse behöver dock inte lÀmnas, om sekretess hindrar det eller detta Àr omöjligt eller skulle innebÀra en opropor- tionerligt stor arbetsinsats.

55

Författningsförslag

SOU 2018:63

Avgiftsfri information

6 § Information enligt 1 § ska lÀmnas utan avgift.

Information och uppgifter enligt 2 § ska lÀmnas utan avgift en gÄng per kalenderÄr. Om nÄgon begÀr information och uppgifter enligt 2 § oftare Àn en gÄng per kalenderÄr, fÄr Försvarets radioanstalt avslÄ begÀran.

6 kap. Tillsyn

Tillsyn över personuppgiftsbehandlingen

1 § Den myndighet som regeringen bestÀmmer ska utöva allmÀn tillsyn över Försvarets radioanstalts behandling av personuppgifter enligt denna lag.

Tillsynsmyndigheten ska ge rÄd och stöd till Försvarets radio- anstalt om myndighetens skyldigheter enligt lag eller annan författ- ning eller nÀr det i övrigt Àr pÄkallat.

2 § I lagen (2008:717) om signalspaning i försvarsunderrÀttelse- verksamhet finns det sÀrskilda bestÀmmelser om kontroll som rör Försvarets radioanstalts behandling av personuppgifter i försvars- underrÀttelse- och utvecklingsverksamheten.

Befogenheter

Utredningsbefogenheter

3 § Tillsynsmyndigheten har rÀtt att av Försvarets radioanstalt eller ett personuppgiftsbitrÀde pÄ begÀran fÄ

1.tillgÄng till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av per- sonuppgifter och sÀkerhets- och skyddsÄtgÀrder,

3.tilltrÀde till sÄdana lokaler som har anknytning till behandling av personuppgifter och tillgÄng till utrustning och andra medel för behandling av personuppgifter, och

4.det bitrÀde och annan information som behövs för tillsynen.

56

SOU 2018:63

Författningsförslag

Förebyggande befogenheter

4 § Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom rÄd, rekommendationer eller pÄpekanden försöka förmÄ Försvarets radioanstalt eller personupp- giftsbitrÀdet att vidta ÄtgÀrder för att minska den risken.

Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att plane- rad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning. Detsamma gÀller om pÄgÄende behandling riske- rar att stÄ i strid med lag eller annan författning.

Korrigerande befogenheter

5 § Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning, eller att Försvarets radio- anstalt eller ett personuppgiftsbitrÀde annars inte fullgör sina skyl- digheter, fÄr tillsynsmyndigheten

1.genom sÄdana ÄtgÀrder som anges i 4 § första stycket försöka förmÄ Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att upp- fylla andra skyldigheter, eller

2.förelÀgga Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter.

Om ett förelÀggande utfÀrdas ska det av förelÀggandet framgÄ nÀr ÄtgÀrderna senast ska vara genomförda och, om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas.

7 kap. SkadestÄnd och överklagande

SkadestÄnd

1 § Den personuppgiftsansvarige ska ersÀtta den som personupp- giften rör för skada och krÀnkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

57

Författningsförslag

SOU 2018:63

ErsÀttningsskyldigheten kan i den utstrÀckning det Àr skÀligt, jÀm- kas om den personuppgiftsansvarige visar att felet inte berodde pÄ denne.

Överklagande

2 § Försvarets radioanstalts beslut om information som ska lÀmnas enligt 5 kap. 2 § och om rÀttelse och underrÀttelse till tredje part en- ligt 5 kap. 5 § fÄr överklagas hos allmÀn förvaltningsdomstol. Andra beslut enligt denna lag fÄr inte överklagas.

PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.

3 § Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrÀtt.

1.Denna lag trÀder i kraft den 1 oktober 2019.

2.BestÀmmelsen i 4 kap. 2 § om loggning behöver inte tillÀmpas pÄ uppgiftssamlingar som inrÀttats före ikrafttrÀdandet förrÀn den

1maj 2024.

3.Ärenden om tillsyn eller granskning av Försvarets radioanstalts personuppgiftsbehandling som Datainspektionen eller Statens in- spektion för försvarsunderrĂ€ttelseverksamheten inte har avgjort före ikrafttrĂ€dandet handlĂ€ggs enligt Ă€ldre föreskrifter.

58

SOU 2018:63

Författningsförslag

1.3Förslag till lag om Àndring i lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning

HÀrigenom föreskrivs att 1 kap. 3 § lagen (2018:218) med komplet- terande bestÀmmelser till EU:s dataskyddsförordning ska ha föl- jande lydelse.

Nuvarande lydelseFöreslagen lydelse

1 kap.

3 §

BestÀmmelserna i 2 § gÀller inte i verksamhet som omfattas av

1. lagen (2007:258) om behand-

1. lagen (2019:000) om behand-

ling av personuppgifter i Försvars-

ling av personuppgifter vid Försvars-

maktens försvarsunderrÀttelseverk-

makten,

samhet och militÀra sÀkerhetstjÀnst,

 

2. lagen (2007:259) om behand-

2. lagen (2019:000) om behand-

ling av personuppgifter i Försvarets

ling av personuppgifter vid För-

radioanstalts försvarsunderrÀttelse-

svarets radioanstalt, eller

och utvecklingsverksamhet, eller

 

3. 6 kap. polisdatalagen

3. 6 kap. polisdatalagen

(2010:361).

(2010:361).

Denna lag trÀder i kraft den 1 oktober 2019.

59

Författningsförslag

SOU 2018:63

1.4Förslag till lag om Àndring i lagen (2008:717) om signalspaning

i försvarsunderrÀttelseverksamhet

HÀrigenom föreskrivs att 2 a och 12 a §§ lagen (2008:717) om signal- spaning i försvarsunderrÀttelseverksamhet ska ha följande lydelser.

Nuvarande lydelseFöreslagen lydelse

2 a §

InhÀmtning fÄr inte avse signaler mellan en avsÀndare och mot- tagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmtningen, ska upptagningen eller uppteck- ningen förstöras sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats.

Första stycket tillÀmpas inte i

Första stycket tillÀmpas inte i

frÄga om signaler mellan sÀndare

frÄga om signaler som utvÀxlas

och mottagare pÄ utlÀndska stats-

autonomt mellan tekniska system

fartyg, statsluftfartyg eller mili-

i sÄdana fall dÀr signalerna inte

tÀra fordon.

innehÄller personuppgifter. Första

 

 

stycket tillÀmpas inte heller i frÄga

 

 

om övriga signaler mellan sÀn-

 

 

dare och mottagare pÄ utlÀndska

 

 

statsfartyg, statsluftfartyg eller

 

 

militÀra fordon.

 

12 a §

I lagen (2007:259) om be-

I lagen (2019:000) om be-

handling

av personuppgifter i

handling av personuppgifter vid

Försvarets

radioanstalts försvars-

Försvarets radioanstalt finns ytter-

underrÀttelse- och utvecklingsverk-

ligare bestÀmmelser om behand-

samhet finns ytterligare bestÀm-

lingen av inhÀmtade personupp-

melser om behandlingen av in-

gifter.

hÀmtade personuppgifter.

 

Denna lag trÀder i kraft den 1 oktober 2019.

60

SOU 2018:63

Författningsförslag

1.5Förslag till lag om Àndring i brottsdatalagen (2018:1177)

HÀrigenom föreskrivs att 1 kap. 4 § brottsdatalagen (2018:1177) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1kap. 4 §

Lagen gÀller inte vid SÀkerhetspolisens behandling av person- uppgifter som rör nationell sÀkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell sÀkerhet frÄn SÀkerhets-

polisen.

 

Lagen gÀller inte heller i sÄdan

Lagen gÀller inte heller i sÄdan

verksamhet som omfattas av lagen

verksamhet som omfattas av lagen

(2007:258) om behandling av per-

(2019:000) om behandling av per-

sonuppgifter i Försvarsmaktens för-

sonuppgifter vid Försvarsmakten.

svarsunderrÀttelseverksamhet och

 

militÀra sÀkerhetstjÀnst.

 

Denna lag trÀder i kraft den 1 oktober 2019.

61

Författningsförslag

SOU 2018:63

1.6Förslag till förordning (2019:000) om behandling av personuppgifter vid Försvarsmakten

HÀrigenom föreskrivs följande.

1 kap. AllmÀnna bestÀmmelser

Syfte

1 § I denna förordning finns kompletterande föreskrifter till lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. Uttryck som anvÀnds i förordningen har samma innebörd som i den lagen.

Gemensamt personuppgiftsansvar

2 § Försvarsmakten fÄr vara gemensamt personuppgiftsansvarig med SÀkerhetspolisen, Nationella operativa avdelningen i Polismyn- digheten, Myndigheten för samhÀllsskydd och beredskap, Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets rekryter- ingsmyndighet.

3 § NÀr Försvarsmakten Àr gemensamt personuppgiftsansvarig med annan ska myndigheten sÀkerstÀlla att de förpliktelser var och en har i egenskap av personuppgiftsansvarig regleras i en skriftlig överens- kommelse. Vid sÄdan överenskommelse kvarstÄr Försvarsmaktens författningsenliga skyldigheter.

Den som personuppgiften rör fÄr, trots en sÄdan överenskom- melse som avses i första stycket, utöva sina rÀttigheter gentemot var och en av de personuppgiftsansvariga.

62

SOU 2018:63

Författningsförslag

2 kap. Behandling av personuppgifter

UtlÀmnande av personuppgifter

1 § SÀkerhetspolisen, Polismyndigheten, Myndigheten för samhÀlls- skydd och beredskap, Migrationsverket, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Totalför- svarets rekryteringsmyndighet, Fortifikationsverket och Försvars- högskolan har rÀtt att vid direktÄtkomst enligt 3 kap. 6, 7, 9 och 10 §§ ta del av de personuppgifter som omfattas av Ätkomsten.

2 § Försvarsmakten fÄr inom ramen för internationellt försvars- och sÀkerhetssamarbete överföra personuppgifter till en utlÀndsk myndig- het eller en internationell organisation, om överföringen tjÀnar den svenska statsledningen eller det svenska totalförsvaret.

Överföringen av personuppgifter enligt första stycket fĂ„r inte vara till skada för svenska intressen.

3 kap. Gemensamt tillgÀngliga uppgifter

Uppgiftssamlingar

FörsvarsunderrÀttelseverksamhet

1 § Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för för- svarsunderrÀttelseverksamhet som innehÄller personuppgifter. Upp- giftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att Försvarsmakten ska kunna bedriva verksamhet enligt lagen (2000:130) om försvarsunderrÀttelseverksamhet.

2 § En uppgiftssamling för försvarsunderrÀttelseverksamhet fÄr endast innehÄlla

1.identifieringsuppgifter,

2.uppgifter om de omstÀndigheter och hÀndelser som ger anled- ning att anta att den som behandlingen rör har betydelse för för- svarsunderrÀttelseverksamheten,

3.upplysningar om varifrÄn uppgiften kommer och om en upp- giftslÀmnares trovÀrdighet, och

4.allmÀnt tillgÀnglig information som finns pÄ internet eller i öppna databaser.

63

Författningsförslag

SOU 2018:63

NÀr personuppgifter som avses i första stycket och som finns i rapportunderlag och underrÀttelserapporter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas, ska de bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

MilitÀr sÀkerhetstjÀnst

3 § Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för sÀker- hetsunderrÀttelsetjÀnst som innehÄller personuppgifter. Uppgiftssam- lingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att upp- tÀcka och klarlÀgga sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen samt allmÀnt tillgÀnglig information som finns pÄ internet eller i öppna databaser.

NÀr personuppgifter som avses i första stycket och som finns i rapportunderlag och underrÀttelserapporter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas, ska de bevaras för historiska, sta- tistiska eller vetenskapliga ÀndamÄl.

4 § Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för sÀker- hetsskyddstjÀnst som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen.

5 § Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för sig- nalkontroll som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att förhindra obehörig insyn i och pÄverkan av totalförsvarets telekommunika- tions- och informationssystem.

Personuppgifter i en uppgiftssamling för signalkontroll fÄr inte behandlas lÀngre Àn ett Är efter att behandlingen av uppgifterna pÄ- börjades.

64

SOU 2018:63

Författningsförslag

Övrig verksamhet

6 § För sÄdan verksamhet som inte utgör försvarsunderrÀttelseverk- samhet eller militÀr sÀkerhetstjÀnst fÄr Försvarsmakten bestÀmma vilka uppgiftssamlingar myndigheten ska ha och vad de ska innehÄlla.

DirektÄtkomst

Försvar och sÀkerhet

7 § Försvarets materielverk fÄr medges direktÄtkomst till person- uppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. DirektÄtkomsten fÄr endast avse personuppgifter som rör Försvarsmaktens materiel- och logistikförsörjning och som har gjorts gemensamt tillgÀngliga.

8 § Totalförsvarets rekryteringsmyndighet fÄr medges direktÄtkomst till personuppgifter om som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. DirektÄtkomsten fÄr endast avse personuppgifter som rör totalför- svarspliktiga och Försvarsmaktens krigsorganisation och som har gjorts gemensamt tillgÀngliga.

9 § Finlands försvarsmakt fÄr medges direktÄtkomst till person- uppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten om det behövs för planering, förberedelser och genomförande av stöd inom ramen för lagen (2019:000) om operativt militÀrt stöd mellan Sverige och Finland. DirektÄtkomsten fÄr endast avse personuppgifter som har gjorts gemensamt tillgÀngliga.

FörsvarsunderrÀttelseverksamhet

10 § Regeringskansliet, SÀkerhetspolisen, Nationella operativa av- delningen i Polismyndigheten, Myndigheten för samhÀllsskydd och beredskap, Inspektionen för strategiska produkter, Försvarets mate- rielverk, Totalförsvarets forskningsinstitut och Tullverket fÄr med- ges direktÄtkomst till personuppgifter som utgör analysresultat och

65

Författningsförslag

SOU 2018:63

underrÀttelser och som finns i uppgiftssamlingar för försvarsunder- rÀttelseverksamhet.

11 § Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrÀttelse- och sÀkerhetssamar- bete fÄr en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgifter som behandlas enligt 2 kap. 2 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmak- ten och som finns i en uppgiftssamling som Försvarsmakten upprÀttat i syfte att dela informationen med mottagaren.

Innan direktÄtkomst medges en utlÀndsk underrÀttelse- eller sÀker- hetstjÀnst enligt första stycket ska Försvarsmakten underrÀtta Reger- ingskansliet (Försvarsdepartementet).

MilitÀr sÀkerhetstjÀnst

12 § SÀkerhetspolisen, Nationella operativa avdelningen i Polis- myndigheten, Myndigheten för samhÀllsskydd och beredskap, Migra- tionsverket, Försvarets materielverk, Försvarets radioanstalt, Total- försvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet, Fortifikationsverket och Försvarshögskolan fÄr medges direktÄt- komst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 1 och 2 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för sÀker- hetsunderrÀttelsetjÀnst.

13 § SÀkerhetspolisen fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 5 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för sÀkerhetsskyddstjÀnst.

14 § Om det behövs för samarbetet mot sÀkerhetshotande verk- samhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen fÄr en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direkt- Ätkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § 1 och 2 och som finns i en avskild uppgiftssamling som Försvars- makten upprÀttat i syfte att dela informationen med mottagaren.

66

SOU 2018:63

Författningsförslag

Innan direktÄtkomst medges en utlÀndsk underrÀttelse- eller sÀker- hetstjÀnst enligt första stycket ska Försvarsmakten underrÀtta Reger- ingskansliet (Försvarsdepartementet).

Omfattning av direktÄtkomst

15 § Försvarsmakten beslutar om omfattningen av direktÄtkomst som följer av lag, förordning eller regeringens beslut i enskilt fall.

16 § Försvarsmakten ska sÀkerstÀlla att förutsÀttningarna för direkt- Ätkomsten dokumenteras.

TillgÄngen till uppgifter hos mottagaren ska vara förbehÄllen de personer som pÄ grund av sina arbetsuppgifter behöver ha tillgÄng till uppgifterna.

DirektÄtkomst fÄr inte medges innan Försvarsmakten har för- sÀkrat sig om att mottagaren uppfyller kraven pÄ behörighet och sÀkerhet.

4 kap. Skyldigheter som personuppgiftsansvarig

Tekniska och organisatoriska ÄtgÀrder

1 § De ÄtgÀrder som Försvarsmakten ska vidta enligt 4 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska vara rimliga med beaktande av behandlingens art, omfattning, sam- manhang och ÀndamÄl och de sÀrskilda riskerna med behandlingen.

2 § Försvarsmakten ska föra loggar i myndighetens informations- system som innehÄller gemensamt tillgÀngliga uppgifter. Av loggarna ska framgÄ vilken medarbetare eller annan som lÀst, skapat, Àndrat eller raderat personuppgifter samt tidpunkten för ÄtgÀrden.

Skyldigheten enligt första stycket gÀller inte informationssystem som Ànnu inte börjat anvÀndas.

67

Författningsförslag

SOU 2018:63

Behörigheter

3 § För tilldelning av behörighet för Ätkomst till personuppgifter ska det sÀrskilt beaktas att det, utöver behovet av uppgifterna, stÀlls krav pÄ utbildning och erfarenhet.

Försvarsmakten ansvarar för att det inom myndigheten finns ruti- ner för tilldelning, förÀndring, borttagning och regelbunden upp- följning av behörigheter för Ätkomst till personuppgifter.

SĂ€kerheten vid behandling av personuppgifter

4 § SkyddsÄtgÀrder enligt 4 kap. 4 § lagen (2019:000) om behand- ling av personuppgifter vid Försvarsmakten ska Ästadkomma en sÀkerhetsnivÄ som Àr lÀmplig med beaktande av

1.de tekniska möjligheter som finns,

2.vad det skulle kosta att genomföra ÄtgÀrderna,

3.behandlingens art, omfattning, sammanhang och ÀndamÄl,

4.de sÀrskilda risker som finns med behandlingen av person- uppgifterna,

5.om kÀnsliga personuppgifterna behandlas, och

6.hur integritetskÀnsliga övriga personuppgifter som behandlas Àr.

AnmÀlan av övertrÀdelser

5 § Försvarsmakten ska ha interna rutiner för anmÀlan av över- trÀdelser av bestÀmmelser om personuppgiftsbehandling som garan- terar att anmÀlarens identitet skyddas.

Dataskyddsombud

6 § Försvarsmakten ska sÀkerstÀlla att dataskyddsombud ges möj- lighet att delta i de frÄgor som rör skyddet av personuppgifter.

Försvarsmakten ska se till att dataskyddsombud kan utföra de uppgifter som anges i 4 kap. 6 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten genom att tillhandahÄlla nöd- vÀndiga resurser, ge tillgÄng till dokumentation om behandling av personuppgifter och vid behov medge Ätkomst till personuppgifter

68

SOU 2018:63

Författningsförslag

som behandlas. Försvarsmakten ska ocksÄ se till att dataskyddsom- bud ges möjlighet att upprÀtthÄlla sin sakkunskap.

Förteckning över kategorier av behandlingar

7 § Den förteckning över kategorier av behandlingar av personupp- gifter som Àr helt eller delvis automatiserade som ska föras av data- skyddsombudet enligt 4 kap. 6 § första stycket 4 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska innehÄlla följande uppgifter.

1.Namnet pÄ och kontaktuppgifter till myndigheten.

2.Namnet pÄ och kontaktuppgifter till gemensamt personupp- giftsansvariga.

3.Namnet pÄ dataskyddsombudet.

4.Namnet pÄ personuppgiftsbitrÀdet.

5.Den rÀttsliga grunden för behandlingen.

6.ÄndamĂ„len med behandlingen.

7.Kategorier av de som berörs av behandlingen.

8.Kategorier av personuppgifter som kan komma att behandlas.

9.Kategorier av tjÀnstemÀn som har tillgÄng till de personupp- gifter som behandlas.

10.SÀkerhetsÄtgÀrder.

11.Kategorier av mottagare till vilka uppgifterna kan komma att lÀmnas ut, Àven i annat land eller internationella organisationer.

12.Överföring av personuppgifter till annat land eller internatio- nella organisationer.

PersonuppgiftsbitrÀden

Avtalets eller överenskommelsens innehÄll

8 § Ett avtal eller en annan överenskommelse enligt 4 kap. 8 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska ange vad behandlingen ska avse, hur lÀnge behandlingen ska pÄgÄ, dess art och ÀndamÄl, typen av personuppgifter, kategorier av de som berörs av behandlingen och Försvarsmaktens skyldigheter och rÀttig- heter. I avtalet eller överenskommelsen ska det sÀrskilt föreskrivas att personuppgiftsbitrÀdet ska

69

Författningsförslag

SOU 2018:63

1.behandla personuppgifter bara enligt instruktioner frÄn För- svarsmakten,

2.sÀkerstÀlla att personer som har tillstÄnd att behandla person- uppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,

3.hjÀlpa Försvarsmakten att sÀkerstÀlla att bestÀmmelserna om de rÀttigheter som de som behandlingen rör har följts,

4.radera eller ÄterlÀmna alla personuppgifter till Försvarsmakten nÀr uppdraget har slutförts och, om inte annat följer av lag eller för- ordning, radera befintliga kopior,

5.ge Försvarsmakten tillgĂ„ng till den information som krĂ€vs för att visa att det som sĂ€gs i denna bestĂ€mmelse, 9 § och 4 kap. 7, 9–11 §§ lagen (2019:000) om behandling av personuppgifter vid Försvars- makten följs, och

6.respektera de villkor som framgÄr av denna bestÀmmelse och 3 kap. 9 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten vid anlitande av ett annat personuppgiftsbitrÀde.

Övriga skyldigheter

9 § Det som sÀgs om Försvarsmaktens skyldigheter i 4 § gÀller Àven för personuppgiftsbitrÀden som Försvarsmakten anlitar.

5 kap. Enskildas rÀttigheter

Krav pÄ utformningen av information

1 § Information enligt 5 kap. 1–3 §§ lagen (2019:000) om behand- ling av personuppgifter vid Försvarsmakten ska vara lĂ€ttillgĂ€nglig och lĂ€ttbegriplig och lĂ€mnas i lĂ€mplig form.

Beslut

2 § Beslut enligt 5 kap. 3 och 6 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska vara skriftliga. Beslut som gÄr den sökande emot ska motiveras.

70

SOU 2018:63

Författningsförslag

Av 5 kap. 4 § andra stycket lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten framgÄr att skÀlen för vissa be- slut inte behöver lÀmnas ut.

6 kap. Tillsyn

Tillsynsmyndighet

1 § Datainspektionen Àr tillsynsmyndighet enligt lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten.

AnmÀlningsskyldighet

2 § Om Datainspektionen i sin tillsyn uppmĂ€rksammar förhĂ„llan- den som kan utgöra brott, ska myndigheten anmĂ€la det till Åklagar- myndigheten.

Datainspektionen ska samrĂ„da med Åklagarmyndigheten innan en sĂ„dan anmĂ€lan görs. Till anmĂ€lan ska inspektionen foga det under- lag som finns och Ă€ven i övrigt lĂ€mna det bistĂ„nd som behövs i anled- ning av anmĂ€lan.

7 kap. Bemyndiganden

1 § Riksarkivet fÄr, efter samrÄd med Försvarsmakten, meddela föreskrifter om att personuppgifter som inte lÀngre fÄr behandlas enligt 2 kap. 21 § lagen (2019:000) om behandling av personuppgif- ter vid Försvarsmakten ska bevaras.

2 § Försvarsmakten fÄr meddela nÀrmare föreskrifter om verk- stÀllighet av bestÀmmelserna i lagen (2019:000) om behandling av per- sonuppgifter vid Försvarsmakten.

Om föreskrifterna berör integritetsskyddet vid personuppgifts- behandling ska Försvarsmakten samrÄda med Datainspektionen innan föreskrifterna beslutas.

71

Författningsförslag

SOU 2018:63

1.Denna förordning trÀder i kraft den 1 oktober 2019.

2.BestÀmmelserna i 4 kap. 2 § om loggning behöver inte tillÀm- pas pÄ informationssystem som inrÀttats före ikrafttrÀdandet förrÀn den 1 maj 2024.

3.BestÀmmelserna i 4 kap 7 § om innehÄllet i förteckningen över kategorier av behandlingar av personuppgifter som Àr helt eller delvis automatiserade behöver inte tillÀmpas pÄ de behandlingar av person- uppgifter som förtecknats före ikrafttrÀdandet förrÀn den 1 maj 2024.

72

SOU 2018:63

Författningsförslag

1.7Förslag till förordning (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt

HÀrigenom föreskrivs följande.

1 kap. AllmÀnna bestÀmmelser

Syfte

1 § I denna förordning finns kompletterande föreskrifter till lagen (2019:000) om behandling av personuppgifter vid Försvarets radio- anstalt. Uttryck som anvÀnds i förordningen har samma innebörd som i den lagen.

Gemensamt personuppgiftsansvar

2 § Försvarets radioanstalt fÄr med Försvarsmakten och SÀkerhets- polisen ha gemensamt personuppgiftsansvar, inom ramen för myn- dighetsöverskridande samverkan mellan myndigheterna, för att kunna kartlÀgga

1.yttre militÀra hot mot landet,

2.förutsÀttningar för svenskt deltagande i fredsfrÀmjande och humanitÀra internationella insatser eller hot mot sÀkerheten för svenska intressen vid genomförandet av sÄdana insatser,

3.strategiska förhÄllanden avseende internationell terrorism som kan hota vÀsentliga nationella intressen,

4.allvarliga yttre hot mot samhÀllets infrastrukturer, eller

5.frÀmmande underrÀttelseverksamhet mot svenska intressen.

3 § NÀr Försvarets radioanstalt Àr gemensamt personuppgiftsansva- rig med annan ska myndigheten sÀkerstÀlla att de förpliktelser var och en har i egenskap av personuppgiftsansvarig regleras i en skriftlig överenskommelse. Vid sÄdan överenskommelse kvarstÄr Försvarets radioanstalts författningsenliga skyldigheter.

Den som personuppgiften rör fÄr, trots en sÄdan överenskom- melse som avses i första stycket, utöva sina rÀttigheter gentemot var och en av de personuppgiftsansvariga.

73

Författningsförslag

SOU 2018:63

2 kap. Behandling av personuppgifter

UtlÀmnande av personuppgifter

Överföring av personuppgifter till myndigheter i andra lĂ€nder och internationella organisationer

1 § Personuppgifter fÄr föras över till en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informationssÀker- hetsomrÄdet eller en internationell organisation, om överföringen tjÀnar den svenska statsledningen eller det svenska totalförsvaret.

Överföringen av personuppgifter enligt första stycket fĂ„r inte vara till skada för svenska intressen.

Elektroniskt utlÀmnande

2 § Personuppgifter fÄr lÀmnas ut elektroniskt till statliga myndig- heter pÄ annat sÀtt Àn genom direktÄtkomst.

3 kap. Gemensamt tillgÀngliga uppgifter

Uppgiftssamlingar

FörsvarsunderrÀttelse- och utvecklingsverksamhet

1 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för rÄmaterial som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla obearbetat och automatiskt bearbetat material vars relevans för verksamheten Ànnu inte bedömts.

Personuppgifter i en uppgiftssamling för rÄmaterial fÄr inte be- handlas lÀngre Àn ett Är efter det att behandlingen av uppgifterna pÄbörjades.

2 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för analyser som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla bearbetningsunderlag och analysresultat.

74

SOU 2018:63

Författningsförslag

3 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för underrÀttelser som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla rapportunderlag och fÀrdiga underrÀttelserap- porter.

NÀr personuppgifter i rapportunderlag och underrÀttelserappor- ter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas ska de bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

4 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för information om signalmiljön som innehÄller personuppgifter. Upp- giftssamlingarna fÄr endast innehÄlla information som rör signalmiljön.

5 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för information om företeelser mot vilka signalspaningen inriktas som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla sÄdan information om fysiska personer och andra kÀllor som Àr nöd- vÀndig eller kan vara nödvÀndig för att verkstÀlla inriktningar av signalspaning.

6 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för information om teknik- och metodikutveckling som innehÄller per- sonuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla information som rör teknik- och metodikutvecklingen.

7 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för signalskydd som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla information som rör signalskyddet.

InformationssÀkerhetsverksamhet

8 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för informationssÀkerhetsverksamhet som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla information om uppdrags- givare, information som rör it-angrepp samt bearbetningsunderlag och analysresultat.

75

Författningsförslag

SOU 2018:63

Övrigt

9 § Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för allmÀnt tillgÀnglig information som innehÄller personuppgifter. Upp- giftssamlingarna fÄr endast innehÄlla information som finns eller har funnits pÄ internet eller i öppna databaser.

10 § Vid Försvarets radioanstalt fÄr det finnas uppgiftsamlingar för loggar som förs med stöd av 2 kap. 10 § och 4 kap. 2 § lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt.

DirektÄtkomst

FörsvarsunderrÀttelseverksamhet

11 § Regeringskansliet, SÀkerhetspolisen, Nationella operativa avdel- ningen i Polismyndigheten, Inspektionen för strategiska produkter, Försvarsmakten, Försvarets materielverk, Totalförsvarets forsknings- institut, Myndigheten för samhÀllsskydd och beredskap, och Tull- verket fÄr medges direktÄtkomst till personuppgifter som utgör under- rÀttelser och som finns i uppgiftssamlingar.

InformationssÀkerhetsverksamhet

12 § SÀkerhetspolisen och Försvarsmakten fÄr medges direktÄtkomst till personuppgifter som utgör analysresultat och som behandlas i en uppgiftssamling för informationssÀkerhetsverksamhet.

Omfattning av direktÄtkomst

13 § Försvarets radioanstalt beslutar om omfattningen av direktÄt- komst som följer av lag, förordning eller regeringens beslut i enskilt fall.

14 § Försvarets radioanstalt ska sÀkerstÀlla att förutsÀttningarna för direktÄtkomsten dokumenteras.

TillgÄngen till uppgifter hos mottagaren ska vara förbehÄllen de personer som pÄ grund av sina arbetsuppgifter behöver ha tillgÄng till uppgifterna.

76

SOU 2018:63

Författningsförslag

DirektÄtkomst fÄr inte medges innan Försvarets radioanstalt har försÀkrat sig om att mottagaren uppfyller kraven pÄ behörighet och sÀkerhet.

4 kap. Skyldigheter som personuppgiftsansvarig

Tekniska och organisatoriska ÄtgÀrder

1 § De ÄtgÀrder som Försvarets radioanstalt ska vidta enligt 4 kap. 1, 2 och 4 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt ska vara rimliga med beaktande av behand- lingens art, omfattning, sammanhang och ÀndamÄl och de sÀrskilda riskerna med behandlingen.

2 § Försvarets radioanstalt ska föra loggar i myndighetens infor- mationssystem som innehÄller uppgiftssamlingar för försvarsunder- rÀttelse- och informationssÀkerhetsverksamhet. Av loggarna ska fram- gÄ vilken medarbetare eller annan som lÀst, skapat, Àndrat eller raderat personuppgifter samt tidpunkten för ÄtgÀrden.

Skyldigheten enligt första stycket gÀller inte informationssystem som Ànnu inte börjat anvÀndas.

Behörigheter

3 § För tilldelning av behörighet för Ätkomst till personuppgifter ska det sÀrskilt beaktas att det, utöver behovet av uppgifterna, stÀlls krav pÄ utbildning och erfarenhet.

Försvarets radioanstalt ansvarar för att det inom myndigheten finns rutiner för tilldelning, förÀndring, borttagning och regelbun- den uppföljning av behörigheter för Ätkomst till personuppgifter.

SĂ€kerheten vid behandling av personuppgifter

4 § SkyddsÄtgÀrder enligt 4 kap. 4 § lagen (2019:000) om behand- ling av personuppgifter vid Försvarets radioanstalt ska Ästadkomma en sÀkerhetsnivÄ som Àr lÀmplig med beaktande av

1.de tekniska möjligheter som finns,

2.vad det skulle kosta att genomföra ÄtgÀrderna,

77

Författningsförslag

SOU 2018:63

3.behandlingens art, omfattning, sammanhang och ÀndamÄl,

4.de sÀrskilda risker som finns med behandlingen av personupp- gifterna,

5.om kÀnsliga personuppgifterna behandlas, och

6.hur integritetskÀnsliga övriga personuppgifter som behandlas Àr.

AnmÀlan av övertrÀdelser

5 § Försvarets radioanstalt ska ha interna rutiner för anmÀlan av övertrÀdelser av bestÀmmelser om personuppgiftsbehandling som garanterar att anmÀlarens identitet skyddas.

Dataskyddsombud

6 § Försvarets radioanstalt ska sÀkerstÀlla att dataskyddsombud ges möjlighet att delta i de frÄgor som rör skyddet av personuppgifter.

Försvarets radioanstalt ska se till att dataskyddsombud kan ut- föra de uppgifter som anges i 4 kap. 6 § lagen (2019:000) om behand- ling av personuppgifter vid Försvarets radioanstalt genom att till- handahÄlla nödvÀndiga resurser, ge tillgÄng till dokumentation om behandling av personuppgifter och vid behov medge Ätkomst till per- sonuppgifter som behandlas. Försvarets radioanstalt ska ocksÄ se till att dataskyddsombud ges möjlighet att upprÀtthÄlla sin sakkunskap.

Förteckning över kategorier av behandlingar

7 § Den förteckning över kategorier av behandlingar som ska föras av dataskyddsombudet enligt 4 kap. 6 § första stycket 4 lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt ska innehÄlla följande uppgifter.

1.Namnet pÄ och kontaktuppgifter till myndigheten.

2.Namnet pÄ och kontaktuppgifter till gemensamt personupp- giftsansvariga.

3.Namnet pÄ dataskyddsombudet.

4.Namnet pÄ personuppgiftsbitrÀden.

5.Den rÀttsliga grunden för behandlingen.

6.ÄndamĂ„len med behandlingen.

78

SOU 2018:63

Författningsförslag

7.Kategorier av de som berörs av behandlingen.

8.Kategorier av personuppgifter som kan komma att behandlas.

9.Kategorier av tjÀnstemÀn som har tillgÄng till de personupp- gifter som behandlas.

10.SÀkerhetsÄtgÀrder.

11.Kategorier av mottagare till vilka uppgifterna kan komma att lÀmnas ut, Àven i annat land eller internationella organisationer.

12.Överföring av personuppgifter till annat land eller internatio- nella organisationer.

PersonuppgiftsbitrÀden

Avtalets eller överenskommelsens innehÄll

8 § Ett avtal eller en annan överenskommelse enligt 4 kap. 8 § lagen (2019:000) om behandling av personuppgifter vid Försvarets radio- anstalt ska ange vad behandlingen ska avse, hur lÀnge behandlingen ska pÄgÄ, dess art och ÀndamÄl, typen av personuppgifter, kategorier av de som berörs av behandlingen och Försvarets radioanstalts skyl- digheter och rÀttigheter. I avtalet eller överenskommelsen ska det sÀr- skilt föreskrivas att personuppgiftsbitrÀdet ska

1.behandla personuppgifter bara enligt instruktioner frÄn För- svarets radioanstalt,

2.sÀkerstÀlla att personer som har tillstÄnd att behandla person- uppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,

3.hjÀlpa Försvarets radioanstalt att sÀkerstÀlla att bestÀmmel- serna om de rÀttigheter som de som behandlingen rör har följts,

4.radera eller ÄterlÀmna alla personuppgifter till Försvarets radio- anstalt nÀr uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior,

5.ge Försvarets radioanstalt tillgĂ„ng till den information som krĂ€vs för att visa att det som sĂ€gs i denna bestĂ€mmelse, 9 § och 4 kap. 7, 9–11 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt följs, och

6.respektera de villkor som framgÄr av denna bestÀmmelse och 4 kap. 9 § lagen (2019:000) om behandling av personuppgifter vid För- svarets radioanstalt vid anlitande av ett annat personuppgiftsbitrÀde.

79

Författningsförslag

SOU 2018:63

Övriga skyldigheter

9 § Det som sÀgs om Försvarets radioanstalts skyldigheter i 4 § gÀller Àven för personuppgiftsbitrÀden som Försvarets radioanstalt anlitar.

5 kap. Enskildas rÀttigheter

Krav pÄ utformningen av information

1 § Information enligt 5 kap. 1 och 2 §§ lagen (2019:000) om be- handling av personuppgifter vid Försvarets radioanstalt ska vara lÀttillgÀnglig och lÀttbegriplig och lÀmnas i lÀmplig form.

Beslut

2 § Beslut enligt 5 kap. 2 och 5 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt ska vara skriftliga. Beslut som gÄr den sökande emot ska motiveras.

Av 5 kap. 3 § andra stycket lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt framgÄr att skÀlen för vissa beslut inte behöver lÀmnas ut.

6 kap. Tillsyn

Tillsynsmyndighet

1 § Datainspektionen Àr tillsynsmyndighet enligt lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt.

AnmÀlningsskyldighet

2 § Om Datainspektionen i sin tillsyn uppmĂ€rksammar förhĂ„llan- den som kan utgöra brott, ska myndigheten anmĂ€la det till Åklagar- myndigheten.

80

SOU 2018:63

Författningsförslag

Datainspektionen ska samrĂ„da med Åklagarmyndigheten innan en sĂ„dan anmĂ€lan görs. Till anmĂ€lan ska inspektionen foga det under- lag som finns och Ă€ven i övrigt lĂ€mna det bistĂ„nd som behövs i an- ledning av anmĂ€lan.

7 kap. Bemyndiganden

1 § Riksarkivet fÄr, efter samrÄd med Försvarets radioanstalt, med- dela föreskrifter om att personuppgifter som inte lÀngre fÄr behand- las enligt 2 kap. 19 § lagen (2019:000) om behandling av personupp- gifter vid Försvarets radioanstalt ska bevaras. SÄdana föreskrifter fÄr dock inte omfatta personuppgifter som inte lÀngre fÄr behandlas en- ligt 3 kap. 1 § denna förordning.

2 § Försvarets radioanstalt fÄr meddela nÀrmare föreskrifter om verk- stÀllighet av bestÀmmelserna i lagen (2019:000) om behandling av per- sonuppgifter vid Försvarets radioanstalt.

Om föreskrifterna berör integritetsskyddet vid personuppgifts- behandling ska Försvarets radioanstalt samrÄda med Datainspektio- nen innan föreskrifterna beslutas.

1.Denna förordning trÀder i kraft den 1 oktober 2019.

2.BestÀmmelserna i 3 kap. 10 § om loggning behöver inte tillÀm- pas pÄ uppgiftssamlingar som inrÀttats före ikrafttrÀdandet förrÀn den 1 maj 2024.

81

Författningsförslag

SOU 2018:63

1.8Förslag till förordning om Àndring i förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrÀttelseverksamheten

HÀrigenom föreskrivs att 1 och 3 §§ förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrÀttelseverk- samheten ska ha följande lydelser.

Nuvarande lydelse

Föreslagen lydelse

1 §

Statens inspektion för försvarsunderrÀttelseverksamheten har till uppgift att kontrollera försvarsunderrÀttelseverksamheten hos de myndigheter som enligt förordningen (2000:131) om försvarsunder- rÀttelseverksamhet bedriver sÄdan verksamhet. Inspektionen ska kontrollera att dessa myndigheter, i den försvarsunderrÀttelseverk- samhet som utförs, efterlever lagar och förordningar samt i övrigt fullgör sina skyldigheter.

Inspektionen har Àven till uppgift att lÀmna myndigheterna rÄd och stöd betrÀffande myndig- heternas skyldigheter i den verk- samhet som inspektionen har till uppgift att kontrollera och granska.

3 §

Statens inspektion för försvarsunderrÀttelseverksamheten ska

granska

 

behandlingen av uppgifter en-

den behandling av personupp-

ligt lagen (2007:258) om behand-

gifter i Försvarsmaktens försvars-

ling av personuppgifter i Försvars-

underrÀttelseverksamhet och mili-

maktens försvarsunderrÀttelseverk-

tÀra sÀkerhetstjÀnst som sker med

samhet och militÀra sÀkerhetstjÀnst

stöd av lagen (2019:000) om be-

samt enligt lagen (2007:259) om

handling av personuppgifter vid

behandling av personuppgifter i

Försvarsmakten. Inspektionen ska

Försvarets radioanstalts försvars-

Ă€ven granska den behandling av

underrÀttelse- och utvecklings-

personuppgifter i Försvarets radio-

verksamhet.

anstalts försvarsunderrÀttelse- och

82

SOU 2018:63

Författningsförslag

utvecklingsverksamhet som sker med stöd av lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt.

Denna förordning trÀder i kraft den 1 oktober 2019.

83

Författningsförslag

SOU 2018:63

1.9Förslag till förordning om Àndring i förordningen (1995:1301) om handlÀggning av skadestÄndsansprÄk mot staten

HÀrigenom föreskrivs att 3 § förordningen (1995:1301) om hand- lÀggning av skadestÄndsansprÄk mot staten ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §

Justitiekanslern handlÀgger ansprÄk pÄ ersÀttning med stöd av

–36 kap. 17 § andra stycket brottsbalken,

–2 kap. 1 § eller 3 kap. 1, 2 eller 4 § skadestĂ„ndslagen (1972:207), om ansprĂ„ket grundas pĂ„ ett pĂ„stĂ„ende om felaktigt beslut eller underlĂ„tenhet att meddela beslut,

–23 § datalagen (1973:289),

–artikel 82 i Europaparlamentets och rĂ„dets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende pĂ„ behandling av personuppgifter och om det fria flödet av sĂ„dana uppgifter och om upphĂ€vande av direktiv 95/46/EG (allmĂ€n dataskyddsförordning),

2 kap. 6 § lagen (2007:258)

7 kap. 1 § lagen (2019:000)

om behandling av personuppgifter

om behandling av personuppgifter

i Försvarsmaktens försvarsunder-

vid Försvarsmakten och 7 kap. 1 §

rÀttelseverksamhet

och militÀra

lagen (2019:000) om behandling

sÀkerhetstjÀnst och 2 kap. 5 § lagen

av personuppgifter vid Försvarets

(2007:259) om

behandling av

radioanstalt,

personuppgifter i Försvarets radio-

 

anstalts försvarsunderrÀttelse- och

 

utvecklingsverksamhet,

 

–lagen (1998:714) om ersĂ€ttning vid frihetsberövanden och andra tvĂ„ngsĂ„tgĂ€rder, dock inte ansprĂ„k som avses i 8 § i den lagen,

–5 kap. 3 § lagen (2017:496) om internationellt polisiĂ€rt sam- arbete, om ansprĂ„ket grundas pĂ„ ett pĂ„stĂ„ende om felaktigt beslut eller underlĂ„tenhet att meddela beslut,

–26 § lagen (2011:111) om förstörande av vissa hĂ€lsofarliga miss- brukssubstanser,

–46 kap. 20 § skatteförfarandelagen (2011:1244), eller

–44 § kameraövervakningslagen (2013:460).

84

SOU 2018:63

Författningsförslag

Justitiekanslern handlÀgger ocksÄ andra ansprÄk pÄ ersÀttning som grundas pÄ ett pÄstÄende om övertrÀdelse av unionsrÀtten.

Av 4 § följer att vissa ansprÄk pÄ ersÀttning med stöd av 3 kap. 1, 2 eller 4 § skadestÄndslagen handlÀggs av Kammarkollegiet. Förord- ning (2018:303).

Denna förordning trÀder i kraft den 1 oktober 2019.

85

2Utredningens uppdrag och arbete

2.1Utredningsuppdraget

Utredningsuppdraget bestÄr i att göra en översyn av den lagstiftning som gÀller för personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt och för att sÀkerstÀlla att lagstiftningen Àr anpassad till den tekniska och legala utvecklingen.

Utredningen syftar till att analysera om rÄdande lagstiftning Àr ÀndamÄlsenlig för Försvarsmaktens och Försvarets radioanstalts verk- samheter och om den Àr tillrÀcklig i frÄga om skydd för enskildas per- sonliga integritet Uppdraget omfattar Àven att utreda hur person- uppgifter behandlas hos Försvarets radioanstalt i samband med att myndigheten stödjer andra myndigheter och statligt Àgda bolag inom informationssÀkerhetsomrÄdet.

Om EU:s dataskyddsförordning, som trÀdde i kraft den 25 maj 2018, och dÀrtill kopplad svensk författning skapar behov av komp- letterande författningsbestÀmmelser för Försvarsmaktens och För- svarets radioanstalts personuppgiftsbehandling, ska utredningen Àven lÀmna förslag till sÄdana kompletterande bestÀmmelser.

Utredningens direktiv finns i bilaga 1.

TillÀggsdirektiv (förlÀngd tid för uppdraget) finns i bilaga 2.

2.2Genomförande av uppdraget

Utredningsarbetet pÄbörjades i slutet av maj 2017 och har bedrivits pÄ sedvanligt sÀtt med regelbundna utredningssammantrÀden med experter och sakkunniga. Utredningen har sammantrÀtt vid 17 till- fÀllen. Utredningen har besökt Försvarets radioanstalt, Försvarsmakten

87

Utredningens uppdrag och arbete

SOU 2018:63

och Statens inspektion för försvarsunderrÀttelseverksamheten (Siun) vid flera tillfÀllen.

Utredaren och sekreteraren har Àven samrÄtt med Totalförsvars- datautredningen (Fö 2016:01).

Föreningen Dataskydd.net har yttrat sig i en skrift som utred- ningen har tagit del av.

88

3Försvarsmaktens och Försvarets radioanstalts uppgifter

3.1Försvarsmaktens uppgifter

Försvarsmaktens grundlĂ€ggande uppgifter framgĂ„r av 1–3 a §§ förord- ningen (2007:1266) med instruktion för Försvarsmakten (instruktio- nen för Försvarsmakten). Försvarsmakten har ett brett uppdrag som övergripande innebĂ€r ansvar för att upprĂ€tthĂ„lla och utveckla ett militĂ€rt försvar som ytterst kan möta ett vĂ€pnat angrepp. Grunden för Försvarsmaktens verksamhet ska vara förmĂ„gan till vĂ€pnad strid. Av bestĂ€mmelserna framgĂ„r vidare bl.a. att Försvarsmakten ska för- svara Sverige och frĂ€mja svensk sĂ€kerhet; upptĂ€cka och avvisa krĂ€nk- ningar av det svenska territoriet; kunna delta i internationella militĂ€ra insatser; genomföra rĂ€ddnings-, evakuerings-, och förstĂ€rkningsinsat- ser; bedriva omvĂ€rldsbevakning och upptĂ€cka och identifiera yttre hot mot Sverige och svenska intressen samt att ta fram underlag för beslut om höjd beredskap. Vid höjd beredskap ska Försvarsmakten kunna krigsorganisera, mobilisera och anvĂ€nda alla krigsförband för att möta ett militĂ€rt hot mot Sverige och svenska intressen. Krigsför- band ska kunna krigsorganiseras Ă€ven om höjd beredskap inte rĂ„der.

Försvarsmakten ska vidare, enligt 3 b § 1–4 instruktionen för För- svarsmakten sĂ€rskilt bedriva verksamhet enligt lagen (2000:130) om försvarsunderrĂ€ttelseverksamhet; leda och bedriva militĂ€r sĂ€kerhets- tjĂ€nst; leda och samordna signalskyddstjĂ€nsten, inklusive arbetet med sĂ€kra kryptografiska funktioner som Ă€r avsedda att skydda skyddsvĂ€rd information, samt bitrĂ€da Regeringskansliet i frĂ„gor som rör kryptoverksamhet och annan signalskyddsverksamhet. Försvars- maktens underrĂ€ttelseverksamhet beskrivs nĂ€rmare i avsnitt 3.3.

Av instruktionen för Försvarsmakten följer Àven att Försvars- makten, med myndighetens befintliga förmÄga och resurser ska kunna lÀmna stöd till civil verksamhet; ansvara för att samla in, bearbeta

89

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

och lÀmna Kustbevakningen sjölÀgesinformation; pÄ uppdrag av För- svarets materielverk bedriva exportrelaterad verksamhet inom för- svarssektorn; medverka i statsceremonier och pÄ begÀran av polisen utföra helikoptertransporter som Àr av större vikt för genomföran- det av polisiÀra insatser; bedriva militÀr luftfart; kunna bedriva inter- nationell militÀr test-, utbildnings-, och övningsverksamhet i Sverige och genomföra utbildning för svenska och utlÀndska deltagare av- seende internationell fredsfrÀmjande, sÀkerhetsfrÀmjande och kon- fliktförebyggande verksamhet.

För att upprÀtthÄlla och utveckla ett militÀrt försvar krÀvs utveck- ling av teknik och metodik. Enligt 5 f § instruktionen för Försvars- makten ska Försvarsmakten bl.a. bedriva egna studier och försök för inriktning och utveckling av det militÀra försvaret. Som ett exempel pÄ nÀr Försvarsmakten har behov av att bedriva dessa studier och försök kan nÀmnas regeringens uppdrag till Försvarsmakten att, med stöd av Försvarets radioanstalt, analysera och utveckla förmÄga att genomföra aktiva operationer i cybermiljön för ett förstÀrkt cyber- försvar (Försvarsmaktens regleringsbrev för 2018).

Försvarsmakten ansvarar Àven jÀmte SÀkerhetspolisen för den huvudsakliga tillsynen av sÀkerhetsskyddet i Sverige. Fördelningen myndigheterna emellan innebÀr att SÀkerhetspolisen utövar tillsyn över myndigheter pÄ det civila omrÄdet och Försvarsmakten över myndig- heter som hör till Försvarsdepartementet samt Försvarshögskolan och Fortifikationsverket (39 § sÀkerhetsskyddsförordningen [1996:633]). Sammantaget innebÀr regleringen i sÀkerhetsskyddsförordningen att Försvarsmakten och SÀkerhetspolisen har rÀtt att utöva tillsyn i alla slag av verksamheter som sÀkerhetsskyddslagen (1996:627) gÀller för, med undantag för Regeringskansliet, riksdagen och dess myndigheter och Justiekanslern. Till dessa verksamheter ska i stÀllet SÀkerhets- polisen pÄ begÀran lÀmna rÄd (47 § sÀkerhetsskyddsförordningen).

HÀr kan anmÀrkas att regeringen har föreslagit en ny sÀkerhets- skyddslag (prop. 2017/18:89). Den nya lagen föreslÄs trÀda i kraft den 1 april 2019.

Försvarsmakten har vidare vissa andra arbetsuppgifter som rör Sveriges försvar och sÀkerhet och som anges i lag eller förordning. Nedan ges ett antal exempel pÄ sÄdana uppgifter.

90

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

1.Enligt förfogandelagen (1978:262) fÄr Försvarsmakten under vissa omstÀndigheter besluta att ta i ansprÄk egendom eller tjÀnster.

2.För att utreda och bedöma en totalförsvarspliktigs förutsÀttningar att fullgöra vÀrnplikt kan Försvarsmakten genomföra annan utred- ning enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt (3 kap. 5 § andra stycket förordningen [1995:238] om totalförsvarsplikt).

3.I lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekÀmpning finns bestÀmmelser om Försvarsmaktens stöd till Polismyndigheten och SÀkerhetspolisen vid terrorism- bekÀmpning i form av insatser som kan innebÀra anvÀndning av vÄld eller tvÄng mot enskilda.

4.Försvarsmakten Àr enligt 4 § instruktionen för Försvarsmakten beslutsmyndighet enligt lagen (2006:939) om kvalificerade skydds- identiteter i fall som avses i 2 § 3 den lagen.

5.Enligt förordningen (1982:314) om utnyttjande av Kustbevak- ningen inom Försvarsmakten ska personal ur Kustbevakningen inom Försvarsmakten anvÀndas för övervakning, transporter och andra uppgifter enligt nÀrmare överenskommelse mellan myndig- heterna.

6.Enligt förordningen (1992:391) om uttagning av egendom för totalförsvarets behov ska Försvarsmakten föra ett register över uttagen egendom och egendomens Àgare.

7.Enligt förordningen om Sveriges försvarsattachéer (FFS 1985:20) ska en försvarsattaché, i det land eller de lÀnder som han eller hon svarar för, följa och bedöma den militÀrpolitiska utvecklingen och utvecklingen i övrigt inom det totala försvaret, hÄlla sig under- rÀttad om den sÀkerhetspolitiska utvecklingen samt i övrigt full- göra uppgifter enligt Försvarsmaktens bestÀmmande.

Internationella samarbeten

Svensk sÀkerhet Àr beroende av internationella samarbeten och Sverige Àr en aktiv medlem i FN och EU. Sverige ingÄr ocksÄ i ett partner- skap med Nato och bedriver bi- och multilaterala samarbeten pÄ försvarsomrÄdet med de nordiska och baltiska lÀnderna, liksom med andra lÀnder, t.ex. Storbritannien, Tyskland och USA.

91

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

Sverige utvecklar ett sÀrskilt fördjupat försvarssamarbete med Finland. Som ett utslag av detta kan nÀmnas att det i SOU 2018:31 föreslÄs en lag om operativt militÀrt stöd mellan Sverige och Finland. Lagen syftar till att möjliggöra ett snabbare beslutsfattande om att, efter begÀran frÄn Finland, sÀtta in svenska vÀpnade styrkor för att stödja Finland med att hindra krÀnkningar av finskt territorium, samt att begÀra stöd frÄn Finland i form av militÀra styrkor för att möta ett vÀpnat angrepp mot Sverige eller för att hindra krÀnkningar av svenskt territorium. BetÀnkandet bereds i Regeringskansliet.

Försvarsmakten deltar i de internationella samarbeten Sverige har pÄ försvarsomrÄdet, liksom i internationella fredsfrÀmjande och humanitÀra insatser. Försvarsmakten bidrar ocksÄ till ett förstÀrkt underrÀttelsesamarbete inom ramen för EU:s gemensamma utrikes- och sÀkerhetspolitik och EU:s krishanteringsförmÄga. MÄlsÀttningen för det internationella försvarssamarbetet Àr att effektivare anvÀnda resurser och öka den operativa förmÄgan för det svenska försvaret. Den svenska försvarsförmÄgan syftar ytterst till försvar av det egna territoriet men ska ocksÄ betraktas som en del i en gemenskap för stabilitet och sÀkerhet i Europa.

3.2Försvarets radioanstalts uppgifter

Försvarets radioanstalts uppgifter framgÄr av förordningen (2007:937) med instruktion för Försvarets radioanstalt. Av förordningen fram- gÄr bl.a. att Försvarets radioanstalt har till uppgift att bedriva signal- spaning enligt lagen (2008:717) om signalspaning i försvarsunder- rÀttelseverksamhet och anslutande förordning (1 §).

Försvarets radioanstalt ska enligt 2 § förordningen med instruk- tion för Försvarets radioanstalt sÀrskilt

1.följa förÀndringen av signalmiljön i omvÀrlden, den tekniska ut- vecklingen och signalskyddet,

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten, och

3.utföra matematiska bedömningar av kryptosystem för totalför- svaret.

92

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

Enligt samma förordning ska Försvarets radioanstalt dÀrutöver upp- rÀtthÄlla kompetensen för de nationella behoven i frÄga om krypto- logi (2 a §) samt bitrÀda andra myndigheter vid vÀrdering, utveck- ling, anskaffning och drift av signalspaningssystem (3 §).

Försvarets radioanstalt ska ocksÄ stödja Försvarsmakten genom att utveckla metodik och utbilda personal inom signalspanings- omrÄdet (3 a §), stödja Försvarsmaktens deltagande i internationella insatser med kompetens, personal och materiel (3 b §), vidmakthÄlla och utveckla signalreferensbibliotek för Försvarsmaktens behov (3 c §).

PÄ uppdrag av Försvarets materielverk ska Försvarets radioanstalt utföra prov och utveckling inom teleteknikomrÄdet (3 d §).

Försvarets radioanstalt ska ha hög teknisk kompetens inom informationssÀkerhetsomrÄdet och fÄr efter begÀran stödja sÄdana statliga myndigheter och statligt Àgda bolag som hanterar informa- tion som bedöms vara kÀnslig frÄn sÄrbarhetssynpunkt eller i ett sÀkerhets- eller försvarspolitiskt avseende. Försvarets radioanstalt ska sÀrskilt kunna stödja insatser vid nationella kriser med it-inslag, medverka till identifieringen av inblandade aktörer vid it-relaterade hot mot samhÀllsviktiga system, genomföra it-sÀkerhetsanalyser och ge annat tekniskt stöd. Försvarets radioanstalt ska samverka med andra organisationer inom informationssÀkerhetsomrÄdet sÄvÀl inom som utom landet (4 §).

Av Försvarets radioanstalts regleringsbrev för 2018 framgÄr att myndigheten ska fortsatt utveckla och pÄ begÀran kunna placera ut tekniska detekterings- och varningssystem (TDV) vid de mest skydds- vÀrda verksamheterna bland statliga myndigheter och statligt Àgda bolag, som hanterar information som bedöms vara kÀnslig frÄn sÄr- barhetssynpunkt eller i ett sÀkerhets- eller försvarspolitiskt avseende.

Av regleringsbrevet för 2018 framgÄr vidare att myndigheten ska stödja Försvarsmakten i dess uppdrag att fortsÀtta analysera och ut- veckla förmÄga att genomföra aktiva operationer i cybermiljön för ett förstÀrkt cyberförsvar.

93

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

3.3FörsvarsunderrÀttelseverksamhet

FörsvarsunderrÀttelseverksamhet bedrivs enligt sÀrskild reglering i bl.a. lagen (2000:130) och förordningen (2000:131) om försvarsunderrÀttel- severksamhet, samt i lagen (2008:717) och förordningen (2008:923) om signalspaning i försvarsunderrÀttelseverksamhet.

Av lagen om försvarsunderrÀttelseverksamhet framgÄr att försvars- underrÀttelseverksamhet ska bedrivas till stöd för svensk utrikes-, sÀkerhets-, och försvarspolitik samt i övrigt för kartlÀggning av yttre hot mot landet samt att försvarsunderrÀttelseverksamhet endast fÄr avse utlÀndska förhÄllanden. I verksamheten ingÄr att medverka i svenskt deltagande i internationellt sÀkerhetssamarbete. Lagen anger vidare att regeringen ska bestÀmma försvarsunderrÀttelseverksam- hetens inriktning. Inom ramen för denna inriktning fÄr de myndig- heter som regeringen bestÀmmer ange en nÀrmare inriktning av verksamheten. Inriktning av signalspaning i försvarsunderrÀttelse- verksamhet regleras i lagen om signalspaning i försvarsunderrÀttelse- verksamhet, se avsnitt 3.3.5.

AvgrÀnsningen till utlÀndska förhÄllanden innebÀr att försvars- underrÀttelseverksamheten typiskt sett ska inhÀmta, bearbeta, ana- lysera och delge sÄdan information om företeelser och förhÄllanden i andra lÀnder som ger svenska beslutsfattare ett förbÀttrat underlag för beslut och bedömningar i utrikes-, sÀkerhets- och försvarspoli- tiska frÄgor eller för att skydda svensk personal som deltar i inter- nationella insatser. Verksamheten kan under vissa förhÄllanden Àven avse företeelser inom landet exempelvis om en organisation med verksamhet som utgör ett hot mot landet har sitt ursprung i ett annat land, men verkar genom representanter i Sverige eller genom att pÄ annat sÀtt utnyttja resurser i Sverige. Det handlar dÄ om att följa upp utlÀndska förhÄllandens koppling till Sverige för att kunna bedöma hotbilden mot landet.

Enligt 2 § förordningen om försvarsunderrÀttelseverksamhet ska försvarsunderrÀttelseverksamhet bedrivas av Försvarsmakten, För- svarets radioanstalt, Försvarets materielverk och Totalförsvarets forskningsinstitut.

FörsvarsunderrÀttelseverksamheten ska fullgöras genom inhÀmt- ning (teknisk och personbaserad), bearbetning och analys av infor- mation samt rapportering till berörda myndigheter (2 § lagen om försvarsunderrÀttelseverksamhet). Lagen hÀnvisar till att det i lagen

94

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

(2008:717) om signalspaning i försvarsunderrÀttelseverksamhet finns vissa bestÀmmelser om teknisk inhÀmtning.

De myndigheter som bedriver försvarsunderrÀttelseverksamhet fÄr inte vidta ÄtgÀrder som syftar till att lösa uppgifter som enligt lagar eller andra föreskrifter ligger inom ramen för Polismyndighetens, SÀkerhetspolisens och andra myndigheters brottsbekÀmpande och brottsförebyggande verksamheter. Om det inte finns hinder enligt andra bestÀmmelser, fÄr de myndigheter som bedriver försvarsunder- rÀttelseverksamhet emellertid lÀmna stöd till andra myndigheters brottsbekÀmpande och brottsförebyggande verksamhet (4 § lagen om försvarsunderrÀttelseverksamhet). FörsvarsunderrÀttelseverksamhet som bestÄr i att genom tekniska metoder, sÄsom signalspaning, in- hÀmta kommunikation anses inte utgöra en sÄdan ÄtgÀrd som avses i 4 §. SÄdan verksamhet bedrivs nÀmligen inte pÄ sÄdant sÀtt att den kan störa andra myndigheters verksamhet, och den syftar inte heller till att lösa en föreskriven uppgift för brottsbekÀmpande och brotts- förebyggande verksamhet (jfr prop. 2006/07:63 s. 48).

Enligt 3 § lagen om försvarsunderrÀttelseverksamhet fÄr de myndig- heter som ska bedriva försvarsunderrÀttelseverksamhet, etablera och upprÀtthÄlla samarbete i underrÀttelsefrÄgor med andra lÀnder och inte- rnationella organisationer. Enligt 3 § förordningen om försvarsunder- rÀttelseverksamhet fÄr samarbetet ske endast under förutsÀttning att syftet med samarbetet Àr att tjÀna den svenska statsledningen och det svenska totalförsvaret. Det anges vidare att de uppgifter som myn- digheterna lÀmnar till andra lÀnder och internationella organisationer inte fÄr vara till skada för svenska intressen. I den efterföljande para- grafen föreskrivs att myndigheterna ska anmÀla frÄgor om att etablera och upprÀtthÄlla samarbetet och om viktiga frÄgor som uppkommer i samarbetet till Regeringskansliet (Försvarsdepartementet).

Exempel pÄ vad som utgör försvarsunderrÀttelseverksamhet Àr sÀkerhetspolitiska och militÀrstrategiska bedömningar, analyser av pÄgÄende och framtida konflikter, internationella terroristgrupper, cyberhot, massförstörelsevapen samt biografiska underrÀttelser som avser utlÀndsk militÀr personal eller andra viktiga befattningshavare.

FörsvarsunderrÀttelseverksamheten gÄr ut pÄ att inom ramen för gÀllande inriktningar frÄn uppdragsgivare upptÀcka pÄ förhand okÀnda företeelser och uppgifter av relevans för dessa. Det kan exempelvis röra sig om uppgifter om nya hot mot svenska sÀkerhetsintressen, samhÀllsviktiga funktioner, eller mot svensk hemlig information

95

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

som inte fÄr hamna hos frÀmmande makt. Verksamheten innebÀr Àven att kartlÀgga redan kÀnda företeelser och följa förÀndringar i dessa för att tidigt fÄ kunskap om aktörers nya ambitioner, avsikter och för- mÄgor.

FörsvarsunderrÀttelseverksamhet Àr ocksÄ ett centralt verktyg vid kartlÀggning i efterhand av hÀndelser som oförutsett intrÀffat, i syfte att finna förklaringar till det intrÀffade samt för att kartlÀgga even- tuella Ànnu inte identifierade inslag i en intrÀffad hÀndelse. Genom sÄdan uppföljning kan ytterligare underrÀttelseinformation produ- ceras som ger dels bÀttre förstÄelse för orsakerna bakom det in- trÀffade, dels kompletterande information om inslag som Ànnu inte identifierats, t.ex. kvarvarande oupptÀckta hot.

3.3.1Försvarsmaktens underrÀttelseverksamhet och militÀra sÀkerhetstjÀnst

Den underrÀttelseverksamhet som bedrivs inom Försvarsmakten kan i rÀttsligt hÀnseende i huvudsak hÀnföras till försvarsunderrÀttelse- verksamhet, militÀr sÀkerhetsunderrÀttelsetjÀnst och övrig militÀr underrÀttelseverksamhet. Den militÀra sÀkerhetstjÀnsten inbegriper, förutom sÀkerhetsunderrÀttelsetjÀnst, sÀkerhetsskydd och signalskydd.

3.3.2Försvarsmaktens försvarsunderrÀttelseverksamhet

Av Försvarsmaktens arbetsordning framgÄr att det Àr chefen för den militÀra underrÀttelse- och sÀkerhetstjÀnsten (Must) som ska planera, leda, genomföra och följa upp försvarsunderrÀttelseverksamheten inom Försvarsmakten (11 kap. 1 § Försvarsmaktens föreskrifter med arbetsordning för Försvarsmakten, FFS 2016:2).

Av lagstiftningen följer att försvarsunderrÀttelseverksamhet ska följa regeringens inriktning och Försvarsmaktens samt ett antal andra myndigheters nÀrmare inriktning. Dessa inriktningar Àr hemliga.

Rapportering sker kontinuerligt i form av föredragningar, dialo- ger och skriftliga rapporter.

För att lösa sina uppgifter har Must ett antal egna kÀllor och möj- ligheten att ha samarbeten med utlÀndska myndigheter och inter- nationella organisationer. Must fÄr Àven information frÄn bland andra

96

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

SÀkerhetspolisen och Försvarets radioanstalt inom ramen för gÀllande regelverk.

3.3.3Försvarsmaktens militÀra sÀkerhetstjÀnst

Av 3 b § instruktionen för Försvarsmakten framgÄr att Försvars- makten sÀrskilt ska leda och bedriva militÀr sÀkerhetstjÀnst. I sÀker- hetsskyddslagen (1996:627) finns bestÀmmelser om sÀkerhetsskydd. Med sÀkerhetsskydd avses enligt 6 § sÀkerhetsskyddslagen dels skydd mot spioneri, sabotage och andra brott som kan hota rikets sÀkerhet, dels skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets sÀker- het. Vidare avses med sÀkerhetsskydd Àven skydd mot terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott, Àven om brotten inte hotar rikets sÀkerhet.

Den militÀra sÀkerhetstjÀnstens uppgift Àr att skydda de sÀker- hetsintressen som berör Försvarsmakten och dess tillsynsomrÄde enligt sÀkerhetsskyddslagstiftningen. Den militÀra sÀkerhetstjÀnsten ska samverka med SÀkerhetspolisen och Polismyndigheten. Den militÀra sÀkerhetstjÀnsten ska ocksÄ samverka med Myndigheten för samhÀllsskydd och beredskap och andra myndigheter rörande sÀker- hetsintressen som berör totalförsvaret.

SÀkerhetsintressena omfattar, eller kan hÀnföras till personal, materiel, information, anlÀggningar och verksamhet. Med begreppet militÀr sÀkerhetstjÀnst avses sÄvÀl verksamheten som dess organisa- tion. Den militÀra sÀkerhetstjÀnsten bestÄr av sÀkerhetsunderrÀt- telsetjÀnst, sÀkerhetsskyddstjÀnst och signalskyddstjÀnst. Den kan riktas mot hela eller delar av Försvarsmakten, viss funktion eller verksamhet och förband samt verksamhet inom Försvarsmaktens in- tresseomrÄde, t.ex. försvarsindustri (se prop. 2006/07:46 s. 25).

SÀkerhetsunderrÀttelsetjÀnsten har till uppgift att klarlÀgga och ana- lysera den sÀkerhetshotande verksamhetens mÄl, medel och metoder. SÀkerhetshotande verksamhet mot Sverige eller mot insatta förband och insatser i andra lÀnder kan förekomma i form av frÀmmande under- rÀttelseverksamhet, sabotage, subversiv verksamhet, terrorism och kriminalitet. SÀkerhetsunderrÀttelsetjÀnst bedrivs genom planlÀggning, inhÀmtning, bearbetning och analys samt delgivning av sÀkerhets- underrÀttelser.

97

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

SÀkerhetsskyddstjÀnstens uppgift Àr att ta fram ÄtgÀrder som syftar till att hindra eller försvÄra sÀkerhetshotande verksamhet sÄsom exempelvis obehörigt röjande av hemliga uppgifter som rör Sveriges sÀkerhet, sabotage, stöld och terrorism. SÀkerhetsskyddstjÀnsten ska, utifrÄn hotbild och sÀkerhetshotande verksamhet, ge sÀkerhetsin- tressena relevant skydd i form av informationssÀkerhet, tilltrÀdes- begrÀnsning och sÀkerhetsprövning.

SignalskyddstjÀnsten syftar till att förhindra obehörig insyn i och pÄverkan av telekommunikations- och it-system med hjÀlp av kryp- tografiska metoder och övriga signalskyddsÄtgÀrder. Signalskydds- tjÀnsten Àr en sÀkerhetsskyddsangelÀgenhet dÀr ansvaret omfattar hela totalförsvaret och syftet Àr att sÀkerstÀlla sÀker kommunikation.

En del av signalskyddstjÀnsten Àr kontroll av signalskyddet i tele- kommunikations- och it-system, s.k. signalkontroll. Signalkontroll syftar till att klarlÀgga riskerna för obehörig Ätkomst till eller för- vanskning av uppgifter eller störning av telekommunikation. Vidare kan signalkontroll klarlÀgga att systemen anvÀnds enligt gÀllande regelverk (prop. 2006/07:46 s. 25 f.).

SÀkerhetsskyddstjÀnsten och signalskyddstjÀnsten syftar gemen- samt till att förebygga, förhindra och motverka sÀkerhetshotande verksamhet. Tillsyn, utbildning, uppföljning och kontroll Àr nöd- vÀndiga bestÄndsdelar för att uppnÄ ett fullgott sÀkerhetsskydd.

Chefen för militÀra underrÀttelse- och sÀkerhetstjÀnsten ansvarar för Försvarsmaktens tillsyn vad avser sÀkerhetsskyddet vid Fortifi- kationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet (11 kap. 12 § första stycket 6 Försvarsmaktens föreskrifter med arbetsordning för Försvarsmakten, FFS 2016:2).

3.3.4Övrig militĂ€r underrĂ€ttelseverksamhet

Övrig militĂ€r underrĂ€ttelseverksamhet utgörs av den underrĂ€ttelse- tjĂ€nst som Försvarsmakten genomför för att kunna lösa Försvars- maktens militĂ€ra uppgifter sĂ„som dessa uppgifter framtrĂ€der exem- pelvis i Försvarsmaktens instruktion, regleringsbrev eller sĂ€rskilda regeringsbeslut och som inte utgör försvarsunderrĂ€ttelseverksamhet eller militĂ€r sĂ€kerhetstjĂ€nst. Denna underrĂ€ttelseverksamhet syftar frĂ€mst till i att skapa en lĂ€gesbild och ge beslutsunderlag för militĂ€ra chefer.

98

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

Must bedriver t.ex. militĂ€r underrĂ€ttelsetjĂ€nst till stöd för Över- befĂ€lhavaren (ÖB), i enlighet med dennes inriktning. Uppgifterna till Must omfattar stöd med bedömningar för ÖB:s lĂ„ngsiktiga utveck- ling av Försvarsmaktens förmĂ„gor och förband, försvarsplanlĂ€ggning, ledning, planering och genomförande av militĂ€ra insatser i nĂ€r- omrĂ„det och i de internationella insatsomrĂ„dena. Must Ă€r Ă„lagd att kontinuerligt följa den militĂ€ra utvecklingen och verksamheten i nĂ€romrĂ„det.

3.3.5Försvarets radioanstalts signalspaning

i försvarsunderrÀttelse- och utvecklingsverksamhet

Signalspaning, inhÀmtning av signaler i elektronisk form, Àr en in- hÀmtningsmetod i försvarsunderrÀttelseverksamheten som regleras i lagen om signalspaning i försvarsunderrÀttelseverksamhet. Inrikt- ning av signalspaning fÄr endast anges av regeringen, Regeringskansliet, Försvarsmakten, SÀkerhetspolisen och Nationella operativa avdel- ningen vid Polismyndigheten (4 §).

Av 1 § lagen om signalspaning i försvarsunderrÀttelseverksamhet följer att signalspaning endast fÄr avse utlÀndska förhÄllanden och ske i syfte att kartlÀgga vissa i lagen sÀrskilt upprÀknade företeelser:

1.yttre militÀra hot mot landet,

2.förutsÀttningar för svenskt deltagande i fredsfrÀmjande och humanitÀra internationella insatser eller hot mot sÀkerheten för svenska intressen vid genomförandet av sÄdana insatser,

3.strategiska förhÄllanden avseende internationell terrorism och annan grov grÀnsöverskridande brottslighet som kan hota vÀsent- liga nationella intressen,

4.utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av pro- dukter med dubbla anvÀndningsomrÄden och av tekniskt bistÄnd,

5.allvarliga yttre hot mot samhÀllets infrastrukturer,

6.konflikter utomlands med konsekvenser för internationell sÀkerhet,

7.frÀmmande underrÀttelseverksamhet mot svenska intressen, eller

99

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

8.frÀmmande makts agerande eller avsikter av vÀsentlig betydelse för svensk utrikes-, sÀkerhets- eller försvarspolitik.

Försvarets radioanstalt ska ansöka om tillstÄnd hos Försvarsunder- rÀttelsedomstolen för den signalspaning som fÄr utföras enligt lagen (4 a §), varefter domstolen meddelar tillstÄnd om vissa krav Àr upp- fyllda, bl.a. att syftet med inhÀmtningen inte kan tillgodoses pÄ ett mindre ingripande sÀtt och uppdraget berÀknas ge information vars vÀrde Àr klart större Àn det integritetsintrÄng som inhÀmtning i enlighet med ansökan kan innebÀra (5 §).

Signalspaning i försvarsunderrÀttelseverksamhet syftar alltid till att rapportera underrÀttelser som ger ett kompletterande mervÀrde för uppdragsgivarna utöver den rapportering och det öppna infor- mationsflöde som de i övrigt kan ta del av. Det sker genom att Försvarets radioanstalt inhÀmtar information som Àr relevant för att tillgodose de underrÀttelsebehov som regeringen och andra upp- dragsgivare uttryckt i en inriktning.

Det Àr normalt sett informationen, inte den kÀlla som för stunden hanterar eller förmedlar information, som Àr det centrala. Inom vissa underrÀttelseomrÄden, t.ex. frÀmmande underrÀttelseverksamhet och terrorism, kan dock enskilda kÀllor vara centrala om de i sig kan ut- göra ett hot mot Sverige och svenska intressen.

Signalspaningen Àr en viktig del av Sveriges försvarsunderrÀttelse- verksamhet och bidrar till att ge regeringen underlag för en sjÀlvstÀn- dig svensk utrikes-, sÀkerhets- och försvarspolitik och till att ge andra inriktande myndigheter kvalificerad underrÀttelseinformation om utlÀndska förhÄllanden för att de i sin tur ska kunna fullgöra sina uppgifter.

All signalspaning vid Försvarets radioanstalt sker inom ramen för givna inriktningar. De enskilda, i varje givet ögonblick, mest ange- lÀgna konkreta underrÀttelsefrÄgorna kan ofta inte stÀllas i förvÀg dÄ de Ànnu inte Àr kÀnda. OmvÀrlden förÀndras fortlöpande och dÀrmed de konkreta underrÀttelsebehoven. Av detta följer att Försvarets radioanstalt behöver vara vÀl förberedd pÄ nya frÄgestÀllningar genom att stÀndigt utveckla förmÄgor att hitta och identifiera nya relevanta kÀllor till information.

Den information som Försvarets radioanstalt strÀvar efter att finna och rapportera, i syfte att tillgodose uttryckta underrÀttelse- behov, Àr ofta konfidentiell och sÄledes skyddsvÀrd för den kÀlla som

100

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

hanterar informationen. Informationen Àr dÀrför ofta försedd med nÄgon form av Ätkomstskydd för att förhindra obehörig Ätkomst. För att framgÄngsrikt bedriva försvarsunderrÀttelse- och utveck- lingsverksamhet krÀvs dÀrför aktuell och ingÄende kunskap dels om hur signaler förmedlas och hanteras i elektronisk form, dels om de mekanismer som anvÀnds för att skydda informationen.

För att kunna tillgodose uppdragsgivarnas underrÀttelsebehov behöver Försvarets radioanstalt ingÄende kunskap om signalmiljön för att pÄ ett effektivt sÀtt kunna rikta inhÀmtningskapacitet mot rÀtt delar av signalmiljön samt för att kunna urskilja, extrahera och tyda den relevanta informationen. För detta krÀvs omfattande expertkun- skaper om sÄvÀl signalmiljöns struktur som dess anvÀndning. För- svarets radioanstalt bedriver dÀrför en utvecklingsverksamhet för att etablera och upprÀtthÄlla en tillrÀckligt god förstÄelse av signal- miljön, samt tillrÀckligt god förmÄga att kunna bedriva inhÀmtning, bearbetning och analys av den information som förekommer i signal- miljön. Om det Àr nödvÀndigt för försvarsunderrÀttelseverksamheten fÄr enligt 1 § tredje stycket lagen om signalspaning i försvarsunder- rÀttelseverksamhet signaler i elektronisk form Àven inhÀmtas vid signalspaning för att följa förÀndringar i signalmiljön i omvÀrlden, den tekniska utvecklingen och signalskyddet samt för att fortlöpande utveckla den teknik och metodik som behövs för att bedriva verk- samheten.

Utvecklingsverksamheten har sÄledes inte nÄgot sjÀlvstÀndigt existensberÀttigande, utan syftar enbart till att etablera och vidmakt- hÄlla fortsatt förmÄga som Àr nödvÀndig för försvarsunderrÀttelse- verksamheten.

3.3.6Försvarets radioanstalts informationssÀkerhetsverksamhet

Som beskrivits i avsnitt 3.2 har Försvarets radioanstalt ett sÀrskilt uppdrag att lÀmna stöd sÄ att informationssÀkerheten kan upprÀtt- hÄllas vid de mest skyddsvÀrda verksamheterna i Sverige. Försvarets radioanstalt har Àven till uppgift enligt 17 § förordningen (2015:1053) om totalförsvar och höjd beredskap att tilldela sÀkra kryptografiska funktioner till ett antal civila myndigheter och organisationer.

101

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

Försvarets radioanstalt möjlighet att hantera de allvarligaste it- angreppen mot de mest skyddsvÀrda verksamheterna krÀver en för- mÄga att upptÀcka dessa samt att kartlÀgga bakomliggande aktörer. Signalspaning har en avgörande betydelse för att Försvarets radio- anstalt ska kunna förse uppdragsgivare med unika underrÀttelser kring it-relaterade hot mot Sverige och svenska intressen. Samma underrÀttelser kan inom Försvarets radioanstalts informationssÀker- hetsverksamhet omsÀttas till indirekt och direkt skydd som omfattar sÄvÀl tekniska tjÀnster (exempelvis signalskydd, sensorsystem och informationssÀkerhetsanalyser) som rÄdgivning och utbildning.

Ett tydligt exempel pÄ detta ömsesidiga utbyte av information Àr det tekniska detekterings- och varningssystem (TDV) som Försva- rets radioanstalt tagit fram pÄ uppdrag av regeringen. TDV erbjuds de mest skyddsvÀrda verksamheter som redan har uppnÄtt en egen god informationssÀkerhet, ofta med stöd av Försvarets radioanstalt. Genom signaturer frÄn signalspaning upptÀcker systemet avancerade angrepp som kommersiella antivirusprogram inte kan hitta. Sam- tidigt kan det Äterkommande stöd som Försvarets radioanstalt ger de mest skyddsvÀrda verksamheterna, ge signalspaningen ny kunskap om tidigare okÀnda angreppsmetoder, tillvÀgagÄngssÀtt eller aktörer. Genom att tillvarata synergierna mellan försvarsunderrÀttelse- och in- formationssÀkerhetsverksamheten skapas sÄledes viktiga mervÀrden.

102

4 GÀllande rÀtt

4.1Internationella överenskommelser

4.1.1Förenta nationerna

Förenta nationernas (FN) allmĂ€nna förklaring om de mĂ€nskliga rĂ€ttig- heterna antogs Ă„r 1948 av FN:s generalförsamling. Förklaringen om- fattar politiska, medborgerliga, sociala, ekonomiska och kulturella rĂ€ttigheter. Även om den allmĂ€nna förklaringen inte Ă€r bindande för medlemsstaterna ses den som ett uttryck för den internationella opinionens krav. Skyddet för den personliga integriteten behandlas i artikel 12. DĂ€r anges att ingen fĂ„r utsĂ€ttas för godtyckligt ingri- pande i frĂ„ga om privatliv, familj, hem eller korrespondens och inte heller för angrepp pĂ„ sin heder eller sitt anseende. Var och en har rĂ€tt till lagens skydd mot sĂ„dana ingripanden och angrepp. Vidare anges i artikel 29 att en person endast fĂ„r underkastas sĂ„dana inskrĂ€nk- ningar som har faststĂ€llts i lag och enbart i syfte att trygga tillbörlig hĂ€nsyn till och respekt för andras fri- och rĂ€ttigheter samt för att tillgodose ett demokratiskt samhĂ€lles berĂ€ttigade krav pĂ„ moral, all- mĂ€n ordning och allmĂ€n vĂ€lfĂ€rd. FN har ocksĂ„ antagit den inter- nationella konventionen om medborgerliga och politiska rĂ€ttigheter som trĂ€dde i kraft Ă„r 1976, till vilken Sverige Ă€r ansluten. Skyddet för den personliga integriteten regleras i artikel 17 i konventionen, vilken till sitt innehĂ„ll Ă€r likvĂ€rdig med ovan nĂ€mnda artikel 12 i den all- mĂ€nna förklaringen. KommittĂ©n för de mĂ€nskliga rĂ€ttigheterna har inrĂ€ttats för att övervaka att medlemsstaterna efterlever sina skyldig- heter enligt konventionen. I sammanhanget bör ocksĂ„ nĂ€mnas att FN:s generalförsamling Ă„r 1990 antog riktlinjer om datoriserade register med personuppgifter. Enligt riktlinjerna fĂ„r medlemsstaterna i den nationella lagstiftningen avseende datoriserade register med person- uppgifter inte samla in eller behandla personuppgifter pĂ„ ett olagligt sĂ€tt eller anvĂ€nda uppgifterna för syften som stĂ„r i strid med FN:s

103

GÀllande rÀtt

SOU 2018:63

stadga. ÄndamĂ„let med ett register ska vara specificerat, berĂ€ttigat och pĂ„ nĂ„got sĂ€tt uttryckligt angivet för den som berörs. Detta för att försĂ€kra att alla personuppgifter som samlas in och behandlas Ă€r relevanta och adekvata för det angivna Ă€ndamĂ„let, att uppgifterna inte anvĂ€nds i strid med Ă€ndamĂ„let och att uppgifterna inte bevaras lĂ€ngre Ă€n som krĂ€vs för att uppfylla det angivna Ă€ndamĂ„let.

4.1.2OECD

Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat riktlinjer angÄende integritetsskyddet och flödet av per- sonuppgifter över grÀnserna. Riktlinjerna antogs Är 1980 av OECD:s rÄd samtidigt som en rekommendation till medlemslÀndernas reger- ingar om att beakta riktlinjerna i nationell lagstiftning. Sverige har godtagit rekommendationerna och dÀrmed Ätagit sig att följa rikt- linjerna. Riktlinjerna, som Àr att betrakta som minimiregler, mot- svarar i princip bestÀmmelserna i EuroparÄdets dataskyddskonven- tion och Àr tillÀmpliga pÄ personuppgifter inom bÄde den offentliga och den privata sektorn. Riktlinjerna gÀller sÄvÀl för uppgifter som lagras automatiskt som uppgifter som förs manuellt. Riktlinjerna innehÄller grundlÀggande principer till skydd för den personliga integriteten, bl.a. att personuppgifter ska vara relevanta för de Ànda- mÄl för vilka de ska anvÀndas. Vidare anges att personuppgifterna Àven ska vara riktiga och fullstÀndiga samt hÄllas aktuella. En annan grundlÀggande princip Àr att de ÀndamÄl för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.

4.2EuroparÀtt

4.2.1EuroparÄdet

Europakonventionen

De rÀttigheter som anges i FN:s allmÀnna förklaring om de mÀnsk- liga rÀttigheterna har utvecklats vidare i Europakonventionen.

Europakonventionen gÀller sedan den 1 januari 1995 som lag i Sverige (lagen [1994:1219] om den europeiska konventionen angÄende skydd för de mÀnskliga rÀttigheterna och grundlÀggande friheterna). Av 2 kap. 19 § regeringsformen framgÄr att lag eller annan föreskrift

104

SOU 2018:63

GÀllande rÀtt

inte fĂ„r meddelas i strid med Sveriges Ă„taganden pĂ„ grund av kon- ventionen. Det Ă€r framför allt artikel 8 i konventionen som har bety- delse för skyddet av den personliga integriteten. Av artikeln framgĂ„r att var och en har rĂ€tt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet fĂ„r inte inskrĂ€nka denna rĂ€tt annat Ă€n med stöd av lag och om det i ett demokratiskt samhĂ€lle Ă€r nödvĂ€ndigt med hĂ€nsyn till statens sĂ€kerhet, den allmĂ€nna sĂ€kerheten, landets ekonomiska vĂ€lstĂ„nd, till förebyggande av oord- ning eller brott, till skydd för hĂ€lsa och moral eller för andra per- soners fri- och rĂ€ttigheter. TillĂ€mpningsomrĂ„det för artikeln omfat- tar behandling av personuppgifter om privatliv, familjeliv, hem eller korrespondens. Artikeln innebĂ€r att staten ska avhĂ„lla sig frĂ„n in- grepp i den skyddade rĂ€ttigheten men ocksĂ„ en skyldighet för staten att vidta Ă„tgĂ€rder för att skydda den enskildes privata sfĂ€r (Danelius, H., MĂ€nskliga rĂ€ttigheter i europeisk praxis, 4 uppl., 2012, s. 347 f.). En inskrĂ€nkning i en konventionsskyddad rĂ€ttighet ska ha stöd i lag. Lagen ska vara sĂ„ preciserad att inskrĂ€nkningarna Ă€r förutsebara och att lagen Ă€r allmĂ€nt tillgĂ€nglig. Europadomstolen har i praxis slagit fast att intrĂ„nget ska vara nödvĂ€ndigt, dvs. det ska finnas ett ”ange- lĂ€get samhĂ€lleligt behov” och inskrĂ€nkningen ska stĂ„ i rimlig pro- portion till det syfte som ska tillgodoses genom den.

EuroparÄdets dataskyddskonvention

De dataskyddsregler som antagits inom ramen för EuroparÄdet finns i första hand i EuroparÄdets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter1 (ETS 108), den s.k. dataskyddskonventionen. Konventionen, som trÀdde i kraft den 1 oktober 1985, kompletteras av ett antal av ministerkommittén an- tagna icke bindande rekommendationer om hur personuppgifter bör behandlas inom olika omrÄden. Dataskyddskonventionen gÀller för EuroparÄdets 47 medlemsstater, men Àven Mauritius, Senegal, Tunisien och Uruguay Àr parter till konventionen.

Konventionen brukar ses som en precisering av artikel 8 i Europa- konventionen och syftar till att sÀkerstÀlla respekten för grund- lÀggande fri- och rÀttigheter, sÀrskilt den enskildes rÀtt till personlig

1Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108).

105

GÀllande rÀtt

SOU 2018:63

integritet i samband med automatiserad behandling av personupp- gifter (artikel 1). Konventionen tar sikte pĂ„ behandling av personupp- gifter i automatiserade personregister och automatiserad personupp- giftsbehandling i allmĂ€n och enskild verksamhet. Personuppgifterna ska enligt konventionen inhĂ€mtas och behandlas pĂ„ ett korrekt sĂ€tt och de ska vara relevanta med hĂ€nsyn till Ă€ndamĂ„let (artikel 5). Vissa kategorier av personuppgifter fĂ„r inte behandlas genom automati- serad databehandling om inte den nationella lagstiftningen ger ett Ă€ndamĂ„lsenligt skydd (”appropriate safeguards”). Till sĂ„dana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott (artikel 6).

Konventionen innehÄller Àven enskildas rÀtt att veta att informa- tion lagras om honom eller henne och rÀtten att vid behov fÄ den korrigerad (artikel 8). Restriktioner nÀr det gÀller rÀttigheterna i kon- ventionen Àr endast möjliga nÀr det handlar om ett överordnat intresse, sÄsom statens sÀkerhet eller försvar (artikel 9).

Enligt artikel 10 i dataskyddskonventionen, som Ă€ven omfattar personuppgiftsbehandling som rör nationell sĂ€kerhet, Ă„tar sig kon- ventionsstaterna att införa lĂ€mpliga sanktioner och rĂ€ttsmedel (”appro- priate sanctions and remedies”) för övertrĂ€delser av sĂ„dana bestĂ€m- melser i den nationella lag genom vilka de grundlĂ€ggande principer för dataskydd som har angetts i konventionen har genomförts. Konven- tionen anger dock inte vilka krav som stĂ€lls pĂ„ sĂ„dana sanktioner.

EuroparÄdets ministerkommitté antog Är 2001 ett tillÀggsproto- koll till dataskyddskonventionen (ETS 181). Det innehÄller bestÀm- melser om tillsynsmyndigheter och överföring av personuppgifter till lÀnder som inte Àr bundna av konventionen. TillÀggsprotokollet trÀdde i kraft den 1 juli 2004. Av protokollet framgÄr bl.a. att varje konventionsstat ska se till att en eller flera myndigheter ansvarar för att kontrollera att de ÄtgÀrder respekteras som inom dess nationella lagstiftning ger verkan Ät de principer som anges i konventionen. TillÀggsprotokollet innehÄller vidare bestÀmmelser som anger att konventionsstaterna ska vidta ÄtgÀrder för att sÀkerstÀlla att över- föring av personuppgifter till ett land som inte Àr konventionspart fÄr ske bara om landet i frÄga sÀkerstÀller en adekvat skyddsnivÄ för uppgifterna.

Konventionens roll som grundlÀggande dokument för automati- serad behandling av personuppgifter inom EU har i princip över-

106

SOU 2018:63

GÀllande rÀtt

tagits av EU:s reglering i form av direktiv och förordning. EU:s reg- lering omfattar emellertid inte behandling av personuppgifter inom omrÄden som allmÀn sÀkerhet, försvar och statens sÀkerhet (dvs. utan- för unionsrÀtten). PÄ dessa omrÄden Àr dataskyddskonventionen dÀrför fortfarande av betydelse.

EuroparĂ„det inledde Ă„r 2010 en översyn av konventionen och rekommendationerna. EuroparĂ„dets medlemsstater antog ett Ă€ndrings- protokoll den 18 maj 2018. Ändringsprotokollet trĂ€der i kraft nĂ€r det har ratificerats av EuroparĂ„dets alla 47 medlemsstater. Ändrings- protokollet kan ocksĂ„ trĂ€da i kraft om det har ratificerats av 38 med- lemsstater, men gĂ€ller följaktligen dĂ„ endast för de stater som har ratificerat protokollet.2

4.2.2Europeiska unionen

Stadgan

Av Europeiska unionens stadga om de grundlÀggande rÀttigheterna3 framgÄr att var och en har rÀtt till skydd av de personuppgifter som rör honom eller henne. SÄdana uppgifter ska behandlas lagenligt för bestÀmda ÀndamÄl och pÄ grundval av den berörda personens sam- tycke eller nÄgon annan legitim och lagenlig grund. Var och en har rÀtt att fÄ tillgÄng till insamlade uppgifter som rör honom eller henne och att fÄ rÀttelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs (artikel 8).

I artikel 52 i stadgan anges i vilken utstrÀckning inskrÀnkningar fÄr göras i de rÀttigheter som erkÀnns i stadgan. UtgÄngspunkten Àr att sÄdana inskrÀnkningar endast fÄr göras i lag och ska vara förenliga med det vÀsentliga innehÄllet i rÀttigheterna. BegrÀnsningar fÄr en- dast göras om de Àr nödvÀndiga och svarar mot ett allmÀnt samhÀlls- intresse som erkÀnns av unionen eller behovet av skydd för andra mÀnniskors rÀttigheter och friheter.

2Ändringsprotokollet (Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), som antogs pĂ„ EuroparĂ„dets ministermöte i Helsingör, Danmark, finns tillgĂ€ngligt pĂ„ EuroparĂ„dets hemsida: www.coe.int

3Europeiska unionens stadga om de grundlÀggande fri- och rÀttigheterna (2010/C 83/02).

107

GÀllande rÀtt

SOU 2018:63

EU-stadgan Àr rÀttsligt bindande för medlemsstaterna vid tillÀmp- ning av unionsrÀtten. Stadgan ska sÄledes inte tillÀmpas pÄ nationell lagstiftning inom omrÄden dÀr EU inte har lagstiftningskompetens.4

1995 Ă„rs dataskyddsdirektiv

Den allmÀnna regleringen av personuppgiftsbehandling inom Euro- peiska unionen fanns till den 25 maj 2018 i 1995 Ärs dataskyddsdirek- tiv. Direktivet syftade till att garantera en hög och i alla medlems- stater likvÀrdig skyddsnivÄ nÀr det gÀller enskilda personers fri- och rÀttigheter med avseende pÄ behandling av personuppgifter och att frÀmja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet, som har genomförts i svensk rÀtt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning gÀllde inte för behandling av personuppgifter utanför unionsrÀtten, t.ex. allmÀn sÀkerhet, försvar, statens sÀkerhet och statens verksamhet pÄ straffrÀttens omrÄde. Personuppgiftslagen redogörs nÀrmare för i avsnitt 4.3.3.

EU:s dataskyddsreform

Europeiska kommissionen presenterade i januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en allmÀn dataskyddsförordning som ersÀtter 1995 Ärs dataskyddsdirektiv, dels ett nytt direktiv (2016 Ärs data- skyddsdirektiv) med sÀrregler för personuppgiftsbehandling i frÀmst den brottsbekÀmpande sektorn.

EU:s dataskyddsförordning och 2016 Ärs dataskyddsdirektiv Àr tvingande endast inom unionsrÀtten och innehÄller ocksÄ uttryckliga undantag för behandling av personuppgifter som sker inom verk- samhet som inte omfattas av unionsrÀtten.

4Lissabonfördraget artikel 6.

108

SOU 2018:63

GÀllande rÀtt

EU:s dataskyddsförordning

AllmÀnt

Sedan den 25 maj 2018 utgör Europaparlamentets och rÄdets förord- ning (EU) 2016/679 om skydd för fysiska personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana upp- gifter och om upphÀvande av direktiv 95/46/EG (allmÀn dataskydds- förordning), hÀdanefter EU:s dataskyddsförordning eller dataskydds- förordningen, grunden för generell personuppgiftsbehandling inom EU. Det huvudsakliga syftet med dataskyddsförordningen Àr bl.a. att sÀkerstÀlla en enhetlig skyddsnivÄ över hela unionen och att und- vika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Dataskyddsförordningen Àr direkt tillÀmp- lig i alla EU:s medlemsstater men förutsÀtter och möjliggör samti- digt kompletterande och specificerande nationella bestÀmmelser av olika slag.

Behandling av personuppgifter som sker inom verksamhet som inte omfattas av EU-rÀtten, t.ex. försvar och nationell sÀkerhet, behandling som sker inom EU:s gemensamma utrikes- och sÀkerhetspolitik, behandling som utförs av en fysisk person och som Àr av rent privat natur samt behandling som sker inom brottsbekÀmpande verksamhet, Àr uttryckligen undantagna frÄn tillÀmpningsomrÄdet (artikel 2).

Dataskyddsförordningen reglerar bl.a. grundlÀggande principer för behandling av personuppgifter, den registrerades rÀttigheter, person- uppgiftsansvar, tillsyn över personuppgiftsbehandling och rÀtten för enskilda att fÄ tillgÄng till rÀttsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav. I förhÄllande till tidigare lag- stiftning stÀller dataskyddsförordningen högre krav pÄ de personupp- giftsansvariga genom bestÀmmelser om bl.a. utökad informationsskyl- dighet och möjlighet att besluta om administrativa sanktionsavgifter (artikel 83). Dessutom inrÀttas Europeiska dataskyddsstyrelsen med representanter frÄn samtliga EU-lÀnders dataskyddsmyndigheter, dÀribland Datainspektionen (artikel 68). Styrelsen har befogenhet att fatta beslut i frÄgor dÀr nationella tillsynsmyndigheter inte kan komma överens, ge rÄd och vÀgledning om hur dataskyddsförordningen ska tillÀmpas och godkÀnna EU-omfattande uppförandekoder och certifieringar.

109

GÀllande rÀtt

SOU 2018:63

I Sverige

Utöver dataskyddsförordningen gÀller sedan den 25 maj 2018 Àven lagen (2018:218) med kompletterande bestÀmmelser till EU:s data- skyddsförordning (dataskyddslagen). Samtidigt som denna lag trÀdde i kraft upphÀvdes personuppgiftslagen.

Enligt 1 kap. 2 § dataskyddslagen gÀller bestÀmmelserna i EU:s data- skyddsförordning och dataskyddslagen Àven vid behandling av person- uppgifter som utgör ett led i en verksamhet som inte omfattas av unions- rÀtten. Europeiska dataskyddsstyrelsen saknar emellertid behörighet inom detta utvidgade tillÀmpningsomrÄde (se prop. 2017/18:105 s. 184).

SÀrskilda undantag frÄn detta utvidgade tillÀmpningsomrÄde har gjorts för bl.a. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀker- hetstjÀnst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverk- samhet.

Enligt övergĂ„ngsbestĂ€mmelserna i dataskyddslagen ska personupp- giftslagen fortsĂ€tta att gĂ€lla i sĂ„dan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrĂ€tten. ÖvergĂ„ngsbestĂ€mmelserna gĂ€ller av förklarliga skĂ€l inte sĂ„dan personuppgiftsbehandling som om- fattas av Försvarsmaktens och Försvarets radioanstalts ovan nĂ€mnda sĂ€rlagstiftning.

2016 Ă„rs dataskyddsdirektiv

Europaparlamentets och rÄdets direktiv (EU) 2016/680 av den 27 april 20165 (2016 Ärs dataskyddsdirektiv) innehÄller sÀrregler för den personuppgiftsbehandling som behöriga myndigheter utför bl.a. i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott samt för att skydda mot, förebygga och förhindra hot mot den allmÀnna

5Europaparlamentets och rÄdets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende pÄ behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkstÀlla straffrÀttsliga pÄ- följder, och det fria flödet av sÄdana uppgifter och om upphÀvande av rÄdets rambeslut 2008/977/RIF.

110

SOU 2018:63

GÀllande rÀtt

sÀkerheten. Direktivet ersÀtter det gÀllande dataskyddsrambeslu- tet (2008/977/RIF)6 som reglerar utbyte av personuppgifter mellan medlemsstaterna inom denna sektor. Direktivets tillÀmpningsomrÄde omfattar, till skillnad frÄn rambeslutet, Àven rent nationell person- uppgiftsbehandling pÄ omrÄdet för brottsbekÀmpning, brottmÄls- hantering och straffverkstÀllighet.

EU:s nya dataskyddsdirektiv har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177) som trÀder i kraft den 1 augusti 2018. Syftet med lagen Àr bÄde att skydda fysiska personers grundlÀggande fri- och rÀttigheter och att sÀkerstÀlla att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra pÄ ett ÀndamÄlsenligt sÀtt. Lagen Àr, liksom tidigare personuppgifts- lagen, subsidiÀr i förhÄllande till annan lag eller förordning, vilket möj- liggör avvikande bestÀmmelser i s.k. registerförfattningar.

Brottsdatalagen reglerar inte SÀkerhetspolisens behandling av per- sonuppgifter som rör nationell sÀkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell sÀkerhet frÄn SÀker- hetspolisen. Utredningen om 2016 Ärs dataskyddsdirektiv har före- slagit att dessa omrÄden ska regleras sÀrskilt (SOU 2017:74). För- slaget bereds i Regeringskansliet.

Brottsdatalagen kan Àven bli tillÀmplig i vissa delar av Försvars- maktens verksamhet, t.ex. nÀr militÀrpolisen och militÀra skyddsvakter utför uppgifter med polismans befogenhet. Motsvarande kan gÀlla i samband med att Försvarsmakten lÀmnar stöd till polisen vid terror- ismbekÀmpning. Nu nÀmnda exempel kan dock ocksÄ komma att utföras inom ramen för Försvarsmaktens militÀra sÀkerhetstjÀnst. Av 4 § brottsdatalagen framgÄr dÀrför att lagen inte Àr tillÀmplig i sÄdan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst (se prop. 2017/18:232 s. 14 och 102 f.).

6RÄdets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrÀttsligt samarbete. Genomfört i svensk rÀtt huvudsakligen genom personuppgiftslagen (1998:204) med kompletterande bestÀmmel- ser i lag (2013:329) med vissa bestÀmmelser om skydd för personuppgifter vid polissamarbete och straffrÀttsligt samarbete inom Europeiska unionen (2013 Ärs lag).

111

GÀllande rÀtt

SOU 2018:63

4.3Nationell reglering till skydd för den personliga integriteten

4.3.1RĂ€tten till personlig integritet

Svensk rÀtt saknar en allmÀngiltig definition av begreppet personlig integritet. NÄgon entydig definition finns inte heller i internationell rÀtt7.

Ett sÀtt att bestÀmma begreppet personlig integritet Àr att ange vilka handlingar som utgör krÀnkningar av densamma. Enligt denna modell, som anvÀnts i bl.a. prop. 2006/07:63, En anpassad försvars- underrÀttelseverksamhet (s. 61), kan krÀnkningarna delas in i tre huvudgrupper: 1) intrÄng i en persons privata sfÀr i fysisk eller annan mening, 2) insamlande av uppgifter om en persons privata förhÄl- landen och 3) offentliggörande eller annan anvÀndning (t.ex. som bevisning i rÀttegÄng) av uppgifter om en persons privata förhÄllan- den. Som konkreta exempel pÄ olika slag av krÀnkningar angavs intrÄng i en persons privata sfÀr genom bl.a. olovlig ljudupptagning, brytande av brevhemlighet, telefonavlyssning och utnyttjande av elektronisk avlyssningsapparatur.

Den personliga integriteten kan alltsĂ„ krĂ€nkas pĂ„ mĂ„nga olika sĂ€tt. Även om det inte finns nĂ„gon entydig definition av begreppet kan konstateras att krĂ€nkningarna innebĂ€r ett intrĂ„ng i en fredad sfĂ€r som den enskilde bör vara tillförsĂ€krad.

4.3.2Regeringsformen

Regeringsformen innehÄller grundlÀggande bestÀmmelser till skydd för den personliga integriteten. Enligt mÄlsÀttningsstadgandet i 1 kap. 2 § första stycket ska den offentliga makten utövas med respekt bl.a. för den enskilda mÀnniskans frihet och enligt fjÀrde stycket ska det allmÀnna vÀrna om den enskildes privat- och familjeliv. BestÀmmel- serna har dock inte nÄgon bindande verkan för det allmÀnna och kan följaktligen inte ligga till grund för nÄgra individuella rÀttigheter (prop. 1975/76:209 s. 128 och prop. 2009/10:80 s. 173). I 2 kap. reger- ingsformen finns bestÀmmelser som skyddar enskildas integritet i en vidare mening. Enligt 2 kap. 6 § andra stycket regeringsformen Àr var

7SOU 2016:65 s. 34, med vidare hÀnvisning till bl.a. Integritetsutredningen i SOU 2002:18 s. 52 f. och Integritetsskyddskommittén i SOU 2007:22 s. 53 f.

112

SOU 2018:63

GÀllande rÀtt

och en – utöver vad som anges i första stycket i paragrafen om bl.a. pĂ„tvingade kroppsliga ingrepp – skyddad gentemot det allmĂ€nna mot betydande intrĂ„ng i den personliga integriteten, om det sker utan samtycke och innebĂ€r övervakning eller kartlĂ€ggning av den enskildes personliga förhĂ„llanden. Grundlagsskyddet omfattar enbart betydande intrĂ„ng. BestĂ€mmelsen infördes den 1 januari 2011 i syfte att stĂ€rka skyddet för den personliga integriteten. BegrĂ€nsning av skyddet fĂ„r enligt 2 kap. 20 § regeringsformen göras i lag. Det fĂ„r endast ske för att tillgodose Ă€ndamĂ„l som Ă€r godtagbara i ett demokratiskt sam- hĂ€lle. BegrĂ€nsningen fĂ„r inte gĂ„ utöver vad som Ă€r nödvĂ€ndigt med hĂ€nsyn till det Ă€ndamĂ„l som har föranlett den och inte heller strĂ€cka sig sĂ„ lĂ„ngt att den utgör ett hot mot den fria Ă„siktsbildningen. BegrĂ€nsningen fĂ„r inte heller göras enbart pĂ„ grund av politisk, religiös, kulturell eller annan sĂ„dan Ă„skĂ„dning (2 kap. 21 §).

I förarbetena till Ă€ndringen i 2 kap. 6 § framhĂ„lls att det Ă€r natur- ligt att det lĂ€ggs stor vikt vid uppgifternas karaktĂ€r vid bedömningen av hur ingripande intrĂ„nget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlĂ€m- nande av uppgifter om enskildas personliga förhĂ„llanden. Ju kĂ€nsligare uppgifterna Ă€r, desto mer ingripande anses det allmĂ€nnas hantering av uppgifterna normalt vara. Även hantering av ett fĂ„tal uppgifter kan med andra ord innebĂ€ra ett betydande intrĂ„ng i den personliga integriteten om uppgifterna Ă€r av mycket kĂ€nslig karaktĂ€r. Vid be- dömningen av intrĂ„ngets karaktĂ€r Ă€r det ocksĂ„ naturligt att stor vikt lĂ€ggs vid Ă€ndamĂ„let med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer kĂ€ns- lig Ă€n t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbĂ€ttringar av kvaliteten i handlĂ€ggningen. MĂ€ngden uppgifter kan ocksĂ„ vara en betydelsefull faktor i sammanhanget (prop. 2009/10:80 s. 183).

4.3.3Personuppgiftslagen

Personuppgiftslagen upphÀvdes i samband med dataskyddslagens ikrafttrÀdande. Enligt övergÄngsbestÀmmelse 2 till dataskyddslagen ska personuppgiftslagen bl.a. fortsÀtta att gÀlla i sÄdan verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte omfattas av unionsrÀtten. Den behandling av personuppgifter som omfattas

113

GÀllande rÀtt

SOU 2018:63

av lagen om behandling av personuppgifter i Försvarsmaktens för- svarsunderrÀttelse- och militÀra sÀkerhetstjÀnst och lagen om behand- ling av personuppgifter i Försvarets radioanstalts försvarsunderrÀt- telse- och utvecklingsverksamhet Àr undantagen dataskyddslagen pÄ sÀtt som beskrivs nÀrmare i avsnitt 4.3.3. Mot denna bakgrund följer hÀr en redogörelse för personuppgiftslagens innehÄll.

Personuppgiftslagen innehÄller generella regler för all behandling av personuppgifter, dvs. enligt lagen all slags information som direkt eller indirekt kan hÀnföras till en fysisk person som Àr i livet. Begrep- pet behandling av personuppgifter omfattar i stort sett allt man kan göra med sÄdana uppgifter, t.ex. att samla in, söka, bevara eller sprida uppgifter (3 §).

Personuppgiftslagen tillÀmpas pÄ helt eller delvis automatiserad behandling av personuppgifter men Àr Àven tillÀmplig pÄ manuell behandling av personuppgifter som ingÄr, eller Àr avsedda att ingÄ, i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier (5 §).

Personuppgiftslagen uppstÀller vissa grundlÀggande krav för be- handling av personuppgifter; bl.a. laglig behandling, pÄ ett korrekt sÀtt och i enlighet med god sed (9 §). DÀrtill fÄr personuppgifter bara samlas in för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl. Det innebÀr att ÀndamÄlen med en behandling av personuppgifter mÄste bestÀmmas redan nÀr uppgifterna samlas in. Personuppgif- terna fÄr sedan inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det för vilket uppgifterna samlades in. Denna s.k. finalitetsprin- cip Àr av central betydelse vid behandling av personuppgifter och innebÀr att en prövning mÄste göras av om eventuella nya ÀndamÄl med behandlingen Àr oförenliga med de ursprungligt angivna Ànda- mÄlen.

Personuppgiftslagen förbjuder behandling av kÀnsliga personupp- gifter; uppgifter som avslöjar ras eller etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse, medlemskap i fackföre- ning och uppgifter som rör hÀlsa eller sexualliv. SÄdana uppgifter fÄr emellertid behandlas i enlighet med vissa sÀrskilt angivna undantag, bl.a. uttryckligt samtycke frÄn den registrerade. Regeringen, eller den myndighet regeringen bestÀmmer, fÄr föreskriva ytterligare undan- tag frÄn förbudet om det behövs med hÀnsyn till ett viktigt allmÀnt intresse (13, 15 och 20 §§).

114

SOU 2018:63

GÀllande rÀtt

Datainspektionen Àr tillsynsmyndighet enligt personuppgiftslagen (2 § personuppgiftsförordningen [1998:1191]).

Även om personuppgiftslagen hĂ€rrör ur ett EU-direktiv Ă€r lagen, som den formulerats i svensk rĂ€tt, inte begrĂ€nsad till vissa omrĂ„den, utan Ă€r generellt tillĂ€mplig och omfattar sĂ„ledes Ă€ven personupp- giftsbehandling utanför unionsrĂ€tten. SĂ€rreglering i lag eller förord- ning gĂ€ller emellertid framför bestĂ€mmelserna i personuppgiftslagen (2 §). SĂ„dan sĂ€rreglering fĂ„r inte stĂ„ i strid med dataskyddskonven- tionen.

Enligt 22 § personuppgiftslagen fĂ„r uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara nĂ€r det Ă€r klart motiverat med hĂ€nsyn till Ă€ndamĂ„let med behandlingen, vikten av en sĂ€ker identifiering eller nĂ„got annat beaktansvĂ€rt skĂ€l. BestĂ€m- melser om i vilka fall information om behandling av personuppgifter ska lĂ€mnas till den enskilde finns i 23–27 §§. BestĂ€mmelserna om informationsplikt gĂ€ller inte om sekretess eller tystnadsplikt Ă€r före- skriven för uppgifterna. PĂ„ begĂ€ran av den registrerade Ă€r den per- sonuppgiftsansvarige skyldig att snarast rĂ€tta, blockera eller utplĂ„na sĂ„dana personuppgifter som inte har behandlats i enlighet med per- sonuppgiftslagen eller föreskrifter som har utfĂ€rdats med stöd av lagen (28 §). Om felaktiga uppgifter har lĂ€mnats ut till tredje man Ă€r den personuppgiftsansvarige i vissa fall skyldig att underrĂ€tta denne om rĂ€ttelsen. Det ska ske om den registrerade begĂ€r det eller om mera betydande skada eller olĂ€genhet för den registrerade skulle kunna undvikas genom en underrĂ€ttelse. Tredje man behöver dock inte underrĂ€ttas om det visar sig vara omöjligt eller skulle innebĂ€ra en oproportionerligt stor arbetsinsats. För att sĂ€kerstĂ€lla en hög sĂ€ker- hetsnivĂ„ vid behandling av personuppgifter finns sĂ€rskilda bestĂ€m- melser om detta i 30–32 §§.

Det Àr förbjudet att föra över personuppgifter till tredje land, dvs. en stat utanför EU eller EES, som inte har en adekvat nivÄ för skyd- det av personuppgifterna (33 §). Förbudet gÀller i princip alla per- sonuppgifter. Under vissa förutsÀttningar Àr det dock tillÄtet att föra över uppgifter till tredje land under förutsÀttning att den registre- rade antingen gett sitt samtycke eller överföringen Àr nödvÀndig bl.a. för att rÀttsliga ansprÄk ska kunna faststÀllas, göras gÀllande eller försvaras, eller för att vitala intressen för den registrerade ska kunna skyddas (34 §). Det Àr ocksÄ tillÄtet att föra över personuppgifter för

115

GÀllande rÀtt

SOU 2018:63

anvÀndning enbart i en stat som har anslutit sig till dataskyddskon- ventionen. Regeringen fÄr meddela föreskrifter om ytterligare undantag frÄn förbudet mot överföring (35 §).

Behandling av personuppgifter ska som huvudregel anmÀlas till Datainspektionen i dess egenskap av tillsynsmyndighet. En anmÀlan behöver dock inte göras om det finns ett personuppgiftsombud eller om nÄgot av de i personuppgiftsförordningen föreskrivna undan- tagen Àr tillÀmpligt (36 och 37 §§).

Vidare finns det i personuppgiftslagen bestĂ€mmelser om person- uppgiftsombud (38–40 §§), krav pĂ„ förhandskontroll i vissa fall (41 §), allmĂ€n informationsskyldighet (42 §) och tillsynsmyndighetens be- fogenheter (43–47 §§). Det finns ocksĂ„ bestĂ€mmelser om skadestĂ„nd och straff (48–49 §§) samt om överklagande (51–53 §§).

4.3.4SÀrskilda registerförfattningar

Syftet med sÀrskilda registerförfattningar Àr att anpassa skyddet för enskildas personliga integritet vid myndigheters personuppgifts- behandling nÀr det finns ett behov av att avvika frÄn eller komplet- tera personuppgiftslagens bestÀmmelser. Inom olika verksamhets- omrÄden i den offentliga sektorn Àr det inte ovanligt att myndigheter har sÀrskilda behov som tillgodoses genom att i en registerförfatt- ning ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter. Riksdagen har sedan lÄng tid tillbaka ocksÄ gett ut- tryck för uppfattningen att myndighetsregister med ett stort antal registrerade och med ett kÀnsligt innehÄll ska regleras sÀrskilt i lag (prop. 1990/91:60 s. 50, KU 1990/91:11 s. 11 och rskr. 1990/91:160). Det finns ett stort antal lagar om behandling av personuppgifter som gÀller i viss verksamhet eller för ett visst register. Exempel pÄ sÄdana sÀrskilda registerförfattningar Àr lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga, patientdatalagen (2008:355) och polisdatalagen (2010:361).

Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst och Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet regleras i sÀrskilda författningar, vilket beskrivs nÀrmare i avsnitt 5.

116

SOU 2018:63

GÀllande rÀtt

4.3.5Offentlighets- och sekretesslagen

Offentlighets- och sekretesslagen (2009:400) innehÄller ett flertal bestÀmmelser om sekretess till skydd för uppgifter om enskildas personliga förhÄllanden, vilka ocksÄ medför ett skydd för enskildas personliga integritet. Av 21 kap. 7 § framgÄr att sekretess gÀller för en personuppgift om det kan antas att uppgiften efter ett utlÀm- nande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Sekretessprövningen gÀller sÄledes den behand- ling som kommer att ske efter ett eventuellt utlÀmnande. UtlÀmnanden till utlÀndska mottagare som omfattas av dataskyddsförordningens tillÀmpningsomrÄde omfattas ocksÄ av sekretessbestÀmmelsen (prop. 2017/18:105 s. 210).

117

5Regleringen av personuppgiftsbehandling vid Försvarsmakten och Försvarets radioanstalt

5.1.1AllmÀnt

Försvarsmaktens personuppgiftsbehandling inom ramen för försvars- underrÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten regle- ras i lagen (2007:258) och förordningen (2007:260) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksam- het och militÀra sÀkerhetstjÀnst (FM-PuL och FM-PuF). Regleringen Àr uppbyggd pÄ samma sÀtt för Försvarets radioanstalts behandling av personuppgifter som sker med stöd av lagen (2007:259) och för- ordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet (FRA-PuL och FRA-PuF).

FM-PuL och FRA-PuL gÀller vid behandling av personuppgifter inom respektive lags tillÀmpningsomrÄden om behandlingen Àr helt eller delvis automatiserad eller om uppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀng- liga för sökning eller sammanstÀllning enligt sÀrskilda kriterier. BÄda lagarna syftar ocksÄ till att skydda mÀnniskor mot att deras person- liga integritet krÀnks genom behandling av personuppgifter inom lagarnas respektive tillÀmpningsomrÄden (1 kap. 1 och 2 §§ FM-PuL och FRA-PuL).

Propositionen 2006/07:46 ligger till grund för bÄde FM-PuL och FRA-PuL och merparten av bestÀmmelserna för Försvarsmaktens och Försvarets radioanstalts personuppgiftsbehandling Àr utformade pÄ samma sÀtt i de bÄda lagarna. Vissa bestÀmmelser som gÀller för den ena myndigheten saknar emellertid motsvarighet i den andra

119

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

lagen. Dessa bestÀmmelser redovisas i förekommande fall separat för respektive myndighet.

FM-PuL och FRA-PuL Àr bÄda sjÀlvstÀndiga och heltÀckande regleringar som ersÀtter personuppgiftslagen fullt ut inom sina res- pektive tillÀmpningsomrÄden (1 kap. 1 § andra stycket FM-PuL och FRA-PuL).

Försvarsmakten respektive Försvarets radioanstalt Àr personupp- giftsansvariga för den behandling av personuppgifter som myndig- heterna utför (1 kap. 5 § FM-PuL och FRA-PuL).

NÀr det gÀller Försvarets radioanstalt innehÄller Àven lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet vissa bestÀmmelser om personuppgiftsbehandling, t.ex. anvÀndningen av sökbegrepp och förstöringsskyldighet. Av lagen framgÄr bl.a. att in- hÀmtning av signaler i trÄd ska ske automatiserat och att sÄdan inhÀmt- ning endast fÄr avse signaler som identifierats genom sökbegrepp. Upptagning eller uppteckning av uppgifter som inhÀmtats enligt lagen om signalspaning i försvarsunderrÀttelseverksamhet ska omgÄende förstöras om innehÄllet bl.a. berör en viss fysisk person och har bedömts sakna betydelse för försvarsunderrÀttelseverksamheten (1 och 7 §§).

För Försvarsmaktens och Försvarets radioanstalts övriga person- uppgiftsbehandling som inte omfattas av FM-PuL eller FRA-PuL gÀller personuppgiftslagen (1998:204). Som nÀmnts i avsnitt 4.2.2 gÀller detta sedan 25 maj 2018 för sÄdan verksamhet som inte omfattas av unionsrÀtten.

5.1.2NÀr behandling av personuppgifter Àr tillÄten

Myndigheternas försvarsunderrÀttelseverksamhet

Av 1 kap. 8 § FM-PuL och FRA-PuL framgÄr att personuppgifter fÄr behandlas i respektive myndighets försvarsunderrÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet. Regeringen konstaterade att försvarsunderrÀttelseverksamheten Àr av sÄdan art att det inte ansetts möjligt att i lagform reglera den i detalj. Utöver bestÀmmelserna i lagen och förordningen om försvarsunderrÀttelse- verksamhet styrs emellertid verksamheten Àven av regeringens inrikt- ning, vilken ytterligare avgrÀnsar de ÀndamÄl för vilka verksamheten

120

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

fĂ„r bedrivas. Försvarsmakten och Försvarets radioanstalt producerar dessutom interna styrdokument dĂ€r en ytterligare precisering i förhĂ„llande till regeringens inriktning görs. PĂ„ detta sĂ€tt bestĂ€mmer myndigheterna nĂ€rmare Ă€ndamĂ„len för verksamheten – och dĂ€rmed ramen för behandlingen av personuppgifter – i enlighet med vad uppgiften som personuppgiftsansvarig Ă„lĂ€gger myndigheten (se prop. 2006/07:46 s. 64, 65 och 67). Som beskrivits i avsnitt 3.3.5 anger lagen om signalspaning i försvarsunderrĂ€ttelseverksamhet för vilka syften signalspaning fĂ„r ske.

Av 1 kap. 8 § andra stycket FM-PuL och FRA-PuL framgÄr att uppgifter om en person endast fÄr behandlas om personen ocksÄ har anknytning till en preciserad inriktning för försvarsunderrÀttelse- verksamheten och behandlingen Àr nödvÀndig för att fullfölja den inriktningen. Med preciserad inriktning avses de interna styrdoku- ment som myndigheterna faststÀller för nÀrmare avgrÀnsning av verk- samheten. Vilken grad av anknytning en person ska ha till en preci- serad inriktning för att behandling av uppgifter om honom eller henne ska kunna anses godtagbar, mÄste med hÀnsyn till verksam- heternas speciella karaktÀr avgöras frÄn fall till fall. Under alla om- stÀndigheter mÄste det emellertid alltid finnas en sÄdan koppling mellan en person och den företeelse som verksamheten syftar till att kartlÀgga att man i efterhand kan kontrollera att personuppgifts- behandlingen Àr motiverad av verksamhetsskÀl och kan hÀnföras till en viss preciserad inriktning (se prop. 2006/07:46 s. 65 och 67).

TillgÄngen till personuppgifter ska alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (1 kap. 16 § FM-PuL och FRA-PuL).

Försvarsmaktens militÀra sÀkerhetstjÀnst

Personuppgifter fÄr enligt 1 kap. 9 § FM-PuL behandlas i den mili- tÀra sÀkerhetstjÀnstens verksamhet för att upptÀcka, förebygga och avvÀrja sÀkerhetshotande verksamhet som riktar sig mot Försvars- makten och dess sÀkerhetsintressen, om det Àr nödvÀndigt för att

1.klarlÀgga verksamhet som innefatta hot mot rikets sÀkerhet, eller

2.vidta ÄtgÀrder som hindrar eller försvÄrar sÀkerhetshotande verk- samhet.

121

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

För de ÀndamÄl som anges i 1 kap. 9 § FM-PuL fÄr uppgifter om en person enligt 1 kap. 10 § behandlas endast om uppgifterna ger grun- dad anledning att anta att personen

1.har utövat eller kan komma att utöva verksamhet som innefattar brott som kan hota rikets sÀkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,

2.har utövat eller kan komma att utöva underrÀttelseverksamhet riktad mot Försvarsmakten och dess sÀkerhetsintressen,

3.utövar annan sÀkerhetshotande verksamhet Àn som avses i 1 och som innefattar brott eller ÄsidosÀttande av Äligganden i anstÀll- ning hos Försvarsmakten, och det finns sÀrskilda skÀl till att upp- giften skall behandlas,

4.har lÀmnat uppgifter om sÀkerhetshotande verksamhet och per- sonuppgifterna Àr nödvÀndiga för att bedöma personens trovÀr- dighet, eller

5.att uppgifterna avser information som har framkommit i sam- band med att en person har genomgÄtt registerkontroll eller sÀr- skild personutredning enligt sÀkerhetsskyddslagen (1996:627).

Av 1 kap. 11 § FM-PuL framgÄr nÀr personuppgifter som ingÄr i eller har uppkommit i samband med anvÀndning av totalförsvarets tele- kommunikations- och informationssystem fÄr behandlas i förhÄllande till de nÀmnda villkoren i 10 §.

Liksom inom försvarsunderrÀttelseverksamheten ska tillgÄngen till personuppgifter alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Försvarets radioanstalts utvecklingsverksamhet

Personuppgifter fÄr enligt 1 kap. 9 § FRA-PuL behandlas av Försva- rets radioanstalt om det Àr nödvÀndigt för att

1.följa förÀndringen av signalmiljön i omvÀrlden, den tekniska ut- vecklingen och signalskyddet, och

122

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

DÀrutöver fÄr personuppgifter behandlas av Försvarets radioanstalt om det Àr nödvÀndigt för att bitrÀda andra myndigheter vid vÀrdering utveckling, anskaffning och drift av signalspaningssystem (1 kap. 10 § FRA-PuL).

5.1.3KĂ€nsliga personuppgifter

Försvarsmakten och Försvarets radioanstalt fÄr inte behandla person- uppgifter enbart pÄ grund av vad som Àr kÀnt om en persons ras eller etniska ursprung, politiska Äsikter, religiösa eller filosofiska över- tygelse, medlemskap i fackförening, hÀlsa eller sexualliv (kÀnsliga personuppgifter). Om myndigheterna behandlar uppgifter om en person pÄ annan grund fÄr de emellertid komplettera (dvs. behandla) dessa uppgifter med kÀnsliga personuppgifter om det Àr absolut nöd- vÀndigt för ÀndamÄlet med behandlingen (1 kap. 12 § FM-PuL och 1 kap. 11 § FRA-PuL).

5.1.4Behandling av personuppgifter hos Försvarets radioanstalt i vissa fall

Försvarets radioanstalt tillförs en mycket stor mÀngd obearbetad in- formation som inhÀmtats genom signalspaning. Informationen Àr ofta sÄvÀl krypterad som avfattad pÄ ett frÀmmande sprÄk. Det Àr först sedan de inhÀmtade signalerna har lagrats och dÀrefter krypto- forcerats och översatts, som informationen kan tas fram i klartext eller sÀndningarnas innehÄll kan beskrivas. Det Àr alltsÄ först dÄ det Àr utrett om det insamlade materialet innehÄller personuppgifter och om det Àven Àr frÄga om t.ex. kÀnsliga personuppgifter. 1 kap. 13 § FRA-PuL ges Försvarets radioanstalt ett stöd för nu beskrivna Ät- gÀrder inte strider mot lagen i det skede av behandlingen dÄ det Ànnu inte kunnat faststÀllas om informationen innehÄller personuppgifter. SÄ snart det kunnat faststÀllas om informationen innehÄller person- uppgifter mÄste vidare behandling av sÄdana uppgifter ske i överens- stÀmmelse med vad som anges i lagen.

123

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

5.1.5Uppgiftssamlingar

Försvarsmakten och Försvarets radioanstalt fÄr behandla personupp- gifter i uppgiftssamlingar (1 kap. 7 § FM-PuL och FRA-PuL).

Av FM-PuF och FRA-PuF framgÄr vilka uppgiftssamlingar som fÄr finnas hos Försvarsmakten respektive Försvarets radioanstalt samt vilka uppgifter som fÄr behandlas i varje samling.

Uppgiftssamlingar hos Försvarsmakten

Hos Försvarsmakten fÄr det finnas uppgiftssamlingar för försvars- underrÀttelseverksamhet. Dessa uppgiftssamlingar fÄr endast innehÄlla identifieringsuppgifter, uppgifter om de omstÀndigheter och hÀndel- ser som ger anledning att anta att den registrerade har betydelse för försvarsunderrÀttelseverksamheten samt upplysningar om varifrÄn den registrerade uppgiften kommer och om en uppgiftslÀmnares trovÀrdighet. Det framgÄr vidare att uppgiftssamlingarna endast fÄr innehÄlla uppgifter som behövs för att Försvarsmakten ska kunna fullgöra uppgifter enligt lagen (2000:130) om försvarsunderrÀttelse- verksamhet (2 § FM-PuF).

Försvarsmakten fÄr Àven inom ramen för den militÀra sÀkerhets- tjÀnsten behandla personuppgifter i uppgiftssamlingar för:

1.SÀkerhetsunderrÀttelsetjÀnst (3 §). Uppgiftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att upptÀcka och klar- lÀgga sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen.

2.SÀkerhetsskyddstjÀnst (4 §). Uppgiftssamlingarna fÄr endast inne- hÄlla uppgifter som Àr nödvÀndiga för att förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen.

3.Signalkontroll (5 §). Uppgiftssamlingarna fÄr endast innehÄlla upp- gifter som Àr nödvÀndiga för att förhindra obehörig insyn i och pÄverkan av totalförsvarets telekommunikations- och informations- system.

BestĂ€mmelserna i 3–5 §§ innehĂ„ller Ă€ven vissa sĂ€rskilda regler om gall- ring av uppgifter i uppgiftssamlingarna. BestĂ€mmelser om gallring redogörs för i avsnitt 5.1.12.

124

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

Uppgiftssamlingar hos Försvarets radioanstalt

Hos Försvarets radioanstalt fÄr det enligt FRA-PuF finnas uppgifts- samlingar för:

1.RÄmaterial (2 §). Uppgiftssamlingarna fÄr endast innehÄlla obear- betat och automatiskt bearbetat material som har inhÀmtats i försvarsunderrÀttelseverksamheten och utvecklingsverksamheten.

2.Analyser (3 §). Uppgiftssamlingarna fÄr endast innehÄlla analys- resultat samt bearbetnings- och rapportunderlag.

3.UnderrÀttelser (4 §). Uppgiftssamlingarna fÄr endast innehÄlla fÀr- diga underrÀttelserapporter.

4.Information om signalmiljön (5 §). Uppgiftssamlingarna fÄr endast innehÄlla information och tekniska parametrar som rör signal- miljön.

5.Information om företeelser mot vilka signalspaningen inriktas (6 §). Uppgiftssamlingarna fÄr endast innehÄlla sÄdan information om signalspaningsobjekt som Àr nödvÀndig för att verkstÀlla in- riktningar av signalspaningen.

6.Information om teknik- och metodikutveckling (6 a §). Uppgifts- samlingarna fÄr endast innehÄlla information och tekniska para- metrar som rör teknik- och metodikutvecklingen.

7.Information om signalskydd (6 b §). Uppgiftssamlingarna fÄr en- dast innehÄlla information och tekniska parametrar som rör signal- skyddet.

BestÀmmelserna i 2, 5 och 6 §§ innehÄller Àven vissa sÀrskilda regler om hur lÀnge personuppgifterna fÄr behandlas. BestÀmmelser om gall- ring redogörs för i avsnitt 5.1.12.

5.1.6Vidarebehandling av personuppgifter för vissa andra ÀndamÄl

Vidarebehandling av personuppgifter för vissa andra ÀndamÄl Àn de ursprungliga, s.k. sekundÀra ÀndamÄl, fÄr göras med stöd av 1 kap. 6 § 4 p FM-PuL och FRA-PuL. BestÀmmelserna ger möjlighet att fortsatt behandla insamlade uppgifter sÄ lÀnge personuppgifterna inte

125

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

behandlas för nÄgot ÀndamÄl som Àr oförenligt med det för vilket upp- gifterna samlades in (finalitetsprincipen).

5.1.7Elektroniskt utlÀmnande av och direktÄtkomst till personuppgifter

UtlÀmnande pÄ medium för automatiserad behandling

Försvarsmakten och Försvarets radioanstalt fÄr endast lÀmna ut en- staka personuppgifter pÄ medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att uppgifter fÄr lÀmnas ut pÄ sÄdant medium Àven i andra fall (1 kap. 14 § FM-PuL och FRA-PuL). Av FM-PuF och FRA-PuF fram- gÄr att utlÀmnande pÄ sÄdant medium fÄr ske avseende fler Àn enstaka uppgifter om uppgifterna lÀmnas ut till en annan statlig myndighet.

DirektÄtkomst

BestÀmmelser om direktÄtkomst regleras i 1 kap. 15 § FM-PuL och FRA-PuL och Àr Àndrad sedan den 1 mars 2018. Innan Àndringen fick regeringen meddela föreskrifter om vilka myndigheter som fÄr ha direktÄtkomst till Försvarsmaktens och Försvarets radioanstalts upp- giftssamlingar. Regeringen föreslog i prop. 2017/18:36 att SÀkerhets- polisen, Försvarets radioanstalt och Försvarsmakten, inom ramen för samarbetet vid Nationellt centrum för terrorhotbedömning (NCT), ska fÄ lÀmna ut uppgifter till varandra elektroniskt genom direktÄtkomst. Regeringens förslag innehöll Àndringar i FM-PuL, FRA-PuL och polisdatalagen (2010:361). NÀr det gÀller valet av reg- leringsform fann regeringen att ett möjliggörande av direktÄtkomst som form för utlÀmnande av uppgifter mellan ovan nÀmnda myndig- heter inom ramen för NCT-samarbetet inte medför att det uppkom- mer ett sÄdant betydande intrÄng i enskildas personliga integritet som innebÀr övervakning eller kartlÀggning i den mening som avses i 2 kap. 6 § andra stycket regeringsformen. Regeringen ansÄg emel- lertid ÀndÄ att det i det aktuella fallet vara mest ÀndamÄlsenligt att reglera direktÄtkomsten i lag, frÀmst mot bakgrund av den kÀnsliga verksamhet som myndigheterna inom NCT-samarbetet bedriver samt dÄ utlÀmnandet förutsÀtter att sekretessbrytande bestÀmmelser

126

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

om uppgiftsskyldighet införs. Regeringen beaktade ocksĂ„ det faktum att SĂ€kerhetspolisens utlĂ€mnande av uppgifter genom direktĂ„tkomst föreslogs regleras i lag (prop. 2017/18:36 s. 27–28).

Riksdagen antog den 24 januari 2018 regeringens proposition och lagÀndringarna trÀdde i kraft den 1 mars 2018. Det innebÀr att SÀker- hetspolisen, Försvarets radioanstalt och Försvarsmakten, inom ramen för samarbetet vid NCT, fÄr lÀmna ut uppgifter till varandra elek- troniskt genom direktÄtkomst till uppgifter som behövs för att kunna göra bedömningar pÄ strategisk nivÄ av terrorhotet mot Sverige och mot svenska intressen. DirektÄtkomsten innebÀr att myndigheterna kan dela information digitalt, i stÀllet för som tidigare i pappers- format. Nya sekretessbrytande bestÀmmelser i form av uppgiftsskyl- digheter möjliggör utlÀmnandet mellan myndigheterna (1 kap. 15 a § FM-PuL och FRA-PuL). DirektÄtkomsten innebÀr ett effektivare arbetssÀtt för de tre myndigheterna, men omfattar inte fler uppgifter Àn vad som gÀllde innan lagÀndringarna. För övriga situationer av direktÄtkomst gÀller alltjÀmt att regeringen fÄr meddela föreskrifter om vilka myndigheter som fÄr ha sÄdan Ätkomst till Försvarsmaktens och Försvarets radioanstalts uppgiftssamlingar. Regeringen, eller den myndighet som regeringen bestÀmmer, meddelar ocksÄ de ytter- ligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten som behövs. Det framgÄr exempelvis av FM-PuF och FRA-PuF att de bÄda myndigheterna fÄr ha direktÄtkomst till uppgifter i uppgiftssamlingar för försvarsunderrÀttelseverksamhet hos den andra myndigheten i den omfattning som den personupp- giftsansvariga myndigheten beslutar.

Överföring av personuppgifter till andra lĂ€nder

Av 1 kap. 17 § FM-PuL och FRA-PuL följer att personuppgifter som behandlas med stöd av respektive lag fÄr föras över till andra lÀnder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarsmakten eller Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrÀttelse- och sÀkerhetssamarbetet, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall be- slutat om att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för Försvarsmaktens eller Försvarets radioanstalts verksamheter.

127

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

5.1.8Information till den enskilde, rÀttelse och skadestÄnd

Information till den enskilde

Försvarsmakten och Försvarets radioanstalt Àr enligt 2 kap. FM-PuL och FRA-PuL skyldiga att till var och en som ansöker om det en gÄng per kalenderÄr gratis lÀmna besked om huruvida personupp- gifter som rör den sökande behandlas eller inte. Behandlas sÄdana uppgifter ska skriftlig information lÀmnas ocksÄ om vilka uppgifter om den sökande som behandlas, varifrÄn dessa uppgifter har hÀmtats, ÀndamÄlen med behandlingen, och till vilka mottagare eller katego- rier av mottagare som uppgifterna lÀmnas ut. SÄdan information be- höver inte lÀmnas om personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr ansökan gjordes eller som utgör minnes- anteckning eller liknande. Informationen ska lÀmnas inom en mÄnad frÄn ansökan, eller inom fyra mÄnader om det finns sÀrskilda skÀl.

Om uppgifter om en person har samlats in i den militÀra sÀkerhets- tjÀnsten frÄn personen sjÀlv ska Försvarsmakten dessutom i samband med insamlingen sjÀlvmant lÀmna den registrerade viss information om behandlingen av uppgifterna, bl.a. ÀndamÄlet med behandlingen och information om mottagarna av uppgifterna. SÄdan information behöver emellertid inte lÀmnas om sÄdant som den registrerade redan kÀnner till.

Om det vid signalspaning har anvÀnts sökbegrepp som Àr direkt hÀnförliga till en viss fysisk person ska Försvarets radioanstalt under- rÀtta personen om detta enligt lagen om signalspaning i försvars- underrÀttelseverksamhet.

De skyldigheter om informationsgivning och underrÀttelse som nÀmnts ovan gÀller inte i den utstrÀckning uppgifterna omfattas av sekretess.

RĂ€ttelse

Försvarsmakten och Försvarets radioanstalt Àr skyldiga att pÄ be- gÀran av en registrerad snarast rÀtta, blockera eller utplÄna sÄdana per- sonuppgifter som inte har behandlats i enlighet med FM-PuL eller FRA-PuL, eller föreskrifter som meddelats med stöd av dessa lagar. Försvarsmakten och Försvarets radioanstalt ska ocksÄ underrÀtta tredje man till vilken uppgifterna har lÀmnats ut om ÄtgÀrden, om den

128

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

registrerade begÀr det eller om mera betydande skada eller olÀgenhet för den registrerade skulle kunna undvikas genom en underrÀttelse. NÄgon sÄdan underrÀttelse behöver inte lÀmnas, om detta Àr omöj- ligt eller skulle innebÀra en oproportionerligt stor arbetsinsats (2 kap. 5 § FM-PuL och 2 kap. 4 § FRA-PuL).

Motsvarande bestÀmmelse finns i personuppgiftslagen. Att en personuppgift rÀttas innebÀr att den ersÀtts eller kompletteras med korrekta uppgifter. Med blockering avses en ÄtgÀrd som vidtas för att personuppgifter ska vara förknippade med information om att de Àr spÀrrade och om anledningen till spÀrren. Att en uppgift utplÄnas innebÀr att den förstörs sÄ att den inte kan Äterskapas. BestÀmmelsen omfattar inte behandling av uppgifter avseende juridiska personer (se prop. 2006/07:46 s. 90).

SkadestÄnd

Staten ska ersÀtta den registrerade för skada och krÀnkning av den personliga integriteten som en behandling av personuppgifter i strid med 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL eller föreskrifter som har meddelats med stöd av lagarna har orsakat. ErsÀttningsskyldig- heten kan i den utstrÀckning det Àr skÀligt jÀmkas, om Försvarsmakten respektive Försvarets radioanstalt visar att felet inte berodde pÄ myn- digheten.

AnsprÄk pÄ ersÀttning med stöd av 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL riktas mot staten och handlÀggs av Justitiekanslern (3 § förordningen [1995:1301] om handlÀggning av skadestÄndsansprÄk mot staten). Justitiekanslern fÄr besluta att den myndighet som Àr berörd i ett skaderegleringsÀrende eller en rÀttegÄng ska ansvara för att bl.a. ersÀttningsbelopp betalas ut till motparten (2 a § förord- ningen [1975:1345] med instruktion för Justitiekanslern).

5.1.9SĂ€kerheten vid behandling

I tredje kapitlet i FM-PuL och FRA-PuL anges vad som krÀvs för att ett personuppgiftsbitrÀde eller annan person som arbetar under bi- trÀdet eller Försvarsmaktens alternativt Försvarets radioanstalts led- ning ska fÄ behandla personuppgifter. Vidare tydliggörs att För- svarsmakten och Försvarets radioanstalt ska vidta lÀmpliga tekniska

129

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas av myndigheterna eller av ett personuppgiftsbitrÀde som myndigheterna anlitat.

5.1.10Personuppgiftsombud

Av 4 kap. FM-PuL och FRA-PuL framgĂ„r att Försvarsmakten och Försvarets radioanstalt ska utse ett eller flera personuppgiftsombud och anmĂ€la dessa till tillsynsmyndigheten. Även ett entledigande av ett personuppgiftsombud ska anmĂ€las till tillsynsmyndigheten. Person- uppgiftsombudet ska ha till uppgift att sjĂ€lvstĂ€ndigt se till att den behandlande myndigheten behandlar personuppgifter pĂ„ ett lagligt och korrekt sĂ€tt och i enlighet med god sed samt pĂ„peka eventuella brister för myndigheten.

Om personuppgiftsombudet har anledning att misstÀnka att den behandlande myndigheten bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och vidtas inte rÀttelse sÄ snart det kan ske efter pÄpekande, ska personuppgiftsombudet anmÀla förhÄllandet till tillsynsmyndigheten. Personuppgiftsombudet ska Àven i övrigt samrÄda med tillsynsmyndigheten vid tveksamhet om hur de bestÀmmelser som gÀller för behandlingen av personuppgifter ska tillÀmpas.

Personuppgiftsombudets uppgifter omfattar Àven att föra förteck- ningar över de behandlingar som Försvarsmakten och Försvarets radioanstalt genomför och som Àr helt eller delvis automatiserade. För Försvarsmakten ska separata förteckningar föras för försvars- underrÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten. Reger- ingen, eller den myndighet som regeringen bestÀmmer, meddelar före- skrifter om vad förteckningarna ska innehÄlla.

Personuppgiftsombudet ska ocksÄ hjÀlpa registrerade att fÄ rÀt- telse nÀr det finns anledning att misstÀnka att behandlade person- uppgifter Àr felaktiga eller ofullstÀndiga.

130

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

5.1.11Tillsyn och kontroll

Datainspektionen

Datainspektionen Àr tillsynsmyndighet för den personuppgiftsbehand- ling som sker enligt FM-PuL och FRA-PuL, och tillsynen regleras i lagarnas femte kapitel.

Tillsynsmyndigheten har rÀtt att för sin tillsyn pÄ begÀran fÄ till- gÄng till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och sÀkerheten vid denna och tilltrÀde till sÄdana lokaler som har anknytning till behandlingen av personuppgifter. Om tillsynsmyndigheten konsta- terar att personuppgifter behandlas eller kan komma att behandlas pÄ ett olagligt sÀtt, ska myndigheten genom pÄpekanden eller liknande förfaranden försöka Ästadkomma rÀttelse. Tillsynsmyndigheten fÄr hos förvaltningsrÀtten inom vars domkrets tillsynsmyndigheten Àr belÀgen ansöka om att sÄdana personuppgifter som har behandlats pÄ ett olagligt sÀtt ska utplÄnas, om ett beslut om utplÄnande inte skulle vara oskÀligt.

Statens inspektion för försvarsunderrÀttelseverksamheten

Statens inspektion för försvarsunderrÀttelseverksamheten (Siun) Àr ansvarig kontrollmyndighet för försvarsunderrÀttelseverksamheten enligt lagen om försvarsunderrÀttelseverksamhet och för signalspaning i sÄdan verksamhet enligt lagen om signalspaning i försvarsunder- rÀttelseverksamhet. Siun har Àven till uppgift att granska behand- lingen av uppgifter enligt FM-PuL och FRA-PuL, vilket framgÄr av 3 § förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrÀttelseverksamheten.

5.1.12Gallring av personuppgifter

Gallring av personuppgifter hos Försvarsmakten

Vilka uppgiftssamlingar som finns hos Försvarsmakten behandlas ovan under avsnitt 5.1.5.

Enligt huvudregeln i 6 kap. 1 § FM-PuL ska personuppgifter hos Försvarsmakten gallras sÄ snart uppgifterna inte lÀngre behövs för

131

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

det ÀndamÄl för vilket de behandlas. Detta gÀller dock inte, som an- getts ovan, behandling av personuppgifter i samband med de interna och administrativa ÄtgÀrder som kan förekomma i myndighetens verk- samhet.

För Försvarsmakten finns det i 3–5 §§ FM-PuF preciserade gall- ringsbestĂ€mmelser för uppgifter som behandlas i olika uppgiftssam- lingar.

Personuppgifter i en uppgiftssamling för sÀkerhetsunderrÀttelse- tjÀnst eller i en uppgiftssamling för sÀkerhetsskyddstjÀnst ska gallras senast vid utgÄngen av det tionde Äret efter det att behandlingen pÄ- börjades, om inte Försvarsmakten dessförinnan har beslutat att upp- gifterna ska bevaras dÀrför att de fortfarande behövs för det ÀndamÄl för vilket de behandlas. Om uppgifter bevaras med stöd av ett sÄdant beslut ska de gallras eller frÄgan om bevarande prövas pÄ nytt senast vid utgÄngen av det tionde Äret efter beslutet. Personuppgifter i en uppgiftssamling för

Personuppgifter i en uppgiftssamling för signalkontroll ska gall- ras senast ett Är efter det att behandlingen av uppgifterna pÄbörjades.

NÄgra sÄdana preciserade gallringsbestÀmmelser finns inte nÀr det gÀller uppgifter som behandlas i en uppgiftssamling för försvars- underrÀttelseverksamhet, varför det betrÀffande dessa uppgifter Àr huvudregeln i 6 kap. 1 § FM-PuL som Àr tillÀmplig. Enligt 12 § FM-PuF fÄr Riksarkivet meddela föreskrifter om att uppgifter och handlingar som ska gallras enligt 6 kap. 1 § FM-PuL ska bevaras.

Riksarkivet har meddelat föreskrifter som anger att vissa uppgifter som ska gallras enligt ovan ska bevaras för historiska, statistiska och vetenskapliga ÀndamÄl (se Riksarkivets föreskrifter RA-MS 2014:38). Dessa uppgifter fÄr sÄledes inte gallras ur Försvarsmaktens arkiv.

Gallring av personuppgifter hos Försvarets radioanstalt

Vilka uppgiftssamlingar som finns hos Försvarets radioanstalt be- handlas ovan under avsnitt 5.1.5.

I 6 kap. 1 § FRA-PuL föreskrivs att personuppgifter som har be- handlats automatiserat ska gallras sÄ snart uppgifterna inte lÀngre be- hövs för det ÀndamÄl för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestÀmmer har meddelat föreskrifter eller i enskilt fall beslutat att gallring ska ske senast vid viss tidpunkt

132

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

eller att uppgifter fÄr bevaras för historiska, statistiska eller veten- skapliga ÀndamÄl. Regeringen har gett Riksarkivet ett sÄdant bemyn- digande att meddela föreskrifter (12 § FRA-PuF). SÄdana föreskrifter fÄr dock inte omfatta personuppgifter i uppgiftssamlingar för rÄ- material.

SÀrskild reglering om gallring finns i 2, 5 och 6 §§ FRA-PuF nÀr det gÀller uppgiftssamlingar för rÄmaterial, för information om signal- miljön och för information om företeelser mot vilka signalspaningen inriktas.

Personuppgifter i en uppgiftssamling för rÄmaterial ska gallras senast ett Är efter det att behandlingen av uppgifterna pÄbörjats (2 § FRA-PuF).

Personuppgifter i en uppgiftssamling om signalmiljön ska gallras senast vid utgÄngen av det första Äret efter det att behandlingen av uppgifterna pÄbörjades, om inte Försvarets radioanstalt dessförinnan beslutat att uppgifterna ska bevaras dÀrför att de fortfarande behövs för det ÀndamÄl för vilket de behandlas. Om uppgifterna bevaras med stöd av ett sÄdant beslut ska de gallras eller frÄgan om bevarande prövas pÄ nytt senast vid utgÄngen av det första Äret efter beslutet (5 § FRA-PuF).

Personuppgifter i en uppgiftssamling för information om före- teelser mot vilka signalspaningen inriktas ska gallras senast vid ut- gÄngen av det tredje Äret efter det att behandlingen av uppgifterna pÄbörjades, om inte Försvarets radioanstalt dessförinnan har be- slutat att uppgifterna ska bevaras dÀrför att de fortfarande behövs för det ÀndamÄl för vilket de behandlas. Om uppgifter bevaras med stöd av ett sÄdant beslut ska de gallras eller frÄgan om bevarande prövas pÄ nytt senast vid utgÄngen av det tredje Äret efter beslutet (6 § FRA-PuF).

Riksarkivet har beslutat att personuppgifter i Försvarets radio- anstalts uppgiftssamlingar för underrÀttelser ska bevaras för historiska, statistiska och vetenskapliga ÀndamÄl (dnr KrA H231-2009/333). Riks- arkivet har vidare beslutat att Àven personuppgifter i rapportunderlag i uppgiftsamlingar för analyser ska bevaras för dessa ÀndamÄl (dnr KrA H231-2017/2031).

I sammanhanget ska ocksÄ nÀmnas de föreskrifter om förstörings- skyldighet som finns i 7 § lagen om signalspaning i försvarsunder- rÀttelseverksamhet. Av denna bestÀmmelse framgÄr att upptagning eller

133

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

uppteckning av uppgifter som inhÀmtats enligt lagen omgÄende ska förstöras om innehÄllet

1.berör en viss fysisk person och har bedömts sakna betydelse för verksamhet som avses i 1 § (ÀndamÄlsparagrafen, se avsnitt 3.3.5),

2.avser uppgifter för vilka tystnadsplikt gÀller enligt 3 kap. 3 § tryck- frihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 4 § tryck- frihetsförordningen eller 2 kap 4 § yttrandefrihetsgrundlagen,

3.omfattar uppgifter i sÄdana meddelanden mellan en person som Àr misstÀnkt för brott och hans eller hennes försvarare vilka skyd- das enligt 27 kap. 22 § första stycket rÀttegÄngsbalken, eller

4.avser uppgifter lÀmnade under bikt eller enskild sjÀlavÄrd, sÄvida det inte finns synnerliga skÀl att behandla uppgifterna för syften som anges i 1 § andra stycket (de Ätta kartlÀggningssyftena, se av- snitt 3.3.5).

Förstöring av upptagningar eller uppteckningar enligt 7 § lagen om signalspaning i försvarsunderrÀttelseverksamhet ska enligt 5 § för- ordningen (2008:923) om signalspaning i försvarsunderrÀttelseverk- samhet ske pÄ ett sÄdant sÀtt att uppgifterna inte kan Äterskapas.

En bestÀmmelse om förstöringsplikt finns ocksÄ i 2 a § nÀmnda lag. Enligt den bestÀmmelsen fÄr inhÀmtning inte avse signaler mellan en avsÀndare och mottagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmtningen, ska upp- tagningen eller uppteckningen förstöras sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats.

5.1.13Straff och överklagande

6kap. 2 § FM-PuL och FRA-PuL innehĂ„ller bestĂ€mmelser om straff för lĂ€mnande av osann uppgift vid vissa i bestĂ€mmelserna angivna fall och behandling av kĂ€nsliga personuppgifter i strid med vad som anges i de respektive lagarna. StraffbestĂ€mmelserna infördes med be- aktande av 49 § personuppgiftslagen (se prop. 2006/07:46 s. 106–107).

Av 6 kap. 3 § FM-PuL och FRA-PuL framgÄr att Försvarsmak- tens respektive Försvarets radioanstalts beslut om viss information som ska lÀmnas samt om rÀttelse och underrÀttelse till tredje man fÄr

134

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

överklagas till allmÀn förvaltningsdomstol. Av bestÀmmelsen fram- gÄr vidare att övriga beslut enligt FM-PuL och FRA-PuL inte fÄr överklagas och att prövningstillstÄnd krÀvs vid överklagande till kam- marrÀtten.

135

6 ÖvervĂ€ganden och förslag

6.1AllmÀnna utgÄngspunkter

6.1.1Reglering i tvÄ nya lagar

Utredningens förslag: TvÄ nya lagar bör reglera personuppgifts- behandlingar inom Försvarsmakten och Försvarets radioanstalt: Lag om behandling av personuppgifter vid Försvarsmakten och Lag om behandling av personuppgifter vid Försvarets radioanstalt.

SkÀl för utredningens förslag: Utredningen föreslÄr ett flertal för- Àndringar av befintlig lagstiftning pÄ omrÄdet; nya författningsbestÀm- melser, förÀndringar av befintliga författningar samt nya rubriker. MÄlet med utredningens arbete med en ÀndamÄlsenlig lagstiftning har inte bara varit att bestÀmmelserna i sig ska vara anpassade efter den tekniska och legala utvecklingen, utan att lagarna, Àven efter de föreslagna förÀndringarna, ska vara överblickbara med logisk struk- tur och innehÄlla begrepp och definitioner som i möjligaste mÄn stÀmmer överens med annan lagstiftning som reglerar hantering av personuppgifter. Med beaktande av att utredningen föreslÄr förÀnd- ringar av ett stort antal bestÀmmelser i lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksam- het och militÀra sÀkerhetstjÀnst (FM-PuL) och lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet (FRA-PuL) och dÀrtill helt nya bestÀm- melser till följd av vidgade tillÀmpningsomrÄden bör tvÄ nya lagar ersÀtta de befintliga lagarna.

137

ÖvervĂ€ganden och förslag

SOU 2018:63

6.1.2SÀrskild författningsreglering

Utredningens förslag: De nya lagarna ska vara heltÀckande och utformas sÄ att de exklusivt gÀller pÄ de omrÄden som anges i respektive lag.

SkÀl för utredningens förslag: UnionsrÀtten omfattar inte nationell sÀkerhet och försvar, vilket innebÀr att varken EU:s dataskydds- direktiv eller dataskyddsförordning omfattar behandling av person- uppgifter som rör dessa verksamheter. Den EU-rÀttsliga regleringen bygger emellertid pÄ och vidareutvecklar dataskyddskonventionen som omfattar Àven dessa omrÄden. Sverige Àr folkrÀttsligt bundet av konventionen med dess tillÀggsprotokoll. Regleringen av Försvars- maktens och Försvarets radioanstalts personuppgiftsbehandling fÄr sÄledes inte strida mot bestÀmmelserna i dataskyddskonventionen, vilket bl.a. innebÀr att personuppgifter som undergÄr automatisk databehandling ska lagras för sÀrskilt angivna och lagliga ÀndamÄl och inte anvÀndas pÄ ett sÀtt som Àr oförenligt med dessa ÀndamÄl (artikel 5). Avvikelser frÄn konventionen fÄr endast göras om sÄdana avvikelser medges i nationell lagstiftning och avvikelsen Àr nödvÀn- dig i ett demokratiskt samhÀlle för att bl.a. skydda statens sÀkerhet (artikel 9). Det Àr utredningens uppfattning att det förslag till lagstift- ning som hÀr lÀggs fram Àr i överensstÀmmelse med konventionen.

I lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning (dataskyddslagen) utvidgas tillÀmpningen av bestÀmmelserna i dataskyddsförordningen till att Àven gÀlla vid be- handling av personuppgifter som utgör led i verksamhet som inte omfattas av unionsrÀtten (1 kap. 2 §). Detta gÀller dock inte verk- samhet som omfattas av FM-PuL eller FRA-PuL (1 kap. 3 §). Enligt den proposition som ligger till grund för dataskyddslagen förklarar regeringen att det med hÀnsyn till rikets sÀkerhet inte Àr lÀmpligt att dataskyddsförordningen blir tillÀmplig Àven inom de mest kÀnsliga verksamhetsomrÄdena innan den pÄgÄende översynen av författ- ningarna pÄ försvarsomrÄdet har avslutats (prop. 2017/18:105 s. 31).

Av övergÄngsbestÀmmelserna framgÄr bl.a. att personuppgifts- lagen ska fortsÀtta att gÀlla i sÄdan verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte omfattas av unionsrÀtten och som inte heller omfattas av de sÀrskilda lagarna om behandling av

138

SOU 2018:63

ÖvervĂ€ganden och förslag

personuppgifter i Försvarsmaktens och Försvarets radioanstalts verk- samheter.

Med utgÄngspunkt frÄn att Àmnet för den lagstiftning som hÀr Àr aktuell ligger utanför unionsrÀtten bör den författningsreglering som utredningen föreslÄr dÀrför vara heltÀckande och utformas sÄ att den exklusivt gÀller pÄ de omrÄden som anges i respektive lag inom det aktuella omrÄdet.

Som anfördes i förarbetena till FM-PuL och FRA-PuL Àr de verk- samheter som de bÄda myndigheterna bedriver och som omfattades av de dÄ aktuella förslagen, som gÀllde personuppgiftsbehandling i försvarsunderrÀttelseverksamhet och militÀr sÀkerhetstjÀnst, inte identiska och verksamheterna hade endast till viss del samma syfte. Av den anledningen föranledde regleringen av respektive myndighets personuppgiftsbehandling i flera avseenden olika rÀttsliga lösningar (prop. 2006/07:46 s. 47). Med hÀnsyn till de vidgade tillÀmpnings- omrÄden som utredningen föreslÄr för regleringen av myndigheter- nas personuppgiftsbehandling blir detta förhÄllande Àn tydligare. Detta gÀller sÀrskilt för Försvarsmakten dÀr tillÀmpningsomrÄdet föreslÄs gÀlla myndighetens mycket omfattande huvuduppgifter.

Med beaktande av detta utformas de föreslagna lagarna sÄ att de sÄ lÄngt det Àr möjligt och lÀmpligt Àr lika och följer strukturen i likartad lagstiftning sÄsom i förslaget till SÀkerhetspolisens datalag.

6.2AllmÀnna bestÀmmelser

6.2.1Syftet med lagarna

Utredningens förslag: Syftet med lagarna ska vara att sÀkerstÀlla att Försvarsmakten och Försvarets radioanstalt kan behandla personuppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling.

Utredningens bedömning: De föreslagna lagarna uppfyller kraven i 2 kap. 21 § regeringsformen.

139

ÖvervĂ€ganden och förslag

SOU 2018:63

SkÀl för utredningens förslag: Syftet med den nuvarande lag- stiftningen anges vara att skydda mÀnniskor mot att deras personliga integritet krÀnks genom behandling av personuppgifter i Försvars- maktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst och i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklings- verksamhet (1 kap. 2 § FM-PuL och FRA-PuL). Av andra bestÀmmel- ser i lagarna framgÄr att personuppgiftsbehandlingen ska vara nöd- vÀndig (1 kap. 8 §) och att inte fler personuppgifter behandlas Àn som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen (1 kap. 6 § 6 p FM-PuL och FRA-PuL). Enligt utredningens mening bör den sÀrskilda bestÀmmelse som anger syftet med lagarna inne- hÄlla sÄvÀl kravet pÄ ÀndamÄlsenlighet som intresset att skydda fysiska personers fri- och rÀttigheter.

SkÀl för utredningens bedömning: I avsnitt 4.3.2 tar utredningen upp de övervÀganden som ligger till grund för regleringen i 2 kap. 6 § andra stycket regeringsformen om skyddet gentemot det allmÀnna mot betydande intrÄng i den personliga integriteten. Som nÀmns i det avsnittet fÄr en begrÀnsning av grundlagsskyddet göras enligt 2 kap. 20 § regeringsformen genom lag. BegrÀnsningen fÄr endast göras för att tillgodose ÀndamÄl som Àr godtagbara i ett demokratiskt samhÀlle. BegrÀnsningen fÄr inte gÄ utöver vad som Àr nödvÀndigt med hÀnsyn till det ÀndamÄl som har föranlett den och inte heller strÀcka sig sÄ lÄngt att den utgör ett hot mot den fria Äsiktsbildningen. BegrÀnsningen fÄr inte heller göras enbart pÄ grund av politisk, religiös, kulturell eller annan sÄdan ÄskÄdning (2 kap. 21 §).

I förarbetena till bestĂ€mmelserna i 2 kap. 6 § regeringsformen angav regeringen att vid bedömningen av hur ingripande intrĂ„nget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlĂ€mnande av uppgifter om enskildas personliga förhĂ„llanden, Ă€r det naturligt att stor vikt lĂ€ggs vid upp- gifternas karaktĂ€r. Ju kĂ€nsligare uppgifterna Ă€r desto mer ingripande mĂ„ste det allmĂ€nnas hantering av uppgifterna normalt anses vara. Även hantering av ett fĂ„tal uppgifter kan innebĂ€ra ett betydande intrĂ„ng i den personliga integriteten om uppgifterna Ă€r av mycket kĂ€nslig karaktĂ€r (prop. 2009/10:80 En reformerad grundlag s. 183).

Den personuppgiftsbehandling som Àr aktuell i detta samman- hang utgör till en del betydande intrÄng i den personliga integriteten

140

SOU 2018:63

ÖvervĂ€ganden och förslag

och krÀver dÀrför lagstöd. SÀrskilt gÀller detta personuppgiftsbehand- lingen i försvarsunderrÀttelseverksamheten. I det sammanhanget bör dock erinras att den bara fÄr avse utlÀndska förhÄllanden. De svenska försvars- och sÀkerhetsintressen som lagstiftningen avser att stödja har alltid varit starka och de har vuxit i styrka mot bakgrund av den sÀkerhetspolitiska utvecklingen. Lagstiftningens ÀndamÄl fÄr dÀrför anses godtagbara i ett demokratiskt samhÀlle och uppfyller enligt utredningen mening Àven i övrigt kraven i 2 kap. 21 § regerings- formen.

I tillÀmpningen av lagstiftningen Äligger det myndigheterna att göra en avvÀgning mellan ÀndamÄlet med en avsedd personuppgifts- behandling Ä ena sidan och graden av intrÄng i den personliga integ- riteten Ä den andra. Detta följer av bestÀmmelserna om att person- uppgifter bara fÄr behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl. Utredningen Äterkommer till detta i avsnitt 6.4.1.

6.2.2TillÀmpningsomrÄden för lagen om behandling av personuppgifter vid Försvarsmakten

Utredningens förslag: Lagen om behandling av personuppgifter vid Försvarsmakten ska gÀlla Försvarsmaktens behandling av per- sonuppgifter som rör Sveriges försvar och sÀkerhet.

SkÀl för utredningens förslag: Som framgÄtt av avsnitt 6.1.2. faller frÄgor om försvar och nationell sÀkerhet utanför unionsrÀtten. Enligt dataskyddslagen ska personuppgiftslagen fortsÀtta att gÀlla i sÄdan verksamhet hos Försvarsmakten som inte omfattas av unions- rÀtten och som inte nu regleras i FM-PuL. Bakgrunden Àr att denna utredning bl.a. ska analysera vilket utrymme som finns för nationell reglering av den personuppgiftsbehandling i Försvarsmakten som

idag regleras i personuppgiftslagen och utifrÄn den analysen bedöma om behandlingen helt eller delvis bör regleras sÀrskilt. PÄ sikt inne- bÀr detta att det som inte regleras sÀrskilt kommer att omfattas av dataskyddsförordningen. Det Àr nÀmligen att förvÀnta att övergÄngs- regleringen kommer att Àndras sÄ att detta blir fallet.

Utredningen utgÄr i sin analys frÄn de uppgifter som Försvars- makten har.

141

ÖvervĂ€ganden och förslag

SOU 2018:63

I avsnitt 3.1 finns en utförlig beskrivning av Försvarsmaktens upp- gifter. HÀr ska endast en kort Äterblick göras med betoning pÄ myn- dighetens huvuduppgifter. Försvarsmakten ska upprÀtthÄlla och ut- veckla ett militÀrt försvar som ytterst kan möta ett vÀpnat angrepp. Grunden för Försvarsmaktens verksamhet Àr förmÄgan till vÀpnad strid.

Försvarsmakten ska försvara Sverige och frÀmja svensk sÀkerhet samt upptÀcka och avvisa krÀnkningar av det svenska territoriet. Försvarsmakten ska dessutom kunna vÀrna Sveriges suverÀna rÀttig- heter och svenska intressen samt kunna förebygga och hantera kon- flikter och krig sÄvÀl nationellt som internationellt. Försvarsmakten ska kunna utföra sina uppgifter sjÀlvstÀndigt eller i samverkan med andra myndigheter, lÀnder och organisationer. Försvarsmakten ska vidare med myndighetens befintliga förmÄga och resurser kunna lÀmna stöd till civil verksamhet.

Vid höjd beredskap ska Försvarsmakten kunna krigsorganisera, mobilisera och anvÀnda alla krigsförband för att möta ett militÀrt hot mot Sverige och svenska intressen. Krigsförband ska kunna krigs- organiseras, Àven om höjd beredskap inte rÄder.

Enligt utredningens mening Àr det uppenbart att de nu beskrivna uppgifterna ligger utanför unionsrÀtten med undantag för uppgiften att kunna lÀmna stöd till civil verksamhet. Uppgifterna har ocksÄ en nÀra beröring med Försvarsmaktens försvarsunderrÀttelseverksam- het och militÀra sÀkerhetstjÀnst, verksamheter dÀr personuppgifts- behandlingen i dag Àr sÀrreglerad genom FM-PuL och som enligt data- skyddslagen fortfarande ska var sÀrreglerad med hÀnsyn till Sveriges sÀkerhet. Som anförs i den proposition som lÄg till grund för lagen om försvarsunderrÀttelseverksamhet, ligger det i sakens natur att för- svarsunderrÀttelseverksamheten ska ses som ett led i Försvarsmaktens uppgifter i fred, under beredskap och i krig. I propositionen anförs vidare att försvarsunderrÀttelseverksamheten ska ge underlag för Försvarsmaktens beredskap, operativa verksamhet och förbands- produktion samt för krigsorganisationens utveckling och materiella förnyelse (prop. 1999/2000:25 s. 14 f.).

Dataskyddsförordningen Àr, som nyss nÀmnts, inte tillÀmplig pÄ personuppgiftsbehandling som rör försvar och nationell sÀkerhet. BestÀmmelserna i förordningen har dÀrför inte utformats med beak- tande av försvar och nationell sÀkerhet. Utredningen kan heller inte se nÄgon fördel med att lÄta dataskyddsförordningen helt eller delvis

142

SOU 2018:63

ÖvervĂ€ganden och förslag

bli tillÀmplig pÄ Försvarsmaktens ovan beskrivna huvuduppgifter, sÀr- skilt som det i denna verksamhet finns andra verksamheter integrerade som regleras sÀrskilt nÀr det gÀller behandlingen av personuppgifter. TvÀrtom innebÀr detta nackdelar som kan beskrivas enligt följande.

OmvÀrldsbevakning behövs för att upptÀcka och identifiera yttre hot mot Sverige och svenska intressen. Logistik behövs för att fÄ fram resurser till förbandet, personaladministration för att se till att rÀtt personer finns pÄ plats för att lösa uppgiften, underrÀttelser behövs för att lokalisera fientliga styrkor. Operationsplanering Àr nödvÀndig för att planera och genomföra en insats. SÀkerhetstjÀnst behövs för att sÀkerstÀlla att fienden inte fÄr tillgÄng till operationsplaneringen och kan motverka den. Samband behövs för att uppnÄ en effektiv kommunikation inom förbandet och andra förband. Civil-militÀr samverkan Àr nödvÀndig för att undvika skador pÄ civilbefolkning och infrastruktur. Ett internationellt samarbete Àr nödvÀndigt nÀr det gÀller försvarsunderrÀttelseverksamhet men ocksÄ nÀr det gÀller annat internationellt försvarssamarbete för att Försvarsmakten ska fÄ olika former av stöd frÄn andra lÀnder och internationella organisa- tioner. Inom alla dessa omrÄden hanteras personuppgifter.

I militÀr sÀkerhetstjÀnst och försvarsunderrÀttelseverksamhet till- lÀmpas FM-PuL, men inom logistik, samband och personaladminis- tration tillÀmpas personuppgiftslagen (1998:204). OmvÀrldsbevakning, operationsplanering, civil-militÀr samverkan, samt taktisk och operativ underrÀttelsetjÀnst bedrivs med stöd av antingen FM-PuL eller person- uppgiftslagen beroende pÄ vem som hanterar uppgifterna och i vilket syfte. En personuppgift kopplad till exempelvis en specifik operation kan dÀrför behandlas med olika personuppgiftslagstiftningar i samma databehandlingssystem.

Att ha olika regleringar för behandlingen av uppgifterna kom- plicerar informationsutbytet mellan system och verksamheter. Det leder till att effektiviteten inom Försvarsmakten och dÀrmed den samlade operativa effekten försÀmras.

Med hÀnsyn till Försvarsmaktens stora betydelse för Sveriges försvar och sÀkerhet Àr det enligt utredningens uppfattning viktigt att myndighetens huvuduppgifter omfattas av en svensk nationell reglering, vilket innefattar myndighetens behandling av personupp- gifter i verksamhet dÀr uppgifterna fullgörs.

143

ÖvervĂ€ganden och förslag

SOU 2018:63

En samlad reglering bedöms innebÀra en förenkling för Försvars- makten och dÀrmed i förlÀngningen att integritetsskyddet stÀrks vid myndighetens behandling av personuppgifter.

Utredningen anser alltsÄ att den föreslagna lagen bör omfatta behandlingen av personuppgifter i Försvarsmaktens verksamhet av- seende Sveriges försvar och sÀkerhet. I avsnitt 6.3.1 Äterkommer ut- redningen till hur detta nÀrmare bör regleras.

6.2.3TillÀmpningsomrÄden för lagen om behandling av personuppgifter vid Försvarets radioanstalt

Utredningens förslag: Lagen om behandling av personuppgifter vid Försvarets radioanstalt ska gÀlla behandling av personupp- gifter i myndighetens försvarsunderrÀttelse- och utvecklingsverk- samhet samt informationssÀkerhetsverksamhet.

SkÀl för utredningens förslag: Försvarets radioanstalts försvars- underrÀttelse- och utvecklingsverksamhet Àr till för Sveriges försvar och sÀkerhet och omfattas dÀrmed inte av unionsrÀtten. För person- uppgiftsbehandlingen i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet gÀller inte den bestÀmmelse i dataskydds- lagen som utvidgar dataskyddsförordningen tillÀmpningsomrÄde (se hÀrom avsnitt 6.1.2). Detta Àr ett uttryck för att denna verksamhet ligger utanför unionsrÀtten och att behandlingen av personuppgifter i verksamheten fortfarande ska vara sÀrreglerad. Utredningen före- slÄr ingen Àndring i detta avseende.

Vidgat tillĂ€mpningsomrĂ„de – informationssĂ€kerhetsverksamhet

I avsnitt 3.3.6 redovisar utredningen Försvarets radioanstalts infor- mationssÀkerhetsverksamhet. NÄgon sÀrskild reglering av person- uppgiftsbehandlingen i den verksamheten finns inte.

Enligt dataskyddslagen ska personuppgiftslagen fortsÀtta att gÀlla i sÄdan verksamhet hos Försvarets radioanstalt som inte omfattas av unionsrÀtten och inte heller av FRA-PuL. Bakgrunden Àr att denna utredning bl.a. ska analysera vilket utrymme som finns för nationell reglering av den personuppgiftsbehandling i Försvarets radioanstalt

144

SOU 2018:63

ÖvervĂ€ganden och förslag

som i dag regleras i personuppgiftslagen och utifrÄn den analysen bedöma om behandlingen helt eller delvis bör regleras sÀrskilt (se hÀrom avsnitt 6.1.2). PÄ sikt innebÀr detta att det som inte regleras sÀrskilt kommer att omfattas av dataskyddsförordningen. Som tidi- gare nÀmnts Àr det att förvÀnta att övergÄngsregleringen kommer att Àndras sÄ att detta blir fallet.

Syftet med informationssÀkerhetsverksamheten vid Försvarets radioanstalt Àr att stödja verksamheter som har betydelse för Sveriges sÀkerhet. Den omfattas dÀrför inte av unionsrÀtten. Som framgÄr av avsnitt 3.3.6 har informationssÀkerhetsverksamheten ett nÀra sam- band med signalspaningen. Enligt lagen (2008:717) om signalspa- ning i försvarsunderrÀttelseverksamhet fÄr signalspaning ske i syfte att kartlÀgga bl.a. allvarliga yttre hot mot samhÀllets infrastruktur. Som utredningen utvecklar i avsnitt 3.3.6 innebÀr möjligheten till ut- byte av information mellan signalspaningen och informationssÀker- hetsverksamheten ett viktigt verktyg för att kunna upprÀtthÄlla Sveriges sÀkerhet.

Dataskyddsförordningen Àr som nÀmnts i avsnitt 6.1.2 inte till- lÀmplig pÄ försvar och nationell sÀkerhet och har dÀrför inte utfor- mats med beaktande av detta. I likhet med vad som sÀgs i nÀmnda avsnitt kan utredningen inte heller se nÄgon fördel med att göra dataskyddsförordningen helt eller delvis tillÀmplig pÄ Försvarets radio- anstalts informationssÀkerhetsverksamhet. Utredningen anser dÀrför att behandlingen av personuppgifter i informationssÀkerhetsverksam- heten bör vara sÀrreglerad i likhet med behandlingen av personuppgifter

iförsvarsunderrÀttelse- och utvecklingsverksamheten. Utredningen Äterkommer till Àmnet i avsnitt 6.3.8.

Till skillnad mot Försvarsmaktens huvuduppgifter med ett flertal olika verksamheter bestÄr uppgiften för Försvarets radioanstalt av tvÄ omrÄden: försvarsunderrÀttelseverksamhet och informations- sÀkerhetsverksamhet. Som tidigare nÀmnts bidrar denna skillnad till olika rÀttsliga lösningar för de bÄda myndigheterna. Det visar sig frÀmst genom att den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten kommer att avse behandlingen av sÄdana uppgifter rörande myndighetens personal (avsnitt 6.3.1). NÄgot behov av en motsvarande reglering nÀr det gÀller behandlingen av personupp- gifter rörande personalen vid Försvarets radioanstalt har utredningen inte funnit.

145

ÖvervĂ€ganden och förslag

SOU 2018:63

6.2.4Behandlingar som omfattas av de nya lagarna

Utredningens förslag: De föreslagna lagarna ska gÀlla för sÄdan behandling av personuppgifter som Àr helt eller delvis auto- matiserad eller om uppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.

SkĂ€l för utredningens förslag: BestĂ€mmelserna i 1 kap. 1 § FM-PuL och FRA-PuL gĂ€ller vid behandling av personuppgifter i Försvars- maktens försvarsunderrĂ€ttelseverksamhet och militĂ€ra sĂ€kerhetstjĂ€nst och Försvarets radioanstalts försvarsunderrĂ€ttelse- och utvecklings- verksamhet, om behandlingen Ă€r helt eller delvis automatiserad eller om uppgifterna ingĂ„r i eller Ă€r avsedda att ingĂ„ i en strukturerad sam- ling av personuppgifter som Ă€r tillgĂ€ngliga för sökning eller sam- manstĂ€llning enligt sĂ€rskilda kriterier. Manuell behandling i t.ex. regis- ter omfattas alltsĂ„ av lagstiftningen om uppgifterna Ă€r tillgĂ€ngliga för sökning eller sammanstĂ€llning enligt mer Ă€n ett kriterium. Motiven finns i prop. 2006/07:46 s. 46–47.

Utredningen anser att den nuvarande regleringen bör behÄllas.

6.2.5Lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning gÀller inte personuppgiftsbehandling enligt de nya lagarna

Utredningens förslag: I de föreslagna lagarna ska införas en bestÀmmelse med upplysning om att lagen (2018:218) med kom- pletterande bestÀmmelser till EU:s dataskyddsförordning inte gÀller vid behandling av personuppgifter i verksamheter enligt respek- tive lag.

SkÀl för utredningens förslag: Som framgÄr av avsnitt 6.1.2 om- fattar unionsrÀtten inte nationell sÀkerhet och försvar. De föreslagna lagarna föreslÄs vara helt sjÀlvstÀndiga i förhÄllande till övrig lagstiftning pÄ personuppgiftsomrÄdet, bl.a. lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning (dataskyddslagen). NÀmnda lag innehÄller en bestÀmmelse som anger att verksamhet som bedrivs med stöd av FM-PuL och FRA-PuL inte omfattas av lagen

146

SOU 2018:63

ÖvervĂ€ganden och förslag

(1 kap. 3 §). Detta förhÄllande bör Àven komma till uttryck i lagarna om behandlingen av personuppgifter vid Försvarsmaktens och Försvarets radioanstalt.

6.2.6Lagarnas förhÄllande till annan reglering

Utredningens förslag: BestÀmmelserna i de föreslagna lagarna ska inte tillÀmpas i den utstrÀckning det skulle inskrÀnka skyldig- heten enligt 2 kap. tryckfrihetsförordningen att lÀmna ut person- uppgifter.

SkĂ€l för utredningens förslag: De grundlĂ€ggande bestĂ€mmelserna om offentlighetsprincipen finns i 2 kap. tryckfrihetsförordningen (TF). I 2 kap. 1 § TF anges att varje svensk medborgare har rĂ€tt att ta del av allmĂ€nna handlingar. Denna rĂ€tt fĂ„r enligt 2 kap. 2 § TF begrĂ€nsas endast om det behövs med hĂ€nsyn till bl.a. rikets sĂ€kerhet eller dess förhĂ„llande till annan stat eller mellanfolklig organisation. BegrĂ€nsningar i rĂ€tten att ta del av allmĂ€nna handlingar ska noga anges i en sĂ€rskild lag eller annan lag som den sĂ€rskilda lagen hĂ€nvisar till. Den sĂ€rskilda lag som Ă„syftas Ă€r offentlighets- och sekretess- lagen (2009:400). Offentlighetsprincipen innebĂ€r sĂ„ledes att myn- digheterna Ă€r skyldiga att – i den utstrĂ€ckning sekretess inte hindrar det – lĂ€mna ut allmĂ€nna handlingar till den som begĂ€r det.

En bestÀmmelse som i klargörande syfte upplyser att lagen inte tillÀmpas om det skulle inskrÀnka Försvarsmaktens respektive För- svarets radioanstalts skyldighet enligt 2 kap. TF att lÀmna ut person- uppgifter finns i 1 kap. 3 § FM-PuL och FRA-PuL. Motiven framgÄr av prop. 2006/07:46 s. 49 f.

Samma skÀl som tidigare gör sig fortfarande gÀllande och utred- ningen föreslÄr dÀrför att Àven de nya lagarna ska innehÄlla en mot- svarande upplysning. BestÀmmelsen föreslÄs bli neutralt formulerad, men innehÄller inte nÄgra förÀndringar i sak i förhÄllande till nu- varande lydelse.

147

ÖvervĂ€ganden och förslag

SOU 2018:63

6.2.7Personuppgiftsansvar

Utredningens förslag: Försvarsmakten respektive Försvarets radioanstalt ska vara personuppgiftsansvariga för den behandling som respektive myndighet utför. Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under myndighe- tens ledning eller pÄ dess vÀgnar.

SkÀl för utredningens förslag: Av 1 kap. 5 § i FM-PuL och FRA- PuL framgÄr att Försvarsmakten respektive Försvarets radioanstalt Àr personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Motiven framgÄr av prop. 2006/07:46 s. 52 f.

Med personuppgiftsansvarig avses den som ensam eller tillsam- mans med andra bestÀmmer ÀndamÄlen med och medlen för behand- ling av personuppgifter.

Av FM-PuL och FRA-PuL framgÄr för vilka ÀndamÄl behandling av personuppgifter fÄr ske. I personuppgiftsansvaret ingÄr att bestÀmma medlen för och, inom ramen för dessa ÀndamÄl, de nÀrmare Ànda- mÄlen med behandlingen av personuppgifterna. Försvarsmakten respektive Försvarets radioanstalt Àr personuppgiftsansvariga för den behandling av personuppgifter som utförs inom respektive myn- dighets verksamhet. Personuppgiftsansvaret innebÀr bl.a. att Försvars- makten och Försvarets radioanstalt har ansvaret för att uppgifter som behandlas i t.ex. ett datorsystem Àr korrekta och att de inte behandlas pÄ ett sÀtt som strider mot lagstiftningen eller de före- skrifter som meddelats med stöd av denna. Motsvarande bestÀm- melser föreslÄs ingÄ Àven i de nya lagarna.

6.2.8Gemensamt personuppgiftsansvar

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt fÄr vara gemensamt personuppgiftsansvarig med annan endast i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

SkÀl för utredningens förslag: Begreppet gemensamt personupp- giftsansvar finns i bÄde dataskyddsförordningen (artikel 26) och i 2016 Ärs dataskyddsdirektiv (artikel 21). Av dataskyddsförordningen

148

SOU 2018:63

ÖvervĂ€ganden och förslag

framgÄr att om tvÄ eller fler personuppgiftsansvariga gemensamt faststÀller ÀndamÄlen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Enligt förordningen ska gemen- samt personuppgiftsansvariga under öppna former faststÀlla sitt respektive ansvar för att fullgöra de skyldigheter som framgÄr av för- ordningen, sÀrskilt vad gÀller utövandet av den registrerades rÀttigheter och sina respektive skyldigheter att tillhandahÄlla information, i den mÄn detta inte framgÄr av förordningen. Inom ramen för arrange- manget fÄr en gemensam kontaktpunkt för de personuppgiftsansvariga utses. Detta arrangemang ska pÄ lÀmpligt sÀtt Äterspegla de gemen- samt personuppgiftsansvarigas respektive roller och förhÄllanden gentemot registrerade och det vÀsentliga innehÄllet i arrangemanget ska ocksÄ göras tillgÀngligt för den registrerade. Oavsett formerna för de gemensamt personuppgiftsansvarigas arrangemang fÄr den registrerade utöva sina rÀttigheter emot var och en av de person- uppgiftsansvariga.

Även enligt 2016 Ă„rs dataskyddsdirektiv avses att tvĂ„ eller flera personuppgiftsansvariga har gemensamt ansvar för registrerade upp- gifter, om de gemensamt faststĂ€ller behandlingens Ă€ndamĂ„l och medel och pĂ„ samma sĂ€tt som de enligt förordningen faststĂ€ller sitt respektive ansvar för regelefterlevnaden, sĂ€rskilt vad gĂ€ller utövan- det av den registrerades rĂ€ttigheter och sina respektive skyldigheter att tillhandahĂ„lla viss information. PĂ„ samma sĂ€tt som enligt data- skyddsförordningen fĂ„r den registrerade utöva sina rĂ€ttigheter med avseende pĂ„ var och en av de personuppgiftsansvariga.

En bestÀmmelse om gemensamt personuppgiftsansvar finns i för- slaget till SÀkerhetspolisens datalag (SOU 2017:74). Enligt den fÄr SÀkerhetspolisen vara gemensamt personuppgiftsansvarig med annan i den utstrÀckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutar om det (1 kap. 8 §).

Med anledning av Försvarsmaktens och Försvarets radioanstalts nÀra samarbete dels med varandra, dels med SÀkerhetspolisen, bedö- mer utredningen att det bör införas en möjlighet att ha gemensamt personuppgiftsansvar.

Liksom i förslaget till SÀkerhetspolisens datalag bör gemensamt personuppgiftsansvar endast fÄ förekomma i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

149

ÖvervĂ€ganden och förslag

SOU 2018:63

I den förordning som ska knyta an till lagen om behandling av personuppgifter vid Försvarsmakten bör föreskrivas att Försvars- makten fÄr vara gemensamt personuppgiftsansvarig med SÀkerhets- polisen, Nationella operativa avdelningen i Polismyndigheten, Myn- digheten för samhÀllsskydd och beredskap, Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet.

I den förordning som ska anknyta till lagen om behandling av personuppgifter vid Försvarets radioanstalt bör anges att Försvarets radioanstalt fÄr ha gemensamt personuppgiftsansvar med Försvars- makten och SÀkerhetspolisen inom ramen för myndighetsövergri- pande samverkan mellan myndigheterna för att kunna kartlÀgga

1.yttre militÀra hot mot landet,

2.förutsÀttningar för svenskt deltagande i fredsfrÀmjande och huma- nitÀra insatser eller hot mot sÀkerheten för svenska intressen vid genomförande av sÄdana insatser

3.strategiska förhÄllanden avseende internationell terrorism som kan hota vÀsentliga nationella intressen,

4.allvarliga yttre hot mot samhÀllets infrastruktur, samt

5.frÀmmande underrÀttelseverksamhet mot svenska intressen.

I förordningarna bör det vidare föreskrivas att nÀr respektive myn- dighet Àr gemensamt personansvarig med annan ska myndigheten sÀkerstÀlla att de förpliktelser var och en har i egenskap av person- uppgiftsansvarig regleras i en skriftlig överenskommelse Vid en sÄdan överenskommelse ska respektive myndighets författningsenliga skyl- digheter kvarstÄ. I förordningarna bör slutligen föreskrivas att den som personuppgiften rör fÄr, trots en sÄdan överenskommelse, utöva sina rÀttigheter gentemot var och en av de personuppgiftsansvariga.

6.2.9Uttryck i lagen

Utredningens förslag: Vissa uttryck som anvÀnds i de föreslagna lagarna ska definieras.

150

SOU 2018:63

ÖvervĂ€ganden och förslag

SkÀl för utredningens förslag: Sedan FM-PuL:s och FRA-PuL:s tillkomst 2007 har det skett vissa förÀndringar pÄ de tekniska och legala omrÄdena vilket har pÄverkat vissa begrepps innebörd. Ut- vecklingen innebÀr ocksÄ att vissa begrepp har tillkommit medan andra har tagits bort eller bytts ut. Med anledning av EU:s dataskyddsför- ordning och de lagar och lagÀndringar som Àr en följd av 2016 Ärs dataskyddsdirektiv förekommer vissa begrepp bÄde i lagstiftning som faller under och utanför EU-rÀtten. I den mÄn samma begrepp anvÀnds bör de i möjligaste mÄn ha samma betydelse Àven i lagstift- ning som reglerar verksamhet utanför EU-rÀtten.

Nedan följer en genomgÄng av begreppens definitioner samt huru- vida begreppen Àr nytillkomna, förÀndrade, oförÀndrade eller inte lÀngre ska förekomma i lagtexten.

Behandling av personuppgifter

Behandling av personuppgifter definieras i FM-PuL och FRA-PuL som varje ÄtgÀrd eller serie av ÄtgÀrder som vidtas i frÄga om person- uppgifter, vare sig det sker pÄ automatisk vÀg eller inte, t.ex. insam- ling, registrering, organisering, lagring, bearbetning eller Àndring, Ätervinning, inhÀmtande, anvÀndning, utlÀmnande genom översÀn- dande, spridning eller annat tillhandahÄllande av uppgifter, samman- stÀllning eller samkörning, blockering, utplÄning eller förstöring.

Utredningen föreslĂ„r att behandling av personuppgifter i de nya lagarna definieras som ”En Ă„tgĂ€rd eller kombination av Ă„tgĂ€rder som vidtas i frĂ„ga om personuppgifter eller uppsĂ€ttningar av personupp- gifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller tillhandahĂ„llande pĂ„ annat sĂ€tt, justering, sammanföring, begrĂ€nsning Ă€ndring, framtagning, lĂ€sning, anvĂ€ndning, utlĂ€mnande, spridning eller, radering eller förstöring.”

Den föreslagna lydelsen, som har samma lydelse som förslagen till motsvarande definitioner i SÀkerhetspolisens datalag och brotts- datalagen, innebÀr sprÄkliga skillnader jÀmfört med dataskyddsför- ordningen och vissa Àndringar i de upprÀknade exemplen jÀmfört med FM-PuL och FRA-PuL; Ätervinning, inhÀmtande, blockering och utplÄning tas bort, medan strukturering, framtagning, lÀsning, juster- ing, sammanföring, begrÀnsning och radering tillkommer.

151

ÖvervĂ€ganden och förslag

SOU 2018:63

BetrĂ€ffande begreppen radering och förstöring kan följande note- ras. Radering finns med i upprĂ€kningen i dataskyddsförordningens artikel 4 som alternativ till bl.a. förstöring, men nĂ„gon nĂ€rmare förklaring till vad radering innebĂ€r finns inte utöver att raderingen (enligt artikel 17) kopplas till ”rĂ€tten att bli bortglömd”. Radering/ rĂ€tten att bli bortglömd antyder att radering enligt dataskyddsför- ordningen innebĂ€r att personuppgifterna ska raderas/tas bort per- manent frĂ„n alla databĂ€rare/informationssamlingar, dvs. pĂ„ ett sĂ„dant sĂ€tt att informationen inte kan Ă„terskapas vid senare tillfĂ€lle (se Ă€ven SOU 2017:29 s. 727 och SOU 2017:39 s. 317), dvs. samma betydelse som utplĂ„na enligt FM-PuL och FRA-PuL (jfr. SOU 1997:39 s. 402 f.). Begreppet radering kan jĂ€mföras med förstöring, som Ă€r det begrepp som anvĂ€nds i lagen om signalspaning i försvarsunderrĂ€ttelseverk- samhet (2 a, 7 och 10 §§). Enligt 5 § förordningen om signalspaning i försvarsunderrĂ€ttelseverksamhet ska förstöring ske pĂ„ ett sĂ„dant sĂ€tt att uppgifterna inte kan Ă„terskapas. BĂ„da begreppen syftar alltsĂ„ till att data ska raderas/förstöras pĂ„ ett sĂ„dant sĂ€tt att den inte kan Ă„terskapas. Hur dessa processer gĂ„r till fĂ„r förĂ€ndras i takt med den tekniska utvecklingen.

BetrÀffande begreppet begrÀnsning kan följande noteras. Enligt 1 kap. 4 § FM-PuL och FRA PuL Àr blockering en ÄtgÀrd som vidtas för att personuppgifterna ska vara förknippade med information om att de Àr spÀrrade och om anledningen till spÀrren och för att personuppgifterna inte ska lÀmnas ut till tredje man annat Àn med stöd av 2 kap. TF. Definitionen stÀmmer vÀl överens med beskriv- ningen av begrÀnsning, dvs. att den personuppgiftsansvarige vidtar en ÄtgÀrd med personuppgifterna som visar att behandlingen har be- grÀnsats. Hur begrÀnsningen bör göras fÄr bedömas med utgÄngs- punkt i vad som Àr lÀmpligt i det enskilda fallet. En naturlig ÄtgÀrd kan vara att avskilja uppgifterna frÄn det datasystem dÀr de behand- las. BegrÀnsningen kan ocksÄ ha formen av en teknisk begrÀnsning. En tredje möjlighet att begrÀnsa behandlingen Àr att inskrÀnka till- gÄngen till uppgifterna.

152

SOU 2018:63

ÖvervĂ€ganden och förslag

Biometriska uppgifter

Utredningen föreslĂ„r att en definition av begreppet Biometriska upp- gifter bör införas i de nya lagarna och definieras som ”Personuppgifter som rör en persons fysiska, fysiologiska eller beteendemĂ€ssiga kĂ€nnetecken, som tagits fram genom sĂ€rskild teknisk behandling och som möjliggör eller bekrĂ€ftar unik identifiering av personen i frĂ„ga.”

Begreppet har inte definierats i FM-PuL och FRA-PuL. Den före- slagna definitionen stÀmmer överens med förslaget till SÀkerhets- polisens datalag och i huvudsak med dataskyddsförordningen. Bio- metriska uppgifter behandlas under avsnitt 6.4.2.

Dataskyddsombud

Personuppgiftsombud definieras i FM-PuL och FRA-PuL som den fysiska person som, efter förordnande av den personuppgiftsansvarige, sjÀlvstÀndigt ska se till att personuppgifter behandlas pÄ ett korrekt och lagligt sÀtt.

Funktionen som enligt nuvarande lag benÀmns personuppgifts- ombud föreslÄs fortsÀttningsvis benÀmnas dataskyddsombud och definieras som en fysisk person som utses av den personuppgifts- ansvarige för att sjÀlvstÀndigt se till att personuppgifter behandlas författningsenligt och pÄ ett korrekt sÀtt.

Motiven för Àndringen utvecklas under avsnitt 6.6.5.

Genetiska uppgifter

Utredningen föreslĂ„r att en definition av begreppet Genetiska upp- gifter bör införas i de nya lagarna och definieras som ”Personupp- gifter som rör en persons nedĂ€rvda eller förvĂ€rvade genetiska kĂ€nne- tecken och som hĂ€rrör frĂ„n analys av ett spĂ„r av eller ett prov frĂ„n personen i frĂ„ga”.

Begreppet har inte definierats i FM-PuL och FRA-PuL. Den föreslagna definitionen stÀmmer överens med förslaget till lagen om behandling av personuppgifter vid SÀkerhetspolisen och i huvudsak med dataskyddsförordningen. Genetiska uppgifter behandlas under avsnitt 6.4.2.

153

ÖvervĂ€ganden och förslag

SOU 2018:63

Logg

Logg definieras inte i FM-PuL och FRA-PuL. Utredningen föreslÄr att en logg definieras som en behandlingshistorik som sparas viss tid.

Loggning och logguppföljning behandlas under avsnitt 6.6.2.

Mottagare

Mottagare definieras i FM-PuL och FRA-PuL som den till vilken personuppgifter lÀmnas ut. NÀr personuppgifter lÀmnas ut frÄn För- svarsmakten eller Försvarets radioanstalt för att en annan myndighet ska kunna utföra sÄdan tillsyn, kontroll eller revision som den Àr skyldig att sköta, anses dock inte den myndigheten som mottagare.

Mottagare definieras pĂ„ samma sĂ€tt, nĂ„got annorlunda uttryckt, i brottsdatalagen och förslaget till SĂ€kerhetspolisens datalag (SOU 2017:74 s. 36) som ”den till vilken personuppgifter lĂ€mnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision.”

Utredningen föreslĂ„r att mottagare i de nya lagarna ska definieras pĂ„ samma sĂ€tt som i förslaget till SĂ€kerhetspolisens datalag. Änd- ringen i förhĂ„llande till FM-PuL och FRA-PuL Ă€r endast av sprĂ„klig karaktĂ€r.

Personuppgift

Personuppgifter definieras i FM-PuL och FRA-PuL som all slags information som direkt eller indirekt kan hÀnföras till en fysisk person som Àr i livet.

Utredningen föreslĂ„r att personuppgifter i de nya lagarna definie- ras som ”Varje upplysning om en identifierad eller identifierbar fysisk person som Ă€r i livet”, i likhet med bl.a. dataskyddsförordningen. Den nya lydelsen innebĂ€r inte nĂ„gon Ă€ndring i sak, men gör defini- tionen enhetlig med övriga lagar pĂ„ personuppgiftsomrĂ„det.

154

SOU 2018:63

ÖvervĂ€ganden och förslag

Personuppgiftsansvarig

Utredningen föreslĂ„r att en definition av begreppet Personuppgifts- ansvarig införs i de nya lagarna och definieras som ”Den som ensam eller tillsammans med andra bestĂ€mmer Ă€ndamĂ„len med och medlen för behandlingen av personuppgifter”.

Begreppet har inte definierats i FM-PuL och FRA-PuL. Den föreslagna definitionen stÀmmer överens med förslaget till SÀker- hetspolisens datalag.

PersonuppgiftsbitrÀde

Utredningen föreslĂ„r att definitionen av begreppet Personuppgifts- bitrĂ€de ska definieras i de nya lagarna som ”den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges rĂ€kning”.

Den föreslagna definitionen, som stÀmmer överens med förslaget till SÀkerhetspolisens datalag, innehÄller Àven ett uttryckligt krav pÄ skriftligt avtal, vilket saknas i definitionen i FM-PuL och FRA-PuL (krav pÄ skriftligt avtal framgÄr emellertid av 3 kap. 1 § FM-PuL och FRA-PuL). Den föreslagna lydelsen avviker frÄn dataskyddsför- ordningens definition som inte innehÄller krav pÄ skriftligt avtal.

Tredje part

Tredje man definieras i FM-PuL och FRA-PuL som nÄgon annan Àn den registrerade, den personuppgiftsansvarige, personuppgiftsom- budet, personuppgiftsbitrÀdet och sÄdana personer som under den personuppgiftsansvariges eller personuppgiftsbitrÀdets direkta ansvar har befogenhet att behandla personuppgifter.

Utredningen föreslĂ„r att termen ska Ă€ndras till tredje part med oförĂ€ndrad lydelse i övrigt. SkĂ€len för förslaget Ă€r att det saknas skĂ€l att hĂ„lla fast vid man i detta sammanhang nĂ€r betydelsen Ă€r helt frikopplad frĂ„n ordets egentliga betydelse. Även dataskyddsför- ordningen, som flertalet övriga svenska myndigheter, företag och organisationer kommer att tillĂ€mpa, anger numera tredje part. Inte heller man i betydelsen mĂ€nniska utgör skĂ€l att behĂ„lla man i nu aktuella lagar eftersom en utomstĂ„ende i sammanhanget likavĂ€l kan

155

ÖvervĂ€ganden och förslag

SOU 2018:63

vara en myndighet, sammanslutning eller organisation. Förslaget av- viker i denna del frÄn förslaget till SÀkerhetspolisens datalag.

Uppgiftssamling

Uppgiftssamling definieras i FM-PuL och FRA-PuL som en samling med uppgifter som med hjÀlp av automatiserad behandling anvÀnds gemensamt.

Utredningen föreslĂ„r att definitionen ska införas i de nya lagarna med den Ă€ndringen att anvĂ€nds gemensamt” byts ut mot â€Ă€r gemen- samt tillgĂ€ngliga”.

Begreppets innebörd behandlas i avsnitt 6.5.1.

6.3Behandlingen av personuppgifter

6.3.1Försvar och sÀkerhet som rÀttslig grund för behandling av personuppgifter hos Försvarsmakten

Utredningens förslag: Försvarsmakten fÄr behandla personupp- gifter om det Àr nödvÀndigt för att planera, förbereda och genom- föra verksamhet som rör

1.Sveriges försvar och sÀkerhet, eller

2.internationellt försvars- och sÀkerhetssamarbete.

Försvarsmaktens uppgift att bedriva sÄdan verksamhet ska framgÄ av lag, förordning eller ett sÀrskilt beslut i vilket regeringen upp- dragit Ät myndigheten att ansvara för uppgiften.

SkÀl för utredningens förslag: Personuppgifter fÄr enligt den före- slagna bestÀmmelsen behandlas i Försvarsmaktens verksamhet om behandlingen Àr nödvÀndig för att planera, förbereda och genomföra verksamhet som rör Sveriges försvar och sÀkerhet. Försvarsmaktens uppgift att bedriva sÄdan verksamhet ska framgÄ av lag, förordning eller ett sÀrskilt beslut i vilket regeringen uppdragit Ät myndigheten att ansvara för uppgiften.

156

SOU 2018:63

ÖvervĂ€ganden och förslag

Regler om denna verksamhet omfattas inte av unionsrÀtten och enligt utredningens mening bör nÄgon Àndring hÀrvidlag inte göras utan hÀr bör enbart nationella bestÀmmelser gÀlla.

I det följande beskriver utredningen vilken verksamhet i Försvars- makten som den föreslagna bestÀmmelsen omfattar. Till en del inne- bÀr beskrivningen en upprepning av bakgrundsbeskrivningen i av- snitt 3.1 men bedöms nödvÀndig hÀr för att ge en uppfattning om den personuppgiftsbehandling som Àr aktuell i sammanhanget.

Som framgÄr av avsnitt 3.1 har Försvarsmakten i uppdrag att upp- rÀtthÄlla och utveckla ett militÀrt försvar som ytterst kan möta ett vÀpnat angrepp samt att försvara Sverige och frÀmja svensk sÀkerhet. Grunden för Försvarsmaktens verksamhet Àr förmÄgan till vÀpnad strid.

Vid höjd beredskap ska Försvarsmakten kunna krigsorganisera, mobilisera och anvÀnda alla krigsförband för att möta ett militÀrt hot mot Sverige och svenska intressen. Krigsförband ska kunna krigs- organiseras, Àven om höjd beredskap inte rÄder. Krigsorganisationen och planeringen av denna innefattar personuppgiftsbehandling av anstÀllda i Försvarsmakten och andra som pÄ annat sÀtt Àr knutna till myndigheten.

Behandlingen avser:

1.yrkesofficerare, kontinuerligt tjÀnstgörande anstÀllda gruppbefÀl, soldater och sjömÀn och Försvarsmaktens civila arbetstagare,

2.de som Àr tidsbegrÀnsat anstÀllda med stöd av 2 § lagen (2010:449) om Försvarsmaktens personal vid internationella militÀra insatser,

3.officersaspiranter,

4.reservofficerare och tidvis tjÀnstgörande anstÀllda gruppbefÀl, soldater och sjömÀn,

5.hemvÀrnsmÀn och frivillig personal,

6.den som Àr inskriven för vÀrnplikt och som tjÀnstgör i Försvars- makten, och

7.krigsfrivilliga.

157

ÖvervĂ€ganden och förslag

SOU 2018:63

NÀr det gÀller personal i krigsorganisationen som inte Àr anstÀlld i Försvarsmakten bör personuppgiftsbehandlingen enbart gÀlla upp- gifterna i krigsorganisationen. Detta blir en följd av kravet att per- sonuppgiftsbehandlingen ska vara nödvÀndig för att upprÀtta och utveckla ett militÀrt försvar eller för att försvara Sverige. Det Àr bara i dessa sammanhang som det kravet gör sig gÀllande för denna per- sonalkategori.

För de anstÀllda i Försvarsmakten tillkommer emellertid att de ocksÄ Àr föremÄl för Försvarsmaktens personuppgiftsbehandling i den för alla myndigheter normala personaladministrativa verksam- heten, sÄsom hanteringen av löner, ledigheter etc. Den personupp- giftsbehandlingen har dock ett nÀra samband med den som avser krigsorganisationen och planeringen av denna. Det Àr enligt utred- ningens mening inte lÀmpligt att de separeras pÄ sÄ sÀtt att de kom- mer att omfattas av skilda regelsystem. För att pÄ ett ÀndamÄlsenligt sÀtt upprÀtthÄlla och utveckla Sveriges militÀra försvar eller för att försvara Sverige Àr det enligt utredningens mening nödvÀndigt att de omfattas av samma reglering.

NÀr det gÀller Försvarsmaktens krigsorganisation omfattar be- stÀmmelsen sÄledes behandlingen av personuppgifter som rör anstÀllda i Försvarsmakten och annan personal som ingÄr i eller kan komma att ingÄ i myndighetens krigsorganisation.

Operationer och övningar Ă€r nödvĂ€ndiga för Försvarsmaktens uppdrag att upprĂ€tthĂ„lla och utveckla ett militĂ€rt försvar och att ha förmĂ„ga till vĂ€pnad strid. NĂ€r Försvarsmakten planerar, förbereder och genomför militĂ€ra operationer och övningar behandlar myndig- heten uppgifter om de som deltar i operationerna och övningarna. I dessa kan andra Ă€n personal i krigsorganisationen delta. Vid genomförande av nationella militĂ€ra operationer och internationella militĂ€ra insatser behandlar Försvarsmakten Ă€ven uppgifter om mot- stĂ„ndare eller andra aktörer. Även denna personuppgiftsbehandling omfattas av bestĂ€mmelsen.

Enligt förordningen (1982:765) om Försvarsmaktens ingripanden vid krÀnkningar av Sveriges territorium under fred och neutralitet

m.m.(IKFN) ska Försvarsmakten bl.a. upptÀcka och avvisa krÀnk- ningar av svenskt territorium och i samarbete med civila myndigheter ingripa vid andra övertrÀdelser av tilltrÀdesförordningen (1992:118). Vid dessa ingripanden kan personuppgifter komma att behandlas. SÄdan behandling omfattas ocksÄ av bestÀmmelsen.

158

SOU 2018:63

ÖvervĂ€ganden och förslag

En annan verksamhet nĂ€r det gĂ€ller att upprĂ€tthĂ„lla och utveckla ett militĂ€rt försvar Ă€r utveckling av teknik och metodik (se vidare avsnitt 3.1). Det Ă€r oundvikligt att verksamhet som bl.a. syftar till att pröva och anpassa teknisk utrustning och tekniska system leder till att personuppgifter behandlas. Även i detta sammanhang kan det bli aktuellt med behandling av personuppgifter. OcksĂ„ sĂ„dan behand- ling omfattas av bestĂ€mmelsen.

Som anges i avsnitt 3.1. bedriver Försvarsmakten till stöd för lösan- det av Försvarsmaktens militÀra uppgifter underrÀttelseverksamhet som inte utgör försvarsunderrÀttelseverksamhet eller militÀr sÀkerhetstjÀnst. Personuppgiftsbehandlingen inom denna underrÀttelseverksamhet rör Sveriges försvar och sÀkerhet och omfattas dÀrför av bestÀmmelsen.

Försvarsmakten har vidare vissa andra arbetsuppgifter som rör Sveriges försvar och sÀkerhet och som anges i lag eller förordning. I avsnitt 3.1 ges ett antal exempel pÄ sÄdana uppgifter. De gÀller stöd till polisen vid terrorismbekÀmpning, omvÀrldsbevakning och viss attachéverksamhet. DÀr anges ocksÄ utnyttjande av personal inom Kustbevakningen, polismÀns deltagande i försvaret av riket i krig samt utredningar för att bedöma totalförsvarspliktigas förutsÀttningar att fullgöra vÀrnplikt.

Den personuppgiftsbehandling som Àr nödvÀndig för Försvars- makten att genomföra de nu nÀmnda verksamheterna omfattas av bestÀmmelsen. Beskrivningen av verksamheterna gör inte ansprÄk pÄ att vara fullstÀndig. Det kan finnas andra uppgifter för Försvarsmakten som rör Sveriges försvar och sÀkerhet. SÄdana kan ocksÄ tillkomma.

Avslutningsvis vill utredningen nÀmna nÄgra författningsenliga upp- gifter som klart faller utanför bestÀmmelsen. Som tidigare antytts ska myndigheten enligt 2 § andra stycket förordningen (2007:1266) med instruktion för Försvarsmakten med myndighetens befintliga för- mÄga och resurser kunna lÀmna stöd till civil verksamhet, se vidare hÀrom förordningen (2002:375) om Försvarsmaktens stöd till civil verksamhet. Enligt 3 § förordningen med instruktion för Försvars- makten ska myndigheten ansvara för att samla in, bearbeta och lÀmna Kustbevakningen sjölÀgesinformation sammanstÀlld för civila behov och pÄ begÀran av polisen utföra helikoptertransporter som Àr av större vikt för genomförandet av polisiÀra insatser, se hÀrom vidare förordningen (2017:113) om Försvarsmaktens stöd till polisen med helikoptertransporter. Slutligen ska nÀmnas förordningen (2000:278) om gÄvor och överföringar av överskottsmateriel hos Försvarsmakten.

159

ÖvervĂ€ganden och förslag

SOU 2018:63

Den föreslagna bestÀmmelsen omfattar i och för sig ocksÄ Försvars- maktens försvarsunderrÀttelsetjÀnst och militÀra sÀkerhetstjÀnst. Med hÀnsyn till dessa verksamheters karaktÀr och till att de hittills har reglerats i FM-PuL anser utredningen att de Àven i den föreslagna lagen ska regleras sÀrskilt.

Internationellt försvars- och sÀkerhetssamarbete

Personuppgifter fÄr enligt den föreslagna bestÀmmelsen behandlas i Försvarsmaktens verksamhet om behandlingen Àr nödvÀndig för att planera, förbereda och genomföra verksamhet som avser internatio- nellt försvars- och sÀkerhetssamarbete. Försvarsmaktens uppgift att bedriva sÄdan verksamhet ska framgÄ av lag, förordning eller ett sÀr- skilt beslut i vilket regeringen uppdragit Ät myndigheten att ansvara för uppgiften. I 2 § och 3 a § förordningen med instruktion för Försvars- makten ges Försvarsmakten uppdrag av detta slag. En nÀrmare beskriv- ning av Försvarsmaktens internationella samarbeten finns i avsnitt 3.1. HÀr ska endast konstateras att det inom dessa samarbeten behandlas uppgifter som kan avse andra personer Àn de som ingÄr eller kan komma att ingÄ i krigsorganisationen. SÄdan behandling omfattas av bestÀmmelsen.

6.3.2FörsvarsunderrÀttelseverksamhet som rÀttslig grund för behandling av personuppgifter hos Försvarsmakten

Utredningens förslag: Personuppgifter fÄr behandlas i Försvars- maktens försvarsunderrÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet.

De personuppgifter som Försvarsmakten har fÄtt tillgÄng i myndighetens försvarsunderrÀttelseverksamhet fÄr fortsatt behand- las i den verksamheten, om det behövs för att fullfölja den.

Detta gÀller dock endast om inget annat följer av den före- slagna lagen om behandling av personuppgifter hos Försvarsmakten eller förordning som regeringen har meddelat i anslutning till den lagen.

160

SOU 2018:63

ÖvervĂ€ganden och förslag

SkÀl för utredningens förslag: Av 1 kap. 8 § första stycket FM-PuL framgÄr att personuppgifter fÄr behandlas i Försvarsmaktens för- svarsunderrÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunder- rÀttelseverksamhet. Enligt nÀmnda lag ska försvarsunderrÀttelseverk- samhet bedrivas till stöd för svensk utrikes-, sÀkerhets- och för- svarspolitik samt i övrigt för kartlÀggning av yttre hot mot landet. Det anges vidare att i verksamheten ingÄr att medverka i svenskt del- tagande i internationellt sÀkerhetssamarbete och att försvarsunder- rÀttelseverksamheten endast fÄr avse utlÀndska förhÄllanden. Enligt lagen ska regeringen bestÀmma försvarsunderrÀttelseverksamhetens inriktning och inom ramen för denna inriktning fÄr de myndigheter som regeringen bestÀmmer ange en nÀrmare inriktning av verksam- heten. Regeringen brukar bestÀmma detta i ett Ärligt inriktnings- beslut. Verksamheten ska fullgöras genom inhÀmtning, bearbetning och analys av information. UnderrÀttelser ska rapporteras till berörda myndigheter.

Försvarsmakten beslutar för varje Är en inhÀmtandeplan som bl.a. utgör en prioritering av vad myndigheten anser sig kunna utföra av de behov som uppdragsgivarna genom sina inriktningar har angett. I FM-PuL kommer detta till uttryck indirekt genom föreskriften i 1 kap. 8 § andra stycket om preciserad inriktning, som berörs nÀrmare i det följande. I planen kan myndigheten göra de prioriteringar som den anser vara nödvÀndiga för att avgrÀnsa verksamheten. Planen Àr ocksÄ viktig för att uppfylla kravet att personuppgifter fÄr behandlas bara för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl. Ut- redningen Äterkommer till detta i avsnitt 6.4.

Regeringens inriktning och de nÀrmare inriktningarna anger beho- ven av underrÀttelser, dvs. vilken information som efterfrÄgas. Hur detta ska uppnÄs avgörs av den som utför uppgiften. För Försvars- maktens del Àr inhÀmtandeplanen ett instrument för detta. Som Wilhelm Agrell anför i boken Konsten att gissa rÀtt Àr underrÀttelse- behoven i sig ingen styrfunktion utan det Àr först nÀr behoven omsÀtts i planering som de kan resultera i det konkreta arbete som under- rÀttelseprocessen förutsÀtter.1

1Agrell, Wilhelm, Konsten att gissa rÀtt, underrÀttelsevetenskapens grunder, Studentlittera- tur, Lund 1998.

161

ÖvervĂ€ganden och förslag

SOU 2018:63

Som regeringen anför i den proposition som ligger till grund för nuvarande reglering av behandlingen av personuppgifter i Försvars- maktens försvarsunderrÀttelseverksamhet Àr ÀndamÄlet för behand- lingen att myndigheten ska kunna fullfölja de uppgifter som Äligger myndigheten enligt lagen om försvarsunderrÀttelseverksamhet och den dÀrtill hörande förordningen (prop. 2006/07:46 s. 64). Reger- ingen förklarade att det inte Àr möjligt att i lagtext nÀrmare precisera de ÀndamÄl för vilka personuppgifter fÄr behandlas i försvarsunder- rÀttelseverksamheten (se a. prop. s. 65). Det kan hÀr tillÀggas att det i den senare tillkomna lagen om signalspaning i försvarsunderrÀttelse- verksamhet anges Ätta olika syften för signalspaningen (1 § andra stycket).

Enligt 1 kap. 8 § andra stycket FM-PuL fÄr uppgifter om en per- son endast behandlas om personen har anknytning till en preciserad inriktning för försvarsunderrÀttelseverksamheten och behandlingen Àr nödvÀndig för att fullfölja den inriktningen. Vad som menas med preciserad inriktning anges inte i lagen utan har i praxis ansetts vara den nyss nÀmnda inhÀmtandeplanen.

I tillÀmpningen har frÄga uppkommit om bestÀmmelsen om anknytning till preciserad inriktning innebÀr att varje personuppgift som behandlas i försvarsunderrÀttelseverksamheten mÄste hÀnföras direkt till regeringens vid varje tidpunkt gÀllande inriktning. Ett annat synsÀtt Àr att uppfattningen om anknytningens betydelse i sammanhanget inte bör drivas sÄ lÄngt. I stÀllet rÀcker det att den indirekt berörs av den preciserade inriktningen pÄ sÄ sÀtt att behand- lingen av personuppgiften behövs för att fullfölja det som följer av regeringens och andra uppdragsgivares inriktning. Den osÀkerhet som kan finnas nÀr det gÀller innebörden av anknytningen till pre- ciserad inriktning befrÀmjar enligt utredningens mening inte en effek- tiv underrÀttelseverksamhet. Utredningen anser dÀrtill att kravet pÄ anknytning till en preciserad inriktning kan ifrÄgasÀttas. Inriktningarna och planeringen utgör avgrÀnsningar av behandlingen av person- uppgifter pÄ sÄ sÀtt att de anger underrÀttelsebehoven. Men med led- ning av inriktningarna och planeringen kan man inte i detalj avgöra vilken personuppgiftsbehandling som kan vara och bli nödvÀndig.

I underrÀttelseverksamhetens natur ligger nÀmligen att det inte gÄr att pÄ förhand göra tydliga avgrÀnsningar av vilka uppgifter som mÄste inhÀmtas för att nÄ det slutliga mÄlet att Ästadkomma de

162

SOU 2018:63

ÖvervĂ€ganden och förslag

underrÀttelser som uppdragsgivarna efterfrÄgar. InhÀmtad informa- tion kan motivera inhÀmtning av annan information som man frÄn början inte kÀnde till. Det kan ocksÄ uppkomma behov av att vÀrdera trovÀrdigheten hos kÀllor, som man heller inte kÀnde till frÄn början. SÀrskilt tydligt blir det nu sagda nÀr verksamheten till stora delar gÄr ut pÄ att leta efter företeelser och hot som Àr okÀnda men som man antar existerar.

I sammanhanget vill utredningen ocksĂ„ peka pĂ„ följande för- hĂ„llanden. FörsvarsunderrĂ€ttelseverksamhet Ă€r huvudsakligen fram- Ă„tsyftande. Den kartlĂ€gger företeelser i syfte att kunna förvarna om bl.a. avsikter, aktiviteter och hot till stöd för de inriktande myn- digheternas egna verksamheter. KartlĂ€ggningar avser bl.a. skeenden, organisationer och aktörer av betydelse för förstĂ„elsen för den om- vĂ€rldsutveckling som inriktningarna adresserar. För att kunna förstĂ„ ett skeende eller en aktörs agerande behöver det observerade emeller- tid ofta sĂ€ttas in i ett kontextuellt och historiskt sammanhang. Först dĂ€refter kan bedömningar om det observerades underrĂ€ttelserele- vans göras. Det som observeras i dag behöver sĂ„ledes jĂ€mföras med tidigare observationer. För vissa företeelser behöver sĂ„dana jĂ€mfö- relser kunna göras med observationer som gjordes lĂ„ngt tillbaka i tiden, inte sĂ€llan 10–20 Ă„r tillbaka. Vedertagna begrepp i samman- hanget Ă€r normalbild respektive avvikelse frĂ„n normalbild. Av detta följer att underrĂ€ttelseverksamhet alltid mĂ„ste behandla Ă€ldre infor- mation, inklusive personuppgifter, för att man ska kunna förstĂ„ och bedöma den underrĂ€ttelsemĂ€ssiga relevansen av sĂ„dant som sker i dag.

Det som nu har sagts visar enligt utredningens mening att under- rÀttelseverksamhet som bedrivs enligt lagen om försvarsunderrÀt- telseverksamhet mÄste kunna avse förhÄllanden som inte alltid direkt kan hÀnföras till regeringens vid varje tidpunkt gÀllande inriktning sÄ lÀnge dessa förhÄllanden har betydelse för fullföljandet av det uppdrag som inriktningen innebÀr. DÀrmed mÄste det ocksÄ vara möjligt att behandla personuppgifter som rör dessa förhÄllanden. Detta kommer till uttryck i den föreslagna regleringen pÄ sÄ sÀtt att personuppgifter fÄr behandlas i Försvarsmaktens försvarsunderrÀt- telseverksamhet om det Àr nödvÀndigt för att bedriva den verksam- het som anges i lagen om försvarsunderrÀttelseverksamhet. Enligt utredningen fÄr detta anses vara en tillrÀcklig ÀndamÄlsbeskrivning som dock i förtydligande syfte bör kompletteras i tvÄ avseenden till

163

ÖvervĂ€ganden och förslag

SOU 2018:63

vilka utredningen Äterkommer i det följande och avsnitt 6.3.4. Utred- ningen anser sÄledes att den nuvarande ordningen med kravet pÄ anknytning till en preciserad inriktning inte bör behÄllas.

Genom den föreslagna regleringen av ÀndamÄlen med person- uppgiftsbehandlingen i försvarsunderrÀttelseverksamheten kommer, som utredningen nyss nÀmnde, behandlingen kunna avse förhÄllan- den som inte alltid direkt kan hÀnföras till regeringens vid varje tidpunkt gÀllande inriktning sÄ lÀnge dessa förhÄllanden har bety- delse för fullföljandet av det försvarsunderrÀttelseuppdrag som följer av inriktningen.

Som ovan anförts mÄste en underrÀttelseverksamhet behandla Àldre information, inklusive personuppgifter, för att man ska kunna förstÄ och bedöma den underrÀttelsemÀssiga relevansen av sÄdant som sker i dag. För tydlighetens skull anser utredningen att Ànda- mÄlsbeskrivningen bör kompletteras med en föreskrift som innebÀr att de personuppgifter som Försvarsmakten har fÄtt tillgÄng till i sin försvarsunderrÀttelseverksamhet fortsatt fÄr behandlas i den verk- samheten, om det behövs för att fullgöra den.

Detta bör dock endast gÀlla om inget annat följer av den före- slagna lagen om behandling av personuppgifter vid Försvarsmakten eller förordning som regeringen har meddelat i anslutning till den lagen.

Den föreslagna föreskriften ger ocksÄ ett stöd för behandling av uppgifter som behövs för att Försvarsmakten ska kunna uppfylla de krav som uppdragsgivarna stÀller pÄ snabbhet och flexibilitet i samband med internationella kriser och andra hastigt uppkomna hÀndelser.

164

SOU 2018:63

ÖvervĂ€ganden och förslag

6.3.3MilitÀr sÀkerhetstjÀnst som rÀttslig grund för behandling av personuppgifter hos Försvarsmakten

Utredningens förslag: Personuppgifter fÄr behandlas i Försvars- maktens militÀra sÀkerhetstjÀnst för att upptÀcka, förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvars- makten och dess sÀkerhetsintressen, om det Àr nödvÀndigt för att

1.klarlÀgga verksamhet som innefattar hot mot Sveriges sÀker- het, eller

2.vidta ÄtgÀrder som hindrar eller försvÄrar sÀkerhetshotande verksamhet.

Uppgifter om en person fÄr behandlas för de angivna ÀndamÄlen endast om

1.uppgifterna Àr nödvÀndiga för att kartlÀgga verksamhet som innefattar brott som kan hota Sveriges sÀkerhet eller terrorist- brott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,

2.uppgifterna Àr nödvÀndiga för att kartlÀgga underrÀttelseverk- samhet riktad mot Försvarsmakten och dess sÀkerhets- intressen,

3.uppgifterna Àr nödvÀndiga för att kartlÀgga annan sÀkerhets- hotande verksamhet Àn som avses i 1 och som innefattar brott eller ÄsidosÀttande av Äligganden i anstÀllning hos Försvars- makten, och det finns sÀrskilda skÀl till att uppgiften ska be- handlas,

4.personen har lÀmnat uppgifter om sÀkerhetshotande verk- samhet och personuppgifterna Àr nödvÀndiga för att bedöma personens trovÀrdighet,

5.uppgifterna avser information som har framkommit i samband med sÀkerhetsprövning enligt sÀkerhetsskyddslagen (1996:627) eller i annat fall Àr nödvÀndiga för att utföra en uppgift som rör sÀkerhetsskydd.

Personuppgifter som behandlas enligt ovan ska förses med upp- lysning om pÄ vilken av de angivna grunderna uppgiften behandlas.

165

ÖvervĂ€ganden och förslag

SOU 2018:63

Om behandlingen av en personuppgift föranleds av nÄgot annat Àn antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det sÀrskilt anges att personen inte Àr misstÀnkt för brottslig verksamhet, om det inte pÄ annat sÀtt klart framgÄr att sÄdan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan sÀkerhetshotande verksamhet ska förses med en sÀrskild upp- lysning om detta, om det inte pÄ annat sÀtt klart framgÄr att sÄdant antagande inte finns.

Personuppgifter som behandlas enligt punkterna 1–3 ska i före- kommande fall förses med en upplysning om uppgiftslĂ€mnarens trovĂ€rdighet och uppgifternas riktighet i sak.

Trots vad som sÀgs ovan fÄr personuppgifter som ingÄr i eller har uppkommit i samband med anvÀndning av totalförsvarets telekommunikations- och informationssystem behandlas för att förhindra obehörig insyn i och pÄverkan av dessa system. Det gÀller Àven kÀnsliga personuppgifter och personuppgifter dÀr den som uppgifterna rör har offentliggjort dem eller lÀmnat sitt sam- tyckes. Behandling som sÀrskilt syftar till att identifiera en person fÄr dock endast utföras om bestÀmmelserna i punkterna 1, 2 eller 3 tillÀmpas.

SkĂ€l för utredningens förslag: Liksom konstaterats betrĂ€ffande försvarsunderrĂ€ttelseverksamheten definieras inte heller vad som avses med militĂ€r sĂ€kerhetstjĂ€nst i FM-PuL. Ledning fĂ„r dĂ€rför hĂ€mtas i sĂ€kerhetsskyddslagen (1996:627) och sĂ€kerhetsskyddsförordningen (1996:633). ÄndamĂ„let med behandlingen av personuppgifter inom den militĂ€ra sĂ€kerhetstjĂ€nsten Ă€r att tjĂ€nsten ska kunna fullgöra de uppgifter som följer av sĂ€kerhetsskyddslagen, den dĂ€rtill hörande förordningen och förordningen med instruktion för Försvarsmakten. Regeringen föreslog dĂ€rför i motiven till de nuvarande bestĂ€mmelserna, att personuppgifter ska fĂ„ behandlas i den militĂ€ra sĂ€kerhetstjĂ€nstens verksamhet med att upptĂ€cka, förebygga och avvĂ€rja sĂ€kerhetshotande verksamhet som riktas mot Försvarsmakten och dess sĂ€kerhets- intressen, om det Ă€r nödvĂ€ndigt för att klarlĂ€gga verksamhet som innefattar hot mot rikets sĂ€kerhet. Denna sĂ€kerhetsverksamhet kallas sĂ€kerhetsunderrĂ€ttelsetjĂ€nst. I samma syfte ska personuppgifter fĂ„ behandlas, om det Ă€r nödvĂ€ndigt för att vidta Ă„tgĂ€rder som hindrar eller

166

SOU 2018:63

ÖvervĂ€ganden och förslag

försvĂ„rar sĂ€kerhetshotande verksamhet. DĂ„ Ă€r det frĂ„ga om sĂ€kerhets- skyddstjĂ€nst. Även inom signalskyddstjĂ€nsten, som Ă€r en sĂ€kerhets- skyddsangelĂ€genhet, kan arbete förekomma som avser att klarlĂ€gga sĂ€kerhetshotande verksamhet. SignalskyddstjĂ€nsten innefattar, liksom sĂ€kerhetsskyddstjĂ€nsten, Ă„tgĂ€rder för att hindra eller försvĂ„ra sĂ€ker- hetshotande verksamhet, varför den inte behöver regleras sĂ€rskilt. I motiven till den nuvarande regleringen angavs Ă€ven att det saknas behov av att i lagen ange de olika verksamhetsgrenarna inom den mili- tĂ€ra sĂ€kerhetstjĂ€nsten (prop. 2006/07:46 s. 65 f.).

Den militÀra sÀkerhetstjÀnsten Àr en grundlÀggande verksamhet för Sveriges försvar och nationell sÀkerhet omfattas dÀrmed inte av unionsrÀtten. Enligt utredningens mening bör personuppgiftsbehand- lingen sÄvitt avser denna verksamhet Àven fortsatt regleras sÀrskilt och omfattas av den föreslagna sÀrlagstiftningen.

Som framgÄr av avsnitt 5.1.2 fÄr personuppgifter behandlas i Försvarsmaktens militÀra sÀkerhetstjÀnst för att upptÀcka, förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvars- makten och dess sÀkerhetsintressen, om det Àr nödvÀndigt för att klarlÀgga verksamhet som innefattar hot mot rikets sÀkerhet, eller vidta ÄtgÀrder som hindrar eller försvÄrar sÀkerhetshotande verk- samhet (1 kap. 9 § FM-PuL). Utredningen anser att den bestÀmmel- sen bör föras in i den nya lagen.

Utredningen föreslÄr att de nÀrmare bestÀmmelserna som anger villkoren för personuppgiftsbehandlingen utformas pÄ samma sÀtt i den nya lagen som i den nuvarande med de Àndringar som framgÄr av det följande.

Enligt första och andra punkterna fĂ„r uppgifter behandlas för att kartlĂ€gga verksamhet som innefattar brott som kan hota rikets sĂ€kerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstift- ning eller om uppgifterna Ă€r nödvĂ€ndiga för att kartlĂ€gga underrĂ€t- telseverksamhet riktad mot Försvarsmakten och dess sĂ€kerhets- intressen. Genom uttrycket ”kartlĂ€gga” blir bestĂ€mmelserna Ă€ven tillĂ€mpliga pĂ„ uppgifter om sĂ„dana personer som kan betraktas som sekundĂ€ra i förhĂ„llande till den som utgör hotet eller utövar under- rĂ€ttelseverksamheten men som Ă€ndĂ„ Ă€r av betydelse för att klarlĂ€gga verksamhet som innefattar hot mot Sveriges sĂ€kerhet.

167

ÖvervĂ€ganden och förslag

SOU 2018:63

Enligt tredje punkten fĂ„r uppgifter behandlas för de angivna Ă€nda- mĂ„len om uppgifterna Ă€r nödvĂ€ndiga för att kartlĂ€gga annan sĂ€kerhets- hotande verksamhet och som innefattar brott eller Ă„sidosĂ€ttande av Ă„ligganden i anstĂ€llning hos Försvarsmakten, och det finns sĂ€rskilda skĂ€l till att uppgifterna behandlas. Även hĂ€r blir det möjligt att behandla uppgifter om sĂ„dana personer som kan betraktas som sekundĂ€ra i förhĂ„llande till den som utövar den sĂ€kerhetshotande verksamheten men som Ă€ndĂ„ Ă€r av betydelse för att klarlĂ€gga denna verksamhet.

Kravet pÄ sÀrskilda skÀl innebÀr att personuppgifter inte fÄr behandlas vid en rent bagatellartad förseelse som inte ens om den upprepades eller sammantaget med annan verksamhet skulle för- anleda nÄgon ÄtgÀrd. NÄgon ytterligare omstÀndighet erfordras för att behandling ska fÄ ske, t.ex. att det bedöms föreligga risk för upprepning eller att personen i frÄga har en sÄdan position att upp- följning Àr nödvÀndig. Som en grundlÀggande förutsÀttning gÀller att den sÀkerhetshotande verksamheten ska vara riktad mot Försvars- makten och dess sÀkerhetsintressen (prop. 2006/07:46 s. 70 f.).

Enligt fjÀrde och femte punkterna fÄr uppgifter behandlas för de angivna ÀndamÄlen om personen har lÀmnat uppgifter om sÀkerhets- hotande verksamhet och personuppgifterna Àr nödvÀndiga för att bedöma personens trovÀrdighet (fjÀrde punkten) eller om uppgif- terna har framkommit genom att nÄgon genomgÄtt en sÀkerhets- prövning enligt sÀkerhetsskyddslagen (femte punkten).

BetrĂ€ffande femte punkten gör utredningen följande övervĂ€gan- den i frĂ„ga om uttrycket ”sĂ€kerhetsprövning”. Försvarsmakten ska leda och bedriva militĂ€r sĂ€kerhetstjĂ€nst och mĂ„ste för att uppfylla syftet med sĂ€kerhetsskyddslagen vidta vissa sĂ€kerhetsskyddsĂ„tgĂ€rder. Dessa Ă„tgĂ€rder benĂ€mns i sĂ€kerhetsskyddslagen informationssĂ€kerhet, tilltrĂ€desbegrĂ€nsning samt sĂ€kerhetsprövning. I bestĂ€mmelsen i femte punkten behöver sĂ„ledes ”sĂ€kerhetsprövning” ersĂ€tta tidigare ut- trycken ”registerkontroll eller sĂ€rskild personutredning”. SkĂ€let Ă€r att sĂ€kerhetsprövning Ă€r ett vidare begrepp som innefattar mer Ă€n regi- sterkontroll eller sĂ€rskild personutredning. Av 14 § sĂ€kerhetsskydds- förordningen framgĂ„r nĂ€mligen att sĂ€kerhetsprövningen grundas pĂ„

168

SOU 2018:63

ÖvervĂ€ganden och förslag

1.den personliga kÀnnedom som finns om den som prövningen gÀller,

2.uppgifter som framgÄr av betyg, intyg och referenser, samt om bestÀmmelserna om sÄdana ÄtgÀrder Àr tillÀmpliga

3.uppgifter som har kommit fram vid registerkontroll och sÀrskild personutredning.

Femte punkten bör sÄledes tÀcka in alla delar i en sÀkerhetsprövning enligt sÀkerhetsskyddslagen, vilket bör framgÄ direkt av författ- ningstexten.2

Av femte punkten bör Àven framgÄ att uppgifter om en person fÄr behandlas för de angivna ÀndamÄlen om de i annat fall Àr nöd- vÀndiga för att utföra en uppgift som rör sÀkerhetsskydd. Exempel pÄ sÄdana uppgifter Àr Försvarsmaktens tilltrÀdeskontroll vid objekt, lokaler och omrÄden dÀr Försvarsmakten bedriver verksamhet som krÀver sÀkerhetsskydd, behörighetshantering inom signalskydds- tjÀnsten, utbildning i sÀkerhetsskydd och kontroll av sÀkerhetsloggar.

Enligt 1 kap. 10 § andra stycket FM-PuL ska uppgifter om en person som behandlas inom den militÀra sÀkerhetstjÀnsten förses med upplysning om pÄ vilken av de angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av nÄgot annat Àn antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det sÀrskilt anges att personen inte Àr misstÀnkt för brottslig verksamhet, om det inte pÄ annat sÀtt klart framgÄr att sÄdan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan sÀker- hetshotande verksamhet ska förses med en sÀrskild upplysning om detta, om det inte pÄ annat sÀtt klart framgÄr att sÄdant antagande inte finns.

Av 1 kap. 10 § tredje stycket FM-PuL framgÄr att uppgifter som om en person ska förses med en upplysning om pÄ vilken av grund uppgiften behandlas. Uppgifter om en person som lÀmnat uppgifter om sÀkerhetshotande verksamhet ska förses med en upplysning om uppgiftslÀmnarens trovÀrdighet och uppgifternas riktighet i sak.

2Se Àven prop. 1995/96:129 om sÀkerhetsskydd (s. 78) samt prop. 2006/07:46 s. 67, dÀr det beskrivs att personuppgifter behandlas nÀr nÄgon varit föremÄl för sÀkerhetsprövning enligt sÀkerhetsskyddslagen.

169

ÖvervĂ€ganden och förslag

SOU 2018:63

Motiven till bestÀmmelserna finns i prop. 2006/07:46 s. 70 f. och 122.

Utredningen föreslÄr att bestÀmmelser som motsvarar 1 kap. 10 § andra och tredje styckena FM-PuL införs i den nya lagen.

Enligt 1 kap. 11 § FM-PuL fÄr, trots vad som krÀvs avseende rÀttslig grund för behandlingen enligt bestÀmmelserna ovan, per- sonuppgifter som ingÄr i eller har uppkommit i samband med anvÀnd- ning av totalförsvarets telekommunikations- och informations- system behandlas för att förhindra obehörig insyn i och pÄverkan av dessa system. Det gÀller Àven kÀnsliga personuppgifter och person- nummer. Behandling som sÀrskilt syftar till att identifiera en person fÄr dock endast utföras om nÄgon av grunderna i punkterna 1, 2 eller 3 tillÀmpas. Enligt andra stycket samma bestÀmmelse ska Försvars- makten föra en förteckning över de behandlingar som sÀrskilt syftar till att identifiera en person och de uppgifter som utgjort anled- ningen till behandlingen.

Motiven till bestÀmmelsen finns i prop. 2006/07:46 s. 72 f. och 123). Utredningen föreslÄr att en motsvarande bestÀmmelse införs i

den nya lagen.

I 1 kap. 11 § andra stycket FM-PuL finns en bestÀmmelse om att Försvarsmakten ska föra en förteckning över sÄdana behandlingar, av vilken ska framgÄ vilken person som avsetts med behandlingen och de uppgifter som utgjort anledningen till behandlingen. En sÄdan förteckning för att möjliggöra kontroll i efterhand av grunden för att en behandling utförts i syfte att identifiera en person. Utred- ningen föreslÄr inte nÄgon sÄdan bestÀmmelse i den nya lagen efter- som Försvarsmakten Àr skyldig att spara sÄdana uppgifter redan pÄ grund av bestÀmmelserna om krav pÄ rÀttslig grund, loggning m.m. Vidare har dataskyddsombudet till uppgift att föra förteckning över behandlingar.

170

SOU 2018:63

ÖvervĂ€ganden och förslag

6.3.4RÀttsliga grunder för behandling vid Försvarsmakten av personuppgifter som utgör allmÀnt tillgÀnglig information

Utredningens förslag: Personuppgifter som utgör allmÀnt till- gÀnglig information fÄr behandlas av Försvarsmakten om det Àr nödvÀndigt för

1.planering, förberedelse och genomförande av verksamhet som rör Sveriges försvar och sÀkerhet eller internationellt försvars- och sÀkerhetssamarbete,

2.försvarsunderrÀttelseverksamheten, eller

3.den militÀra sÀkerhetstjÀnsten.

SkÀl för utredningens förslag: Som tidigare nÀmnts behöver Försvarsmakten för att kunna bedriva en effektiv försvarsunder- rÀttelseverksamhet utöver den information som den inhÀmtar genom hemliga metoder, ocksÄ god tillgÄng till allmÀnt tillgÀnglig infor- mation. DÀrigenom kan den pÄ hemligt sÀtt inhÀmtade informa- tionen pÄ ett bÀttre sÀtt Àn eljest sÀttas in i sitt rÀtta sammanhang. Av intresse hÀr Àr information som utgörs av personuppgifter som kan pÄtrÀffas vid sökning pÄ internet eller vid sökningar i öppna databaser. Uppgifterna kan vara gratis eller tillgÀngliga pÄ kommer- siell grund. Gemensamt för dem Àr att de Àr publikt tillgÀngliga. Det kan röra sig om uppgifter som t.ex. en abonnent pÄ ett eller annat sÀtt har samtyckt att uppgifterna finns med i elektroniska telefon- kataloger eller förteckningar över ip-adresser i olika lÀnder. Efter- som försvarsunderrÀttelseverksamheten mÄste vara hemlig Àr det inte lÀmpligt att myndigheten exponerar sig eller sina uppdrags- givares underrÀttelsebehov genom att sjÀlv göra sökningar i dessa databaser. I stÀllet mÄste databaserna anskaffas och lÀggas upp som referensdatabaser hos myndigheten dÀr den kan göra sökningar.

Ett syfte med att behandla personuppgifter i referensdatabaser kan vara att kunna skaffa ytterligare kunskap om förhÄllanden av relevans för fullföljandet av en inriktning, t.ex. telefonnummer, adresser, geografisk hemvist etc. Ett annat syfte kan vara att kunna identifiera vem som anvÀnder en adressuppgift av intresse, t.ex. telefonnummer som förekommer i den inhÀmtade informationen.

171

ÖvervĂ€ganden och förslag

SOU 2018:63

Det Àr inte bara i försvarsunderrÀttelseverksamheten som det finns ett behov av att behandla personuppgifter pÄ det nu beskrivna sÀttet. OcksÄ den militÀra sÀkerhetstjÀnsten har behov av det. Behovet förekommer Àven nÀr det gÀller planering, förberedelse och genomförande av verksamhet som avser Sveriges försvar och sÀker- het eller internationellt försvars- och sÀkerhetssamarbete.

Antalet personuppgifter i myndighetens referensdatabaser kan bli mycket stort. Även om uppgifterna Ă€r allmĂ€nt tillgĂ€ngliga innebĂ€r ett stort antal en form av integritetsintrĂ„ng. De föreslagna Ă€ndamĂ„ls- bestĂ€mmelserna kan visserligen sĂ€gas tĂ€cka den nu beskrivna behand- lingen av personuppgifter. I klarhetens intresse bör behandlingen dock fĂ„ ett tydligt stöd i lagen. I lagen bör dĂ€rför införas en föreskrift om att personuppgifter som utgörs av allmĂ€nt tillgĂ€nglig informa- tion fĂ„r behandlas av Försvarsmakten om det Ă€r nödvĂ€ndigt för pla- nering, förberedelse och genomförande av verksamhet som avser Sveriges försvar och sĂ€kerhet eller internationellt försvars- och sĂ€ker- hetssamarbete, försvarsunderrĂ€ttelseverksamheten eller den militĂ€ra sĂ€kerhetstjĂ€nsten.

6.3.5Övriga rĂ€ttsliga grunder för behandlingen av personuppgifter vid Försvarsmakten

Utredningens förslag: Personuppgifter fÄr Àven behandlas av Försvarsmakten om det Àr nödvÀndigt för diarieföring, arkiver- ing, handlÀggning av ett Àrende eller för att utföra en annan lik- nande uppgift som Äligger myndigheten.

SkĂ€l för utredningens förslag: Försvarsmakten har elektroniska Ă€rendehanteringssystem i vilka personuppgifter Ă€r sökbara enligt sĂ€rskilda kriterier och behörigheter. Diarieföringen vid Försvars- makten avser handlingar som rör Sveriges försvar och sĂ€kerhet. Det samma gĂ€ller de arkiverade handlingarna. ÄrendehandlĂ€ggningen vid myndigheten kan avse skadestĂ„ndsĂ€renden, tilltrĂ€desĂ€renden (ansökan frĂ„n annan stat om att fĂ„ tilltrĂ€de till svenskt territorium), Ă€renden inom Försvarsmaktens tillsyns- och inspektionsverksamhet, Ă€renden dĂ„ Försvarsmakten ansöker om miljötillstĂ„nd, Ă€renden enligt för- fogandelagstiftningen, Ă€renden om kvalificerade skyddsidentiteter och Ă€renden om utlĂ€mnande av allmĂ€n handling. Andra uppgifter

172

SOU 2018:63

ÖvervĂ€ganden och förslag

som liknar ÀrendehandlÀggning och som Äligger myndigheten kan vara att besvara frÄgor rörande Sveriges försvar eller att kommu- nicera med anstÀllda eller vÀrnpliktiga i frÄgor som rör deras tjÀnst. Det kan ocksÄ gÀlla utvÀrdering av den egna verksamheten sÄsom tidredovisning, lönesÀttning och sjuktal.

Utredningen anser att den behandling av personuppgifter som uppkommer i de nu beskrivna verksamheterna bör omfattas av den nya lagen.

6.3.6FörsvarsunderrÀttelseverksamhet som rÀttslig grund för behandling av personuppgifter vid Försvarets radioanstalt

Utredningens förslag: Personuppgifter fÄr behandlas i Försvarets radioanstalts försvarsunderrÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet och lagen (2008:717) om signal- spaning i försvarsunderrÀttelseverksamhet.

De personuppgifter som Försvarets radioanstalt har fÄtt till- gÄng till i sin försvarsunderrÀttelseverksamhet fÄr fortsatt behand- las i den verksamheten, om det behövs för att fullgöra den.

Detta gÀller dock endast om inget annat följer av den före- slagna lagen om behandling av personuppgifter vid Försvarets radio- anstalt eller förordning som regeringen har meddelat i anslutning till den lagen.

Personuppgifter som behandlas i försvarsunderrÀttelseverk- samheten fÄr Àven behandlas om det Àr nödvÀndigt för att till- handahÄlla information som behövs

1.i verksamhet hos berörda myndigheter som avses i 2 § lagen (2000:130) om försvarsunderrÀttelseverksamhet.

2.med anledning av samarbete med andra lÀnder och inter- nationella organisationer enligt lagen (2000:130) om försvars- underrÀttelseverksamhet och lagen (2008:717) om signalspa- ning i försvarsunderrÀttelseverksamhet.

3.i utvecklingsverksamheten för de ÀndamÄl som anges för den verksamheten,

173

ÖvervĂ€ganden och förslag

SOU 2018:63

4.i informationssÀkerhetsverksamheten för de ÀndamÄl som anges för den verksamheten, eller

5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

SkÀl för utredningens förslag: I FRA-PuL föreskrivs i 1 kap. 8 § första stycket att personuppgifter fÄr behandlas i Försvarets radio- anstalts försvarsunderrÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om för- svarsunderrÀttelseverksamhet. Enligt den lagen ska försvarsunder- rÀttelseverksamhet bedrivas till stöd för svensk utrikes-, sÀkerhets- och försvarspolitik samt i övrigt för kartlÀggning av yttre hot mot landet. Det anges vidare att i verksamheten ingÄr att medverka i svenskt deltagande i internationellt sÀkerhetssamarbete och att försvarsunder- rÀttelseverksamheten endast fÄr avse utlÀndska förhÄllanden. I 1 § andra stycket lagen om signalspaning i försvarsunderrÀttelsetjÀnst anges att signalspaning fÄr ske endast för att kartlÀgga

1.yttre militÀra hot mot landet,

2.förutsÀttningar för svenskt deltagande i fredsfrÀmjande och humanitÀra insatser eller hot mot sÀkerheten för svenska intres- sen vid genomförande av sÄdana insatser,

3.strategiska förhÄllanden avseende internationell terrorism och annan grov grÀnsöverskridande brottslighet som kan hota vÀsent- liga nationella intressen

4.utveckling och spridning av massförstörelsevapen, krigsmateriel, och produkter som avses i lagen (200:1064) om kontroll av pro- dukter med dubbla anvÀndningsomrÄden och av tekniskt bistÄnd,

5.allvarliga yttre hot mot samhÀllets infrastruktur,

6.konflikter utomlands med konsekvenser för internationell sÀkerhet,

7.frÀmmande underrÀttelseverksamhet mot svenska intressen, eller

8.frÀmmande makts agerande eller avsikter av vÀsentlig betydelse för svensk utrikes-, sÀkerhets- och försvarspolitik.

174

SOU 2018:63

ÖvervĂ€ganden och förslag

Enligt lagen om försvarsunderrÀttelseverksamhet ska regeringen bestÀmma försvarsunderrÀttelseverksamhetens inriktning och inom ramen för denna inriktning fÄr de myndigheter som regeringen bestÀmmer ange en nÀrmare inriktning av verksamheten. Regeringen brukar bestÀmma detta i inriktningsbeslutet. För Försvarets radio- anstalt anges kretsen av uppdragsgivare, sÄvitt gÀller signalspaning, i 4 § första stycket lagen om signalspaning i försvarsunderrÀttelse- verksamhet. Enligt den bestÀmmelsen fÄr inriktning av signalspaning endast anges av regeringen, Regeringskansliet, Försvarsmakten, SÀker- hetspolisen och Nationella operativa avdelningen i Polismyndigheten.

Enligt 1 kap. 8 § andra stycket FRA-PuL fÄr uppgifter om en per- son endast behandlas om personen har anknytning till en preciserad inriktning för försvarsunderrÀttelseverksamheten och behandlingen Àr nödvÀndig för att fullfölja den inriktningen.

Försvarets radioanstalt beslutar för varje Är en preciserad inrikt- ning med produktionsplan som bl.a. utgör en prioritering av vad myndigheten anser sig kunna utföra av de behov som uppdrags- givarna genom sina inriktningar gett uttryck för. I FRA-PuL kom- mer detta till uttryck indirekt genom föreskriften i 1 kap. 8 § andra stycket om preciserad inriktning, som berörs nÀrmare i det följande. I planen kan myndigheten göra de prioriteringar som den anser vara nödvÀndiga för att avgrÀnsa verksamheten. Planen Àr ocksÄ viktig för att uppfylla kravet att personuppgifter fÄr behandlas bara för sÀr- skilda, uttryckligt angivna och berÀttigade ÀndamÄl. Utredningen Äterkommer till detta i avsnitt 6.4.

Utredningen har i avsnitt 6.3.2 nÀr det gÀller Försvarsmaktens försvarsunderrÀttelseverksamhet kommit fram till att ÀndamÄlet för personuppgiftbehandlingen i den verksamheten bör beskrivas sÄ att den ska vara nödvÀndig för att bedriva försvarsunderrÀttelseverk- samhet. Enligt utredningens mening bör den nuvarande ordningen med krav pÄ anknytning till en preciserad inriktning inte behÄllas. De skÀl och slutsatser som utredningen har fört fram nÀr det gÀller ÀndamÄlen för personuppgiftsbehandlingen i Försvarsmaktens för- svarsunderrÀttelseverksamhet gÀller Àven personuppgiftsbehandlingen

iFörsvarets radioanstalts försvarsunderrĂ€ttelseverksamhet. Ända- mĂ„let för personuppgiftsbehandlingen i Försvarets radioanstalts för- svarsunderrĂ€ttelseverksamhet bör sĂ„ledes utformas i överensstĂ€m- melse med det som utredningen föreslĂ„r för personuppgiftsbehand- lingen i Försvarsmaktens försvarsunderrĂ€ttelseverksamhet.

175

ÖvervĂ€ganden och förslag

SOU 2018:63

Beskrivningen bör ocksÄ innehÄlla en hÀnvisning till lagen om signalspaning i försvarsunderrÀttelseverksamhet.

Liksom för Försvarsmaktens del bör ÀndamÄlsbeskrivningen kom- pletteras i tvÄ avseenden som utredningen berör i det följande och i avsnitt 6.3.9.

Även Försvarets radioanstalt mĂ„ste i sin försvarsunderrĂ€ttelse- verksamhet behandla Ă€ldre information, inklusive personuppgifter, för att man ska kunna förstĂ„ och bedöma den underrĂ€ttelsemĂ€ssiga relevansen av sĂ„dant som sker i dag. För tydlighetens skull anser utredningen att Ă€ndamĂ„lsbeskrivningen ocksĂ„ för Försvarets radio- anstalt bör kompletteras med en föreskrift som innebĂ€r att de per- sonuppgifter som myndigheten har fĂ„tt tillgĂ„ng till i sin försvars- underrĂ€ttelseverksamhet fortsatt fĂ„r behandlas i den verksamheten, om det behövs för att fullgöra den.

Detta bör dock endast gÀlla om inget annat följer av den före- slagna lagen om behandling av personuppgifter hos Försvarets radio- anstalt eller förordning som regeringen har meddelat i anslutning till den lagen.

PÄ samma sÀtt som för Försvarsmakten ges hÀrmed ett tydligt stöd för behandling av uppgifter som behövs för att Försvarets radio- anstalt ska kunna uppfylla de krav som uppdragsgivarna stÀller pÄ snabbhet och flexibilitet i samband med internationella kriser och andra hastigt uppkomna hÀndelser.

Enligt 2 a § lagen om signalspaning i försvarsunderrÀttelseverk- samhet fÄr inhÀmtning inte avse signaler mellan en avsÀndare och en mottagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmtningen, ska upptagningen eller upp- teckningen förstöras sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats. Om en sÄdan otillÄten inhÀmtning ÀndÄ sker, mÄste upp- tagningen eller uppteckningen alltsÄ förstöras. Ett annat fall dÀr en upptagning eller uppteckning ska förstöras regleras i 7 § nÀmnda lag. Den bestÀmmelsen tar sikte pÄ vissa i paragrafen angivna uppgifter som inte fÄr behandlas vidare. FörstöringsÄtgÀrderna i bÄda dessa fall kan innefatta behandling av personuppgifter. Genom att ÀndamÄls- bestÀmmelsen hÀnvisar till verksamhet som anges i lagen om signal- spaning i försvarsunderrÀttelseverksamhet skapas en rÀttslig grund för sÄdan behandling av personuppgifter som Àr nödvÀndig för att avskilja personuppgifter som inte ska inhÀmtas eller behandlas vidare.

176

SOU 2018:63

ÖvervĂ€ganden och förslag

Genom signalspaning kan en inhÀmtad upptagning eller upp- teckning innehÄlla olika personuppgifter. En del Àr av betydelse för verksamheten medan andra inte Àr det. Det Àr ofta inte praktiskt möjligt att separera uppgifter i samma upptagning. Att förstöra hela upptagningen skulle i mÄnga fall vara klart menligt för verksamheten och dÀrmed för uppdragsgivarnas behov. BehÄller man den innebÀr det att Àven de personuppgifter som saknar betydelse kommer att behandlas. Detta Àr en oundviklig följd om intresset att anvÀnda övriga uppgifter i upptagningen Àr starkt.

Ett liknande resonemang fördes i prop. 2006/07:63 s. 108 och 109 i motiven till bestĂ€mmelsen om förstöring i 7 § den dĂ€r föreslagna lagen om signalspaning i försvarsunderrĂ€ttelseverksamhet. DĂ€r anför- des att det inte gĂ„r att undvika att inhĂ€mtningen kommer att omfatta bĂ„de relevant och irrelevant information, sĂ€rskilt inte nĂ€r inhĂ€mt- ningen förmedlas vid ett och samma kommunikationstillfĂ€lle. NĂ€r det gĂ€ller uppgifter om fysiska personer omfattar den dĂ„ föreslagna bestĂ€mmelsen om förstöring av upptagning eller uppteckning bara upptagningar som innehĂ„ller betydelselösa uppgifter. Det konsta- terades att bestĂ€mmelsen inte riktar sig mot upptagningar med bĂ„de relevant och irrelevant information och att en sĂ„dan upptagning ju faktiskt – i vart fall till viss del – har betydelse för verksamheten och dĂ„ inte ska förstöras. Det bör hĂ€r nĂ€mnas att möjligheten att under- lĂ„ta förstöring inte gĂ€ller de fall som anges i 7 § punkterna 2 och 3 dvs. uppgifter för vilka tystnadsplikt gĂ€ller enligt bestĂ€mmelser i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen och upp- gifter i sĂ„dana meddelanden mellan en person som Ă€r misstĂ€nkt för brott och dennes försvarare som skyddas av vissa bestĂ€mmelser i rĂ€ttegĂ„ngsbalken. I lagstiftningsĂ€rendet konstaterades vidare att pro- blemet med olika typer av uppgifter i en och samma upptagning inte kan lösas genom ett krav pĂ„ att upptagningen eller uppteckningen ska redigeras sĂ„ att endast betydelsefull information fĂ„r kvarstĂ„. En sĂ„dan ordning angavs ej vara genomförbar. Problemet fick enligt pro- positionen lösas genom en bestĂ€mmelse om att rapportering av under- rĂ€ttelser som inhĂ€mtats genom signalspaning och som innefattar upp- gifter som berör fysisk person endast fĂ„r avse förhĂ„llanden som Ă€r av betydelse för Ă€ndamĂ„let med verksamheten sĂ„som den formuleras i 1 § lagen om försvarsunderrĂ€ttelseverksamhet.

177

ÖvervĂ€ganden och förslag

SOU 2018:63

Utredningen kan konstatera att signalspaningslagstiftningen med det nu beskrivna synsÀttet kom till efter FRA-PuL Genom att Ànda- mÄlsbestÀmmelsen hÀnvisar till verksamhet som anges i lagen om signalspaning i försvarsunderrÀttelseverksamhet fÄr det beskrivna förfarandet ett rÀttsligt stöd.

Vidarebehandling av personuppgifter för vissa andra ÀndamÄl Àn de ursprungliga, fÄr göras med stöd av 1 kap. 6 § 4 p FRA-PuL. BestÀm- melsen ger möjlighet att fortsatt behandla insamlade uppgifter sÄ lÀnge personuppgifterna inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen).

Enligt utredningen mening Àr det en fördel frÄn integritetsskydds- synpunkt att i görligaste mÄn precisera i vilka fall personuppgifts- behandling fÄr ske för andra ÀndamÄl Àn det för vilket uppgifterna har samlats in. I förslaget till SÀkerhetspolisens datalag förekommer en sÄdan reglering.

Till en början vill utredningen peka pÄ tvÄ andra verksamheter inom Försvarets radioanstalt. Personuppgifter som behandlas i för- svarsunderrÀttelseverksamheten bör Àven fÄ behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs i utveck- lingsverksamheten för de ÀndamÄl som gÀller för den verksamheten. Den andra verksamheten Àr informationssÀkerhetsverksamheten. Som framgÄr av avsnitt 3.3.6 Àr den nÀra knuten till vissa delar av försvarsunderrÀttelseverksamheten vilket ger unika möjligheterna till ökad sÀkerhet pÄ it-omrÄdet. Av den anledningen Àr det viktigt att personuppgifter som behandlas i försvarsunderrÀttelseverksam- heten ocksÄ fÄr behandlas i informationssÀkerhetsverksamheten för de ÀndamÄl som anges för den verksamheten.

I ytterligare tre fall Àr det aktuellt med behandling av person- uppgifter för andra ÀndamÄl Àn de ursprungliga. Ett av dem avser verksamhet hos berörda myndigheter enligt 2 § lagen om försvars- underrÀttelseverksamhet. Det andra fallet gÀller samarbete med andra lÀnder och internationella organisationer enligt lagen om försvars- underrÀttelseverksamhet och lagen om signalspaning i försvars- underrÀttelseverksamhet. Det tredje fallet avser bitrÀde till andra myndigheter vid anskaffning av signalspaningssystem i den utstrÀck- ning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det. Som nÀmnts i avsnitt 3.2 har regeringen i instruk- tionen för Försvarets radioanstalt föreskrivit att radioanstalten ska

178

SOU 2018:63

ÖvervĂ€ganden och förslag

bitrÀda andra myndigheter vid vÀrdering, utveckling, anskaffning och drift av signalspaningssystem

Den föreslagna regleringen innebÀr sÄledes att personuppgifts- behandling för vissa ÀndamÄl uttryckligen regleras i lag i stÀllet för att, som tidigare, hanteras i enlighet med finalitetsprincipen. Avsik- ten Àr att Ästadkomma tydlighet i de nu nÀmnda fallen. Finalitets- principen gÀller dÀrutöver.

6.3.7Utvecklingsverksamhet som rÀttslig grund för behandling av personuppgifter hos Försvarets radioanstalt

Utredningens förslag: Försvarets radioanstalt fÄr i utvecklings- verksamheten behandla personuppgifter om det Àr nödvÀndigt för försvarsunderrÀttelseverksamheten för att

1.följa förÀndringar i signalmiljön i omvÀrlden, den tekniska utvecklingen och signalskyddet, och

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Personuppgifter som behandlas i denna utvecklingsverksamhet fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs

1.med anledning av samverkan med annan avseende utveck- lingsverksamhet,

2.med anledning av samarbete om utvecklingsverksamhet med ut- lÀndsk underrÀttelse- eller sÀkerhetstjÀnst enligt lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet,

3.i försvarsunderrÀttelseverksamheten för de ÀndamÄl som anges för den verksamheten.

4.i informationssÀkerhetsverksamhet för de ÀndamÄl som anges för den verksamheten, eller

5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

179

ÖvervĂ€ganden och förslag

SOU 2018:63

SkÀl för utredningens förslag: Som angetts i avsnitt 3.3.5 ska Försvarets radioanstalt enligt myndighetens instruktion bedriva viss utvecklingsverksamhet och sÀrskilt följa förÀndringen av signal- miljön i omvÀrlden, den tekniska utvecklingen och signalskyddet. Myndigheten ska ocksÄ fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten enligt lagen om signal- spaning i försvarsunderrÀttelseverksamhet. Av 1 § tredje stycket den lagen framgÄr att signaler i elektronisk form fÄr inhÀmtas vid signal- spaning för dessa syften. Myndigheten ska vidare utföra matema- tiska bedömningar av kryptosystem för totalförsvaret samt bitrÀda andra myndigheter vid vÀrdering, utveckling, anskaffning och drift av signalspaningssystem.

NÀr teknik utvecklas och nÀr nya metoder för forcering av kryp- terad information arbetas fram anvÀnds oftast autentiskt signal- spaningsmaterial för att man ska kunna vara sÀker pÄ teknikens riktighet. Det autentiska materialet kan innehÄlla personuppgifter. Stöd för denna personuppgiftsbehandling finns i 1 kap. 9 § FRA- PuL. DÀr föreskrivs att personuppgifter fÄr behandlas av Försvarets radioanstalt om det Àr nödvÀndigt för att

1.följa förÀndringar av signalmiljön i omvÀrlden, den tekniska ut- vecklingen och signalskyddet, och

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Motiven finns i prop. 2006/07:46 s. 67 f. Utredningen föreslÄr att motsvarande bestÀmmelse införs i den nya lagen.

Vidarebehandling av personuppgifter för vissa andra ÀndamÄl Àn de ursprungliga, fÄr, som nÀmnts i föregÄende avsnitt göras med stöd av 1 kap. 6 § 4 p FRA-PuL. BestÀmmelsen ger möjlighet att fortsatt behandla insamlade uppgifter sÄ lÀnge personuppgifterna inte behand- las för nÄgot ÀndamÄl som Àr oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen).

Som utredningen har nÀmnt i avsnittet om radioanstaltens för- svarsunderrÀttelseverksamhet Àr det en fördel frÄn integritetsskydds- synpunkt att i görligaste mÄn precisera i vilka fall personuppgifts- behandling fÄr ske för andra ÀndamÄl Àn det för vilket uppgifterna har samlats in. En bestÀmmelse som avser ett sÄdant ÀndamÄl finns i

180

SOU 2018:63

ÖvervĂ€ganden och förslag

1 kap. 10 § FRA-PuL. Motiven finns i a. prop. s. 67. Enligt bestÀm- melsen fÄr personuppgifter behandlas av Försvarets radioanstalt om det Àr nödvÀndigt för att bitrÀda andra myndigheter vid vÀrdering, utveckling, anskaffning och drift av signalspaningssystem. Utred- ningen föreslÄr att en bestÀmmelse med denna innebörd tas in i den nya lagen. Den bör dock utformas sÄ att den inte bara tar sikte pÄ vÀrdering, utveckling, anskaffning och drift av signalspaningssystem utan bör fÄ en vidare innebörd. Vidare bör som villkor för bitrÀde till andra myndigheter anges att det kan ges i den utstrÀckning det följer av lag eller förordning eller regeringsbeslut i ett enskilt fall.

Utredningen föreslÄr i det följande vissa ytterligare föreskrifter som avser i vilken utstrÀckning personuppgifter som behandlas för nÄgot av ÀndamÄlen i utvecklingsverksamheten Àven ska fÄ behandlas i annan verksamhet inom den egna myndigheten för den verksam- hetens behov eller för att lÀmnas ut till annan för att tillgodose dennes behov.

Som beskrivits i avsnitt 3.3.5 Àr den information som Försvarets radioanstalt strÀvar efter att finna och rapportera, i syfte att tillg- odose uttryckta underrÀttelsebehov, ofta konfidentiell och sÄledes skyddsvÀrd för den kÀlla som hanterar informationen. Informa- tionen Àr dÀrför ofta försedd med nÄgon form av Ätkomstskydd för att förhindra obehörig Ätkomst. För att framgÄngsrikt kunna bedriva försvarsunderrÀttelseverksamhet krÀvs dÀrför aktuell och ingÄende kunskap dels om hur signaler förmedlas och hanteras i elektronisk form, dels om de mekanismer som anvÀnds för att skydda infor- mationen. Personuppgifter som behandlas i Försvarets radioanstalts utvecklingsverksamhet bör dÀrför Àven fÄ behandlas om det Àr nöd- vÀndigt för att tillhandahÄlla information som behövs i samverkan med annan avseende utvecklingsverksamhet eller med anledning av samarbete om utvecklingsverksamhet med utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst enligt lagen om signalspaning i försvarsunder- rÀttelseverksamhet.

Eftersom utvecklingsverksamheten syftar till att frÀmja försvars- underrÀttelseverksamheten Àr det inte oförenligt med det ÀndamÄl för vilka uppgifterna samlas in att uppgifterna ocksÄ behandlas i för att tillhandahÄlla information som behövs i försvarsunderrÀttelse- verksamheten. Detta bör komma till uttryck i lagen.

Utvecklingsverksamheten har ocksĂ„ betydelse för Försvarets radio- anstalts informationssĂ€kerhetsverksamhet. Även i detta fall Ă€r det

181

ÖvervĂ€ganden och förslag

SOU 2018:63

inte oförenligt med det ÀndamÄl för vilket uppgifterna samlats in att de ocksÄ behandlas för att tillhandahÄlla information i den verksam- heten. Detta bör komma till uttryck i lagen.

Den föreslagna regleringen innebÀr sÄledes att personuppgifts- behandling för vissa ÀndamÄl uttryckligen regleras i lag, i stÀllet för att, som tidigare, hanteras i enlighet med finalitetsprincipen. Avsik- ten Àr att Ästadkomma tydlighet i de nu nÀmnda fallen. Finalitets- principen gÀller dÀrutöver.

6.3.8InformationssÀkerhetsverksamhet som rÀttslig grund för behandling av personuppgifter hos Försvarets radioanstalt

Utredningens förslag: Personuppgifter fÄr behandlas i Försvarets radioanstalts informationssÀkerhetsverksamhet om det Àr nöd- vÀndigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som Àr av betydelse för Sveriges sÀkerhet. Uppgiften att lÀmna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.

Personuppgifter som fÄr behandlas enligt detta ÀndamÄl fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs

1.i verksamhet hos den som tar emot uppgifter om informa- tionssÀkerhet,

2.med anledning av samverkan med andra som verkar pÄ infor- mationssÀkerhetsomrÄdet sÄvÀl inom som utom landet i den utstrÀckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutar om det,

3.i försvarsunderrÀttelseverksamheten nÀr det gÀller att kart- lÀgga allvarliga yttre hot mot samhÀllets infrastruktur och frÀmmande underrÀttelseverksamhet, eller

4.i utvecklingsverksamheten för de ÀndamÄl som anges för den verksamheten.

SkÀl för utredningens förslag: Av 4 § förordningen med instruk- tion för Försvarets radioanstalt framgÄr att Försvarets radioanstalt

182

SOU 2018:63

ÖvervĂ€ganden och förslag

har i uppdrag att vara statens resurs för teknisk informationssÀker- het och ska ha hög kompetens inom informationssÀkerhetsomrÄdet. Myndigheten fÄr enligt samma bestÀmmelse efter begÀran stödja myndigheter och statligt Àgda bolag som hanterar information som bedöms vara kÀnslig frÄn sÄrbarhetssynpunkt eller i ett sÀkerhets- eller försvarspolitiskt avseende samt tilldela sÀkra kryptografiska funktioner till ett antal civila myndigheter och organisationer (se nÀrmare om detta i avsnitt 3.2).

Imotiven till FRA-PuL (prop. 2006/07:46 s. 30 f.) anfördes att denna konsultverksamhet frÀmst har rört aktiva it-kontroller, som innebÀr att Försvarets radioanstalt pÄ uppdragsgivarens begÀran söker efter och analyserar brister i sÀkerheten i datorsystemen. Den infor- mation som Försvarets radioanstalt dÄ erhÄller bedömdes kunna innehÄlla personuppgifter, men att Försvarets radioanstalt i sÄ fall, med stöd av ett avtal med uppdragsgivaren, agerar personuppgifts- bitrÀde vid behandling av dessa personuppgifter. Dessa personupp- gifterna skulle sÄledes komma att behandlas av Försvarets radio- anstalt helt i enlighet med uppdragsgivarens instruktioner och den information som Försvarets radioanstalt fÄr i samband med att upp- draget utförs skulle inte kunna anvÀndas i myndighetens försvars- underrÀttelse- eller utvecklingsverksamhet. Data innehÄllande bl.a. personuppgifter ÄtersÀnds till uppdragsgivaren i samband med slut- rapport eller förstörs av Försvarets radioanstalt. Denna beskrivning av konsultverksamheten Àr enligt utredningens uppfattning fortfarande aktuell. PÄ senare tid har verksamheten utvecklats genom det tekniska detekterings- och varningssystemet (TDV) som beskrivs i avsnitt 3.3.6. Utredningen vill Àven tillÀgga att nÀr Försvarets radioanstalt agerar personuppgiftsbitrÀde sker det inte bara i enlighet med uppdrags- givarens instruktioner utan ocksÄ enligt de regler som gÀller för denne. Vidare kan den information som Försvarets radioanstalt fÄr i samband med att ett uppdrag utförs anvÀndas i myndighetens egen verksamhet, om uppdragsgivaren medger det och dÄ sker denna behandling av personuppgifter enligt bestÀmmelserna för behand- ling av personuppgifter vid Försvarets radioanstalt.

De personuppgiftsbehandlingar Försvarets radioanstalt genom- för som personuppgiftsansvarig inom ramen för informationssÀker- hetsverksamheten omfattas inte av FRA-PuL. Utredningen, som tidigare i avsnitt 6.2.3 konstaterat att verksamheten inte omfattas av unionsrÀtten, anser att det i den nya lagen bör föras in bestÀmmelser

183

ÖvervĂ€ganden och förslag

SOU 2018:63

om behandlingen av personuppgifter i denna verksamhet. Den bör avse den behandling av personuppgifter i informationssÀkerhets- verksamheten som Àr nödvÀndig för att kunna skydda den egna verk- samheten och för att kunna stödja andra verksamheter som Àr av betydelse för Sveriges sÀkerhet. Det bör föreskrivas att uppgiften att lÀmna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.

Som utredningen har nÀmnt i avsnitten om radioanstaltens för- svarsunderrÀttelse- och utvecklingsverksamhet Àr det en fördel frÄn integritetsskyddssynpunkt att i görligaste mÄn precisera i vilka fall personuppgiftsbehandling fÄr ske för andra ÀndamÄl Àn det för vilket uppgifterna har samlats in.

Det finns enligt utredningen ett antal tillkommande ÀndamÄl för vilka personuppgifter som behandlas i Försvarets radioanstalts infor- mationssÀkerhetsverksamhet bör fÄ behandlas. Det bör fÄ ske om det Àr nödvÀndigt för att tillhandahÄlla information som behövs hos den som tar emot uppgifter om informationssÀkerhet. Vidare bör det fÄ ske om det Àr nödvÀndigt för att tillhandahÄlla information som behövs med anledning av samverkan med andra som verkar pÄ infor- mationssÀkerhetsomrÄdet sÄvÀl inom som utom landet. Detta bör dock bara fÄ ske i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

En nÀra samverkan mellan försvarsunderrÀttelseverksamheten och informationssÀkerhetsverksamheten Àr av stor betydelse. För underrÀttelseverksamheten Àr det angelÀget att kunna ta del av upp- gifter frÄn informationssÀkerhetsverksamheten nÀr det gÀller att kartlÀgga allvarliga yttre hot mot samhÀllets infrastruktur och frÀm- mande underrÀttelseverksamhet. Personuppgifter bör dÀrför Àven fÄ behandlas om det Àr nödvÀndigt för att tillhandahÄlla information av detta slag. Försvarets radioanstalt har dÀrvid att förhÄlla sig till de regler som gÀller för försvarsunderrÀttelseverksamheten.

InformationssÀkerhetsverksamheten Àr Àven av betydelse för ut- vecklingsverksamheten. Personuppgifter som fÄr behandlas i informa- tionssÀkerhetsverksamheten bör dÀrför Àven fÄ behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs i utveck- lingsverksamheten.

Den föreslagna regleringen innebÀr sÄledes som i de tidigare behandlade fallen att personuppgiftsbehandling för vissa ÀndamÄl uttryckligen regleras i lag, i stÀllet för att, som tidigare, hanteras i

184

SOU 2018:63

ÖvervĂ€ganden och förslag

enlighet med finalitetsprincipen. Avsikten Àr att Ästadkomma tyd- lighet i de nu nÀmnda fallen. Finalitetsprincipen gÀller dÀrutöver.

6.3.9RÀttsliga grunder för behandling vid Försvarets radioanstalt av allmÀnt tillgÀnglig information för vissa ÀndamÄl

Utredningens förslag: Personuppgifter som utgör allmÀnt till- gÀnglig information fÄr behandlas av Försvarets radioanstalt om det Àr nödvÀndigt för de ÀndamÄl som anges för försvarsunder- rÀttelse- och utvecklingsverksamheten och informationssÀker- hetsverksamheten.

SkÀl för utredningens förslag: Liksom Försvarsmakten (se av- snitt 6.3.4.) bör Försvarets radioanstalt ha ett tydligt stöd för att i s.k. referensdatabaser behandla sÄdana uppgifter om personer som Àr allmÀnt tillgÀngliga. Det gÀller information som utgörs av person- uppgifter som kan pÄtrÀffas vid sökning pÄ internet eller vid sök- ningar i öppna databaser Uppgifterna kan vara gratis eller tillgÀngliga pÄ kommersiell grund. Gemensamt för dem Àr att de Àr publikt till- gÀngliga. Det kan röra sig om uppgifter som t.ex. en abonnent pÄ ett eller annat sÀtt har samtyckt att uppgifterna finns med i elektroniska telefonkataloger eller förteckningar över ip-adresser i olika lÀnder. Utöver de syften för sÄdan behandling som beskrivs i avsnittet om Försvarsmakten nÀr det gÀller försvarsunderrÀttelseverksamheten, som endast fÄr avse utlÀndska förhÄllanden, behöver Försvarets radio- anstalt behandla personuppgifter i sÄdana databaser för att kunna filt- rera bort signaler i sÄdana fall dÀr bÄde sÀndare och mottagare befinner sig i Sverige, t.ex. genom att bedöma vilka ip-adresser som avser datorer i Sverige.

Som tidigare nÀmnts fÄr enligt 2 a § lagen om signalspaning i för- svarsunderrÀttelseverksamhet inhÀmtning inte avse signaler mellan en avsÀndare och en mottagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmtningen, ska upp- tagningen eller uppteckningen förstöras sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats. Att i en referensdatabas behandla den typen av allmÀnt tillgÀngliga personuppgifter kan bidra till att minska antalet sÄdana inhÀmtningar.

185

ÖvervĂ€ganden och förslag

SOU 2018:63

Även inom utvecklingsverksamheten kan det vara nödvĂ€ndigt att kunna behandla personuppgifter som utgör allmĂ€nt tillgĂ€nglig infor- mation. Utvecklingsverksamheten syftar till att utveckla och vid- makthĂ„lla möjligheterna att bedriva försvarsunderrĂ€ttelseverksam- het. För detta behöver personuppgifter behandlas t.ex. vid kartlĂ€gg- ning av signalmiljön, varvid allmĂ€nt tillgĂ€nglig information precis som i försvarsunderrĂ€ttelseverksamheten behöver kunna anvĂ€ndas i identifieringssyfte. Även utvecklingsverksamheten omfattas av 2 a § lagen om signalspaning i försvarsunderrĂ€ttelseverksamhet, varvid behandling av allmĂ€nt tillgĂ€ngliga personuppgifter kan bidra till att minska antalet inhĂ€mtningar som ej Ă€r tillĂ„tna enligt den bestĂ€mmelsen.

LikasÄ vad gÀller informationssÀkerhetsverksamheten kan all- mÀnt tillgÀngliga personuppgifter behöva behandlas. Bland behoven finns möjligheter att identifiera ursprunget till skadlig kod och att löpande kunna bevaka vad som redan Àr kÀnt avseende sÄrbarheter i mjuk- och hÄrdvaror.

I den till lagen anknutna förordningen bör föreskrivas att det för Försvarets radioanstalt fÄr finnas uppgiftssamlingar för allmÀnt till- gÀnglig information och att de endast fÄr innehÄlla information som finns eller har funnits pÄ internet eller i öppna databaser.

Uppgifterna bör vara uppdaterade i enlighet med vad som föreslÄs i avsnitt 6.4.1.

6.3.10RÀttsliga grunder för behandling för vetenskapliga, statistiska eller historiska ÀndamÄl

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt fÄr behandla personuppgifter för vetenskapliga, statistiska eller historiska ÀndamÄl inom de föreslagna lagarnas tillÀmpnings- omrÄden.

SkÀl för utredningens förslag: Möjligheten att bevara person- uppgifter som behandlas automatiserat, för historiska, statistiska eller vetenskapliga ÀndamÄl Àr enligt FM-PuL och FRA-PuL kopplad till regler om gallring. Enligt 6 kap. 1 § i dessa lagar ska personupp- gifter gallras sÄ snart uppgifterna inte lÀngre behövs för det ÀndamÄl för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestÀmmer har meddelat föreskrifter eller i enskilt fall

186

SOU 2018:63

ÖvervĂ€ganden och förslag

beslutat att gallring ska ske senast vid viss tidpunkt eller att uppgifter fÄr bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl. Enligt 12 § FM-PuF och FRA-PuF har Riksarkivet denna rÀtt att besluta om bevarande. Ett sÄdant beslut fÄr till följd att uppgifterna inte gallras.

Utredningen bedömer att det Àven enligt de nya lagarna bör finnas utrymme att behandla personuppgifter för vetenskapliga, statistiska och historiska ÀndamÄl.

6.3.11RÀttsliga grunder för behandling av personuppgifter för att tillgodose behov av information hos enskilda och behov av information vid tillsyn och kontroll

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt fÄr behandla personuppgifter för att kunna tillgodose enskil- das behov av information och kunna lÀmna information vid tillsyn och kontroll.

SkÀl för utredningens förslag: Datainspektionen Àr enligt 10 § FM- PuF och FRA-PuF tillsynsmyndighet enligt FM-PuL och FRA-PuL. Statens inspektion för försvarsunderrÀttelseverksamheten har enligt sin instruktion till uppgift att kontrollera försvarsunderrÀttelseverk- samheten hos de myndigheter som bedriver sÄdan verksamhet. Inspektionen Àr enligt sin instruktion Àven kontrollmyndighet enligt lagen om signalspaning i försvarsunderrÀttelseverksamhet. Enligt 10 a § i den lagen Àr kontrollmyndigheten skyldig att pÄ begÀran av en enskild kontrollera om hans eller hennes meddelanden har inhÀmtats i samband med signalspaning. Det ska hÀr tillÀggas att Riksrevisio- nen, Riksdagens ombudsmÀn och Justitiekanslern ocksÄ kan utöva tillsyn.

NÄgot uttryckligt stöd för personuppgiftsbehandling med anled- ning av en enskilds behov av information eller behov av information vid tillsyn och kontroll finns inte i FM-PuL eller FRA-PuL. Utred- ningen bedömer emellertid att den personuppgiftsbehandling genom exempelvis sökningar i uppgiftssamlingar och sammanstÀllningar av uppgifter som Àr nödvÀndig för att Försvarsmakten och Försvarets radioanstalt ska kunna tillmötesgÄ enskildas och tillsynsmyndig-

187

ÖvervĂ€ganden och förslag

SOU 2018:63

hetens och kontrollmyndighetens behov bör fÄ direkt stöd i de före- slagna lagarna. Utredningen föreslÄr dÀrför att det i de föreslagna lagarna tas in en bestÀmmelse om att respektive myndighet fÄr behandla personuppgifter för att kunna tillgodose enskildas behov av information och behovet av information vid tillsyn och kontroll.

Den föreslagna bestÀmmelsen utgör Àven den rÀttsliga grunden för personuppgiftshantering i Försvarsmaktens och Försvarets radio- anstalts loggfunktioner i de uppgiftssamlingar som hanterar person- uppgifter för de syften som framgÄr av denna bestÀmmelse. BestÀm- melser om myndigheternas loggfunktioner behandlas i avsnitt 6.6.2.

6.4GrundlÀggande krav pÄ behandling av personuppgifter

6.4.1GrundlÀggande krav

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt fÄr behandla personuppgifter bara för sÀrskilda, uttryck- ligt angivna och berÀttigade ÀndamÄl.

Personuppgifter fÄr inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket personuppgifterna ur- sprungligen behandlades.

Personuppgifter ska behandlas författningsenligt och pÄ ett korrekt sÀtt.

Personuppgifter som behandlas ska vara adekvata och relevanta i förhÄllande till ÀndamÄlen med behandlingen och, om det Àr nödvÀndigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas pÄ ett objektivt sÀtt med respekt för mÀnniskovÀrdet.

Fler personuppgifter fÄr inte behandlas Àn vad som Àr nöd- vÀndigt med hÀnsyn till ÀndamÄlen med behandlingen.

SkĂ€l för utredningens förslag: Av 1 kap. 6 § 1–7 FM-PuL och FRA-PuL framgĂ„r att Försvarsmakten respektive Försvarets radio- anstalt ska se till att personuppgifter behandlas bara om det Ă€r lagligt, att de alltid behandlas pĂ„ ett korrekt sĂ€tt och i enlighet med god sed, att de samlas in bara för sĂ€rskilda, uttryckligt angivna och berĂ€ttigade Ă€ndamĂ„l. Vidare framgĂ„r att personuppgifter inte fĂ„r behandlas för

188

SOU 2018:63

ÖvervĂ€ganden och förslag

nÄgot ÀndamÄl som Àr oförenligt med det för vilket uppgifterna sam- lades in, att de Àr adekvata och relevanta i förhÄllande till ÀndamÄlen med behandlingen. Myndigheterna ska vidare se till att de person- uppgifter som behandlas Àr nödvÀndiga med hÀnsyn till ÀndamÄlen med behandlingen samt att de Àr riktiga och, om det Àr nödvÀndigt, aktuella. Motiven till bestÀmmelserna finns i avsnitt 8.4 i prop. 2006/07:46. Ut- redningen anser att samma föreskrifter bör tas in i de nya lagarna med vissa sprÄkliga justeringar.

En bestÀmmelse om att uppgifter som beskriver en persons ut- seende alltid ska utformas pÄ ett objektivt sÀtt och med respekt för mÀnniskovÀrdet finns i FM-PuL (1 kap. 12 § andra stycket andra meningen) och i FRA-PuL (1 kap. 11 § andra stycket andra meningen). Motivet till bestÀmmelsen finns i prop. 2006/07:46 s. 74 f. Utredningen anser att en sÄdan föreskrift bör tas in i de nya lagarna.

6.4.2Behandling av kÀnsliga personuppgifter

Utredningens förslag: Personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning fÄr inte behandlas.

NÀr uppgifter om en person behandlas fÄr de dock komplet- teras med sÄdana uppgifter som avses i föregÄende stycke, om det Àr absolut nödvÀndigt för syftet med behandlingen.

Biometriska uppgifter fÄr behandlas endast om det Àr absolut nödvÀndigt för ÀndamÄlet för behandlingen. Genetiska uppgifter fÄr inte behandlas.

Vid sökning fÄr personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter. religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning anvÀndas som sökbegrepp om det Àr absolut nödvÀndigt för syftet med behandlingen. Detsamma gÀller bio- metriska uppgifter.

SkÀl för utredningens förslag: Av 1 kap. 12 § FM-PuL och 1 kap. 11 § FRA-PuL framgÄr att uppgifter om en persons ras eller etniska ursprung, politiska Äsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hÀlsa eller sexualliv fÄr behandlas endast

189

ÖvervĂ€ganden och förslag

SOU 2018:63

sÄsom komplement till personuppgifter som behandlas pÄ annan grund. Detta förutsÀtter att behandlingen Àr absolut nödvÀndig med hÀnsyn till syftet med behandlingen. Vid sökning ska sÄdana kÀnsliga personuppgifter fÄ anvÀndas som sökbegrepp endast om det Àr absolut nödvÀndigt med hÀnsyn till syftet med behandlingen. Motiven till bestÀmmelserna finns i prop. 2006/07:46 s. 73 f. Utredningen anser att en motsvarande reglering bör införas i de nya lagarna med det tillÀgget att bestÀmmelserna Àven bör gÀlla sexuell lÀggning.

Behandling av biometriska och genetiska uppgifter regleras inte i FM-PuL och FRA-PuL.

Med biometriska uppgifter avses enligt den föreslagna defini- tionen i avsnitt 6.2.9 personuppgifter som rör en fysisk persons fysiska, fysiologiska eller beteendemÀssiga kÀnnetecken som tagits fram genom sÀrskild teknisk behandling och som möjliggör eller bekrÀftar unik identifiering av personen i frÄga. Försvarsmakten och Försvarets radioanstalt behandlar biometriska uppgifter i sina för- svarsunderrÀttelseverksamheter. Inom signalspaningen fÄr det betrak- tas som sjÀlvklart att t.ex. en persons röstprofil, vilket Àr en bio- metrisk uppgift, behöver kunna behandlas i identifieringssyfte. Att kunna göra korrekta identifieringar Àr av avgörande betydelse vid bedömning av kÀllors trovÀrdighet och informations sakriktighet.

Regeln om att kÀnsliga personuppgifter endast fÄr behandlas sÄsom komplement till personuppgifter som behandlas pÄ annan grund kan inte tillÀmpas nÀr det gÀller biometriska personuppgifter t.ex. oidenti- fierade avtryck eller spÄr. Det finns dÀrför skÀl att reglera behandlingen av biometriska uppgifter sÀrskilt. Försvarsmakten och Försvarets radioanstalt bör fÄ behandla biometriska uppgifter om det Àr absolut nödvÀndigt för ÀndamÄlet med behandlingen. Biometriska uppgifter bör ocksÄ fÄ behandlas vid sökning om det Àr absolut nödvÀndigt för syftet med behandlingen.

Med genetiska uppgifter avses enligt den definition som föreslÄs i avsnitt 6.2.9 personuppgifter som rör sÄdana nedÀrvda eller för- vÀrvade kÀnnetecken för en fysisk person som kan tas fram ur ett prov frÄn personen i frÄga. Genetiska uppgifter Àr av synnerligen integritetskÀnslig natur. Försvarsmakten och Försvarets radioanstalt har uppgett att de inte har behov av att behandla genetiska uppgifter. Utredningen anser att det av lagstiftningen bör framgÄ att sÄdan behandling inte Àr tillÄten.

190

SOU 2018:63

ÖvervĂ€ganden och förslag

6.4.3Behandling av personnummer och samordningsnummer

Utredningens förslag: I den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten tas in en bestÀmmelse om att uppgifter om personnummer eller samordningsnummer fÄr behandlas bara nÀr det Àr klart motiverat med hÀnsyn till Ànda- mÄlet med behandlingen, vikten av en sÀker identifiering, eller nÄgot annat beaktansvÀrt skÀl.

Utredningens bedömning: NÄgon sÄdan bestÀmmelse bör inte införas i den föreslagna lagen om behandling av personuppgifter vid Försvarets radioanstalt

SkÀl för utredningens förslag och bedömning: En bestÀmmelse om behandling av personnummer och samordningsnummer finns i 1 kap. 13 § i FM-PuL och 1 kap. 12 § i FRA-PuL. Av bestÀmmelsen fram- gÄr att uppgifter om personnummer eller samordningsnummer fÄr behandlas bara nÀr det Àr klart motiverat med hÀnsyn till ÀndamÄlet med behandlingen, vikten av en sÀker identifiering, eller nÄgot annat beaktansvÀrt skÀl.

Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst respektive Försvarets radioanstalts försvarsunder- rÀttelse- och utvecklingsverksamhet baserar sig inte pÄ samtycke frÄn den enskilde. Försvarets radioanstalts verksamhet pÄ försvarsunder- rÀttelse- och utvecklingsomrÄdena Àr inriktad pÄ utlÀndska för- hÄllanden och behandlar dÀrför i liten omfattning personnummer och samordningsnummer. Detsamma kan sÀgas om informations- sÀkerhetsverksamheten. Utredningen har konstaterat att en mot- svarande reglering inte finns med i förslaget till SÀkerhetspolisens datalag. Utredningen anser sig kunna följa det exemplet nÀr det gÀller Försvarets radioanstalt.

Även Försvarsmaktens försvarsunderrĂ€ttelseverksamhet Ă€r inrik- tad pĂ„ utlĂ€ndska förhĂ„llanden och det Ă€r, precis som för Försvarets radioanstalt, inte vanligt att personnummer och samordningsnum- mer behandlas inom denna verksamhet.

För Försvarsmaktens del innebÀr dock det utökade tillÀmpnings- omrÄdet i förhÄllande till FM-PuL att myndigheten kommer att

191

ÖvervĂ€ganden och förslag

SOU 2018:63

behandla personnummer och samordningsnummer i stor utstrÀck- ning, bl.a. betrÀffande egen personal. Av den anledningen anser utred- ningen att regleringen bör behÄllas för Försvarsmakten.

6.4.4Behandling av personuppgifter om den som uppgifterna rör har offentliggjort uppgifterna eller lÀmnat sitt samtycke

Utredningens förslag: Utan hinder av vad som föreskrivs i de föreslagna lagarna om kÀnsliga personuppgifter och, sÄvitt gÀller Försvarsmakten, personnummer, fÄr personuppgifter behandlas, om den som personuppgifterna rör har offentliggjort personupp- gifterna pÄ ett tydligt sÀtt. För Försvarsmaktens del ska detta gÀlla Àven i det fall samtycke till behandlingen har lÀmnats av den som uppgifterna rör.

I inget av fallen bör det vara tillÄtet att behandla genetiska uppgifter.

SkÀl för utredningens förslag: Förslaget till SÀkerhetspolisens data- lag innehÄller bestÀmmelser om att kÀnsliga personuppgifter fÄr be- handlas, om den registrerade har lÀmnat sitt uttryckliga samtycke till behandlingen eller pÄ ett tydligt sÀtt har offentliggjort uppgifterna. I FM-PuL och FRA-PuL saknas sÄdana bestÀmmelser. Utredningen anser att en motsvarande reglering bör införas i de föreslagna lagarna, dock med den skillnad som framgÄr av det följande. I Försvarets radio- anstalts försvarsunderrÀttelse- och utvecklingsverksamhet och infor- mationssÀkerhetsverksamhet blir nÄgra samtyckessituationer sÀllan aktuella, varför nÄgon samtyckesbestÀmmelse inte behöver finnas för Försvarets radioanstalts del. Detsamma kan sÀgas om Försvarsmak- tens försvarsunderrÀttelseverksamhet. DÀremot kan det förekomma i Försvarsmaktens övriga verksamhet, varför utredningen föreslÄr att Försvarsmakten fÄr behandla personuppgifter vid de situationer ett samtycke frÄn den som personuppgifterna rör har lÀmnats.

I inget av fallen bör det vara tillÄtet att behandla genetiska uppgifter.

192

SOU 2018:63

ÖvervĂ€ganden och förslag

6.4.5Behandling av personuppgifter i vissa fall

Utredningens förslag: Hantering av information som innebÀr behandling av personuppgifter ska inte anses oförenlig med bestÀm- melserna om tillÄtlighet, grundlÀggande krav och kÀnsliga person- uppgifter i det skede av behandlingen dÄ det Ànnu inte har kunnat faststÀllas vilka personuppgifter som informationen innehÄller. En bestÀmmelse om detta ska föras in i bÄda lagarna.

SkÀl för utredningens förslag: I 1 kap. 13 § FRA-PuL anges att Försvarets radioanstalts behandling av personuppgifter som innebÀr inhÀmtning av personuppgifter genom signalspaning, lagring av upp- gifter som sker omedelbart dÀrefter och bearbetning i form av krypto- forcering och sprÄklig översÀttning inte ska anses som oförenlig med bestÀmmelserna om grundlÀggande krav, ÀndamÄl samt behandling av kÀnsliga personuppgifter och personnummer. SÄ snart det har kunnat faststÀllas att informationen innehÄller personuppgifter mÄste dock vidare behandling av sÄdana personuppgifter som förekommer i materialet ske i överenstÀmmelse med de nÀmnda bestÀmmelserna. NÄgon motsvarighet till 1 kap. 13 § FRA-PuL finns inte i FM-PuL.

Försvarets radioanstalts inhĂ€mtning av signaler i trĂ„d ska enligt 3 § lagen om signalspaning i försvarsunderrĂ€ttelseverksamhet ske automatiserat och det föreskrivs vidare att sĂ„dan inhĂ€mtning endast fĂ„r avse signaler som identifierats genom sökbegrepp. Även vid annan inhĂ€mtning ska sökbegrepp enligt paragrafen anvĂ€ndas för identifieringen av signaler. Detta förfarande reducerar informations- mĂ€ngden pĂ„ ett Ă€ndamĂ„lsenligt sĂ€tt före sjĂ€lva inhĂ€mtningen och tillvaratar dĂ€rmed ocksĂ„ integritetsskyddsintresset. Behandling av personuppgifter omfattar enligt 1 kap. 4 § FRA-PuL all slags behand- ling, alltsĂ„ Ă€ven den som sker pĂ„ automatisk vĂ€g. Personuppgifter behandlas redan i det tidiga skede nĂ€r informationen i tillstĂ„ndsgivna signalbĂ€rare genomgĂ„r urval med hjĂ€lp av sökbegrepp. Det innebĂ€r att personuppgiftsbehandling sker Ă€ven för information som inte inhĂ€mtas.

MÄnga av de personuppgifter som behandlas automatiskt blir dessutom aldrig föremÄl för manuell granskning. DÀrför Àr det inte möjligt att veta om de behandlas enligt bestÀmmelserna i FRA-PuL om grundlÀggande krav, ÀndamÄl, kÀnsliga personuppgifter och per- sonnummer.

193

ÖvervĂ€ganden och förslag

SOU 2018:63

I tillĂ€mpningen har uppstĂ„tt frĂ„gan om det Ă€r först nĂ€r Försvarets radioanstalt fĂ„r klart för sig vilka personuppgifter som behandlas som det Ă€r möjligt för myndigheten att behandla dem enligt bestĂ€m- melserna i 1 kap. 6 och 8–12 §§ FRA-PuL.

I ett tillsynsbeslut den 24 oktober 2016 tog Datainspektionen upp frÄgan om tolkningen av 1 kap. 13 § FRA-PuL efter det att Statens inspektion för försvarsunderrÀttelseverksamheten hade anmÀlt frÄgan dit. Datainspektionen kom fram till att varken bestÀmmelsens ordalydelse eller förarbetena till FRA-PuL ger stöd för en sÄdan tolkning som anges ovan. Inspektionen konstaterade vidare att bestÀm- melsen enligt sin ordalydelse i praktiken inte gÄr att förena med inhÀmtning genom signalspaning pÄ det sÀtt som det förefaller ha förutsetts genom införandet av lagen om signalspaning. Det var enligt Datainspektionen sÄledes uppenbart att bestÀmmelsen inte Àr anpassad till för de behov och förutsÀttningar som gÀller för För- svarets radioanstalts verksamhet i dag. FrÄgan om hur bestÀmmelsen ska tolkas borde enligt Datainspektionen ha tagits upp vid införan- det av lagen om signalspaning.

Det var Datainspektionens uppfattning att bestÀmmelsen behöver ses över och anpassas till det mandat lagstiftaren har gett Försvarets radioanstalt genom lagen om signalspaning. Datainspektionen fann mot den angivna bakgrunden anledning att uppmÀrksamma reger- ingen pÄ detta behov och sÀnde en kopia av beslutet till Försvars- departementet.

Utredningen kan konstatera att bestÀmmelsen enligt sin orda- lydelse innebÀr att den inte undantar tillÀmpning av de nÀmnda före- skrifterna om grundlÀggande krav, ÀndamÄl, kÀnsliga personupp- gifter och personnummer i de fall dÄ man redan frÄn början vet att informationen innehÄller personuppgifter. Praktiskt taget all infor- mation som innehÄllande kommunikation mellan mÀnniskor som Försvarets radioanstalt inhÀmtar innehÄller personuppgifter. Innan uppgifterna har översatts, forcerats och bedömts av analytiker Àr det okÀnt vilka specifika personuppgifter som behandlas. MÄnga av de personuppgifter som behandlas pÄ automatisk vÀg blir aldrig föremÄl för manuell granskning. Det Àr dÀrför en omöjlighet för Försvarets radioanstalt att, sÄvida inte en analytiker bearbetat och bedömt per- sonuppgifterna, hÀvda att personuppgifterna har behandlats i enlig- het med bestÀmmelserna om grundlÀggande krav, ÀndamÄl, kÀnsliga personuppgifter och personnummer.

194

SOU 2018:63

ÖvervĂ€ganden och förslag

Som Datainspektionens beslut ger uttryck för stÄr bestÀmmelsen dÀrmed i konflikt med den personuppgiftsbehandling som lagen om signalspaning i försvarsunderrÀttelseverksamhet förutsÀtter ska ske hos Försvarets radioanstalt efter inhÀmtningsskedet. Utredningen föreslÄr dÀrför att bestÀmmelsen utformas sÄ att den tar sikte pÄ det skede dÄ det inte har kunnat faststÀllas vilka personuppgifterna Àr. Den nÀrmare utformningen bör anpassas till den föreslagna lagen om behandling av personuppgifter vid Försvarets radioanstalt.

Även i Försvarets radioanstalts informationssĂ€kerhetsverksam- het förekommer personuppgifter. Vilka dessa Ă€r kan visa sig först i ett senare skede av hanteringen. Den föreslagna bestĂ€mmelsen kom- mer att medge hantering av information som innebĂ€r behandling av personuppgifter i ett tidigt skede dĂ„ det inte har kunnat faststĂ€llas vilka personuppgifterna Ă€r.

Motsvarande behov av legala förutsÀttningar för behandling av material innan det Àr klarlagt vilka personuppgifter materialet inne- hÄller finns Àven hos Försvarsmakten. Exempel pÄ sÄdana situationer anges i det följande.

För att Försvarsmakten ska kunna bedriva en effektiv verksamhet Àr det nödvÀndigt att anvÀnda sig av information som t.ex. delges till Försvarsmakten av andra myndigheter. NÀr sÄdan information tas in i myndighetens tekniska system Àr det inte möjligt för Försvars- makten att i förvÀg veta vad som rapporteras och vilka personupp- gifter som förekommer i handlingen. Det Àr dÀrför heller inte möj- ligt att i förekommande fall veta om personuppgifterna behandlas enligt bestÀmmelserna om grundlÀggande krav.

NÀr Försvarsmakten fÄr in en rapport frÄn en annan myndighet som rör försvarsunderrÀttelseverksamhet eller militÀr sÀkerhets- tjÀnst tas denna rapport normalt in i Försvarsmaktens informations- system för underrÀttelse- och sÀkerhetstjÀnsten. I samband med att rapporten lÀses in i systemet och diarieförs görs en notering om det förekommer personuppgifter i handlingen. Detsamma gÀller om Försvarsmakten fÄr in en handling om exempelvis försvarsplanering. Rapporten lÀses in i Försvarsmaktens informationssystem för Àrende- hantering. NÄgon prövning utifrÄn bestÀmmelserna om grundlÀggande krav, tillÄtlighet och kÀnsliga personuppgifter görs dock inte förrÀn personuppgifterna bearbetas i respektive verksamhet. Det Àr först nÀr personuppgifterna behandlas i verksamheten som en bedömning kan göras om de Àr nödvÀndiga för densamma.

195

ÖvervĂ€ganden och förslag

SOU 2018:63

6.4.6LÀngsta tid som personuppgifter fÄr behandlas

Utredningens förslag: Personuppgifter som behandlas automa- tiserat fÄr inte behandlas under lÀngre tid Àn vad som behövs för nÄgot eller nÄgra av de ÀndamÄl för vilka Försvarsmakten eller Försvarets radioanstalt enligt de föreslagna lagarna fÄr behandla personuppgifter.

I lagarna tas in en upplysningsföreskrift om att regeringen eller den myndighet regeringen bestÀmmer kan meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter fÄr behandlas endast under viss tid eller bevaras för historiska, statistiska eller veten- skapliga ÀndamÄl.

SkÀl för utredningens förslag: Hur lÀnge personuppgifter fÄr beva- ras enligt FM-PuL och FRA-PuL regleras i bestÀmmelserna om gall- ring i 6 kap. 1 § FM-PuL och FRA-PuL. Av bestÀmmelserna framgÄr att personuppgifter som behandlas automatiserat ska gallras sÄ snart uppgifterna inte lÀngre behövs för det ÀndamÄl för vilket de behand- las, om inte regeringen eller den myndighet som regeringen bestÀm- mer har meddelat föreskrifter eller i enskilt fall beslutat att gallring ska ske senast vid viss tidpunkt eller att uppgifter fÄr bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

Utredningen anser att samma reglering bör gÀlla i de föreslagna lagarna med en viss sprÄklig justering som bl.a. innebÀr att uttrycket gallring inte anvÀnds. I stÀllet föreslÄs en föreskrift om lÀngsta tid som personuppgifter fÄr behandlas. BestÀmmelsen hindrar inte att Försvarsmakten och Försvarets radioanstalt arkiverar och bevarar all- mÀnna handlingar eller lÀmnar arkivmaterial till en arkivmyndighet.

Förordningsföreskrifter för Försvarsmakten

I den förordning som ska knyta an till den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten bör tas in före- skrifter om bevarande av personuppgifter i uppgiftssamlingar i för- svarsunderrÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten och som finns i rapportunderlag och underrÀttelserapporter. Om dessa personuppgifter inte lÀngre behövs för de ÀndamÄl för vilka de

196

SOU 2018:63

ÖvervĂ€ganden och förslag

behandlas, ska de enligt utredningens förslag bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

I FM-PuF finns bestÀmmelser om uppgiftssamlingar för försvars- underrÀttelsetjÀnst, sÀkerhetsunderrÀttelsetjÀnst, sÀkerhetsskyddstjÀnst och signalkontroll. En redovisning av dem finns i avsnitt 5.1.5. I av- snitt 5.1.12 redovisas föreskrifter om gallring, sÄvitt avser uppgifts- samlingarna för sÀkerhetsunderrÀttelsetjÀnst, sÀkerhetsskyddstjÀnst och signalkontroll. Huvudregeln innebÀr att personuppgifter ska gallras nÀr de inte lÀngre behövs för det ÀndamÄl för vilket de behandl- as. Datainspektionen har pekat pÄ att det ska vara en fortlöpande pröv- ning om en personuppgift ska behandlas eller inte. Det Àr dÀrför heller inte av integritetsskyddsskÀl nödvÀndigt med sÀrskilda gallringsfris- ter inom delar av den militÀra sÀkerhetstjÀnsten. DÀr kan personupp- gifter i likhet med vad som Àr fallet i försvarsunderrÀttelseverksam- heten behöva behandlas under mycket lÄng tid. I den förordning som knyter an till lagen föreslÄr utredningen dÀrför inga tidsfrister för behandlingen av personuppgifter i uppgiftssamlingarna för sÀkerhets- underrÀttelsetjÀnst och för sÀkerhetsskydd. Personuppgifter i en upp- giftssamling för signalkontroll fÄr dock inte behandlas lÀngre Àn ett Är efter det att behandlingen pÄbörjades. Detta innebÀr igen Àndring.

Utredningen föreslÄr vidare att det i förordningen tas in ett bemyn- digande för Riksarkivet att, efter samrÄd med Försvarsmakten, med- dela föreskrifter om att personuppgifter som inte lÀngre fÄr behand- las ska bevaras.

Förordningsföreskrifter för Försvarets radioanstalt

Enligt 4 § FRA-PuF ska det vid Försvarets radioanstalt finnas upp- giftssamlingar för underrÀttelser som innehÄller personuppgifter. Upp- giftssamlingarna fÄr endast innehÄlla fÀrdiga underrÀttelserapporter. I den förordning som ska knyta an till den föreslagna lagen föreslÄr utredningen att uppgiftssamlingarna för underrÀttelser Àven fÄr inne- hÄlla rapportunderlag. Utredningen Äterkommer till den frÄgan i av- snitt 6.5.1. NÀr personuppgifter i rapportunderlag och underrÀttelse- rapporter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas ska de enligt utredningens förslag bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

197

ÖvervĂ€ganden och förslag

SOU 2018:63

I FRA-PuF finns bestÀmmelser om uppgiftssamlingar för bl.a. rÄmaterial, information om signalmiljön och företeelser mot vilka signalspaningen inriktas (2, 5 och 6 §§). I bestÀmmelserna finns före- skrifter om gallring. En redovisning av dem finns i avsnitt 5.1.12.

I den förordning som ska knyta an till lagen om behandling av personuppgifter vid Försvarets radioanstalt föreslÄr utredningen föreskrifter nÀr det gÀller hur lÀnge uppgifter fÄr behandlas. Person- uppgifter i en uppgiftssamling för rÄmaterial fÄr inte behandlas lÀngre Àn ett Är efter det att behandlingen pÄbörjades. Detta innebÀr ingen Àndring.

NÀr det gÀller uppgiftssamlingar för information om signalmiljön och företeelser mot vilka signalspaningen inriktas föreslÄr utredningen av samma anledning som nyss redovisats betrÀffande den militÀra sÀker- hetstjÀnsten dÀremot inga sÀrskilda tidsfrister för behandlingen.

Utredningen föreslÄr vidare att det i förordningen tas in ett bemyn- digande för Riksarkivet att, efter samrÄd med Försvarets radio- anstalt, meddela föreskrifter om att personuppgifter som inte lÀngre fÄr behandlas ska bevaras. Detta ska dock inte gÀlla uppgiftssam- lingar för rÄmaterial.

6.4.7Försvarsmaktens utlÀmnande av personuppgifter

Utredningens förslag: Personuppgifter som behandlas med stöd av den föreslagna lagen fÄr föras över till andra lÀnder eller inter- nationella organisationer endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarsmakten ska kunna fullgöra sina uppgifter inom ramen för det internationella försvars- och sÀkerhetssamarbetet.

Regeringen kan meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall, om det Àr nödvÀndigt för verksamheten vid Försvarsmakten.

Försvarsmakten fÄr lÀmna ut personuppgifter elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om det inte Àr olÀmpligt. Regeringen kan meddela föreskrifter som begrÀnsar denna möjlighet.

Elektroniskt utlÀmnande genom direktÄtkomst Àr tillÄtet bara i den utstrÀckning som anges i den föreslagna lagen.

198

SOU 2018:63

ÖvervĂ€ganden och förslag

SkÀl för utredningens förslag:

UtlÀmnande till andra lÀnder

Enligt 1 kap. 17 § FM-PuL fÄr personuppgifter som behandlas med stöd av den lagen föras över till andra lÀnder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det Àr nöd- vÀndigt för att Försvarsmakten ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrÀttelse- och sÀker- hetssamarbetet, om inte regeringen meddelat föreskrifter eller i ett enskilt fall beslutat om att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för verksamheten i Försvarsmakten. Motiven finns i prop. 2006/07:46 s. 80 f. Det kan hÀr erinras om bestÀmmelsen i 3 § förordningen om försvarsunderrÀttelseverksamhet. Enligt den bestÀm- melsen fÄr de myndigheter som bedriver försvarsunderrÀttelseverk- samhet samarbeta i underrÀttelsefrÄgor med andra lÀnder och inter- nationella organisationer endast under förutsÀttning att syftet med samarbetet Àr att tjÀna den svenska statsledningen och det svenska totalförsvaret. De uppgifter som myndigheterna lÀmnar till andra lÀnder och internationella organisationer fÄr inte vara till skada för svenska intressen. Vad som avses med svenska intressen anges inte nÀrmare. I tillÀmpningen har utöver svenska statens intressen Àven avsetts intressen hos svenska företag och enskilda.

Utredningen anser att en bestĂ€mmelse som motsvarar 1 kap. 17 § FM-PuL bör tas in i den nya lagen. Med hĂ€nsyn till det vidgade till- lĂ€mpningsomrĂ„det för behandlingen av personuppgifter vid Försvars- makten bör dock ”försvarsunderrĂ€ttelse- och sĂ€kerhetssamarbetet” ersĂ€ttas med ”försvars- och sĂ€kerhetssamarbetet”.

Elektroniskt utlÀmnande

Enligt 1 kap. 14 § FM-PuL fÄr endast enstaka personuppgifter lÀm- nas ut pÄ medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att uppgifter fÄr lÀmnas ut pÄ sÄdant medium Àven i andra fall. Motiven finns i prop. 2006/07:46 s. 77 f.

I princip anses allt elektroniskt utlÀmnande som inte görs genom direktÄtkomst utlÀmnat pÄ medium för automatiserad behandling. SÄdant utlÀmnande kan göras pÄ mÄnga olika sÀtt. Det kan vara frÄga

199

ÖvervĂ€ganden och förslag

SOU 2018:63

om att personuppgifter lÀmnas t.ex. via e-post eller dvd-skiva eller genom direkt överföring frÄn ett datasystem till ett annat via elektro- niska kommunikationsnÀt.

UtlÀmnande pÄ medium för automatiserad behandling innebÀr som regel att informationen lÀmnas ut i elektronisk form pÄ ett sÄdant sÀtt att mottagaren kan bearbeta informationen. Detta inne- bÀr effektivitetsvinster för mottagaren, samtidigt som det kan inne- bÀra risker för den personliga integriteten. Regeringen ansÄg dÀrför i motiven till bestÀmmelsen i FM-PuL att möjligheten till utlÀm- nande av personuppgifter pÄ medium för automatiserad behandling skulle vara begrÀnsad (prop. 2006/07:46 s. 78).

Regeringen har utnyttjat bemyndigandet att meddela föreskrifter genom att föreskriva att utlÀmnande pÄ medium för automatiserad behandling fÄr omfatta fler Àn enstaka uppgifter, om uppgifterna lÀmnas ut till en annan statlig myndighet (7 § FM-PuF).

Elektroniskt utlÀmnande ger effektivitetsvinster

Myndigheter som arbetar med bl.a. underrÀttelse- och sÀkerhets- verksamhet har stora behov av att kommunicera med andra myndig- heter. Det kan röra sig om att bÄde begÀra, lÀmna eller utbyta infor- mation. Huvuddelen av all lagring och kommunikation av information sker numera elektroniskt pÄ olika sÀtt som ger effektivitetsvinster, vilket som angetts ovan Àven uppmÀrksammats vid tillkomsten av FM-PuL och FRA-PuL.

I takt med den generella utvecklingen av informationstekniken har Àven myndigheters möjligheter att pÄ olika sÀtt dela och ta del av information ökat. Informationshanteringsutredningen, som hade i uppdrag att generellt se över frÄgor om elektroniskt utlÀmnande, framhöll att frÄgan om hur den bÀsta effektiviteten kan uppnÄs för nÀrvarande inte synes handla sÄ mycket om vilken elektronisk utlÀm- nandeform som bör vÀljas utan mer om myndigheternas möjlighet att överhuvudtaget Ästadkomma det informationsutbyte som reger- ingen eller de sjÀlva vill ska förekomma. Problemen med att uppnÄ önskad effektivisering förefaller enligt den utredningen till viss del handla om legala förutsÀttningar för ett visst informationsutbyte (SOU 2015:39 s. 148).

200

SOU 2018:63

ÖvervĂ€ganden och förslag

Risker med elektroniskt utlÀmnande

UtlÀmnande av personuppgifter pÄ medium för automatiserad be- handling medför risker frÄn integritetssynpunkt. SÄdant utlÀmnande innebÀr nÀmligen som regel att mottagaren kan bearbeta informa- tionen, t.ex. genom att samköra den mot elektroniska uppgifter som har hÀmtats frÄn andra informationskÀllor. Det ökar risken för att uppgifterna behandlas i strid med de grundlÀggande kraven pÄ data- skydd. I detta sammanhang bör emellertid beaktas att en begrÀns- ning av möjligheter att överföra information elektroniskt i praktiken fÄr begrÀnsad betydelse eftersom modern teknik enkelt kan om- vandla text pÄ papper till elektroniska uppgifter.

BestÀmmelserna om elektronisk informationsöverföring behöver moderniseras

I förslaget till SÀkerhetspolisens datalag föreslÄs att personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om det inte Àr olÀmpligt (1 kap. 19 §). Det anges vidare att regeringen kan meddela föreskrifter som begrÀnsar möjligheten att lÀmna ut personuppgifter pÄ det sÀttet (1 kap. 22 § 2).

I motiven till förslaget anges effektivitetsskÀl. Det anförs att Àven om det förekommer integritetskÀnsliga uppgifter mÄste riskerna med att överföra sÄdana uppgifter elektroniskt vÀgas mot behovet av en snabb och effektiv sÀker kommunikation (SOU 2017:74 s. 374).

SÀttet att hantera stora volymer information, inbegripet person- uppgifter, har genomgÄtt stora förÀndringar sedan tillkomsten av FM-PuL. Huvuddelen av all informationsöverföring mellan Försvars- makten och andra myndigheter sker i dag elektroniskt, vilket talar för att behandlingen huvudsakligen bör regleras direkt i lag. I likhet med vad som har föreslagits nÀr det gÀller SÀkerhetspolisens behand- ling av personuppgifter anser utredningen att Försvarsmakten bör kunna fÄ lÀmna ut personuppgifter elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om det inte Àr olÀmpligt. Utredningen anser i likhet med vad som föreslÄs för SÀkerhetspolisen att regeringen kan meddela föreskrifter som begrÀnsar möjligheten att lÀmna ut person- uppgifter pÄ annat sÀtt Àn genom direktÄtkomst.

BestÀmmelser om direktÄtkomst behandlas sÀrskilt i avsnitt 6.5.2.

201

ÖvervĂ€ganden och förslag

SOU 2018:63

6.4.8Försvarets radioanstalts utlÀmnande av personuppgifter

Utredningens förslag: Personuppgifter som behandlas med stöd av den föreslagna lagen fÄr föras över till en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informations- sÀkerhetsomrÄdet eller en internationell organisation endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrÀttelse- och sÀkerhetssamarbetet.

Regeringen kan meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvarets radioanstalt.

Personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om regeringen har meddelat föreskrifter eller sÀrskilt beslutat om det.

Elektroniskt utlÀmnande genom direktÄtkomst Àr tillÄtet bara i den utstrÀckning som anges i den föreslagna lagen.

SkÀl för utredningens förslag: Enligt 1 kap. 17 § FRA-PuL fÄr personuppgifter som behandlas enligt den lagen föras över till andra lÀnder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrÀttelse- och sÀkerhetssamarbetet, om inte regeringen. har meddelat föreskrifter eller i ett enskilt fall beslutat att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvarets radioanstalt. Motiven finns i prop. 2006/07:47 s. 80 f.

I den föreslagna lagen bör enligt utredningens mening en mot- svarande föreskrift tas in. Dock bör den krets till vilken överföringen fÄr ske anges vara utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet eller en internationell organisation. I den förordning som ska knyta an till lagen bör föreskrivas att personuppgifter fÄr föras över i sÄdana fall, om överföringen tjÀnar den svenska statsledningen eller det svenska totalförsvaret och att överföringen av uppgifter inte fÄr vara till skada för svenska intressen. Som tidigare nÀmnts har i tillÀmpningen som svenska intressen avsetts, utöver svenska statens intressen, Àven intressen hos svenska företag och enskilda.

202

SOU 2018:63

ÖvervĂ€ganden och förslag

Enligt 1 kap. 14 § FRA-PuL fÄr endast enstaka personuppgifter lÀmnas ut pÄ medium för automatiserad behandling, om inte reger- ingen har meddelat föreskrifter eller i ett enskilt fall beslutat att uppgifter fÄr lÀmnas pÄ sÄdant medium i andra fall. Motiven finns i prop. 2006/07:46 s. 77 f. I 8 § FRA-PuF har regeringen föreskrivit att utlÀmnande pÄ medium för automatiserad behandling fÄr omfatta fler Àn enstaka uppgifter, om uppgifterna lÀmnas ut till en annan statlig myndighet. Som tidigare nÀmnts finns liknande bestÀmmelser för Försvarsmakten i FM-PuL och FM-PuF.

Utredningen har, som framgÄtt, för Försvarsmaktens del föreslagit en bestÀmmelse som innebÀr att utlÀmnande elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst fÄr ske, om det inte Àr olÀmpligt. Som utredningen konstaterat dÀr har en liknande bestÀmmelse tagits in i förslaget till SÀkerhetspolisens datalag. SkÀl för en sÄdan bestÀm- melse kan Àven anföras nÀr det gÀller Försvarets radioanstalt. Arten av och antalet uppgifter som det Àr frÄga om vid Försvarets radio- anstalt gör att integritetsskyddsaspekterna enligt utredningens mening emellertid talar för en mer restriktiv lagreglering. Till skillnad mot Försvarsmakten har Försvarets radioanstalt inte heller önskat nÄgon förÀndring av bestÀmmelsen.

Utredningen föreslÄr att det i den föreslagna lagen tas in en före- skrift enligt vilken personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om regeringen har meddelat före- skrifter eller sÀrskilt beslutat om det. I förordningen till lagen bör regeringen föreskriva att personuppgifter fÄr lÀmnas ut till statliga myndigheter pÄ annat sÀtt Àn genom direktÄtkomst. Den föreslagna regleringen blir dÀrmed lika restriktiv som den nuvarande.

203

ÖvervĂ€ganden och förslag

SOU 2018:63

6.5Gemensamt tillgÀngliga uppgifter

6.5.1Personuppgifter som fÄr göras gemensamt tillgÀngliga

Utredningens förslag: SÀrskilda bestÀmmelser ska gÀlla för behand- ling av personuppgifter som görs eller har gjorts gemensamt tillgÀngliga. Dessa bestÀmmelser samlas i ett eget kapitel i respek- tive lag.

Försvarsmakten

Personuppgifter fÄr göras gemensamt tillgÀngliga om det behövs för nÄgot av de ÀndamÄl för vilka Försvarsmakten fÄr behandla personuppgifter. Personuppgifter som görs gemensamt tillgÀng- liga inom Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst ska Àven fortsÀttningsvis behandlas i upp- giftssamlingar.

Personuppgifter som endast ett fÄtal personer har tillgÄng till ska inte anses som gemensamt tillgÀngliga.

Regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter eller beslut i enskilda fall vilka uppgifts- samlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.

Försvarets radioanstalt

Personuppgifter fÄr göras gemensamt tillgÀngliga och behandlas i uppgiftssamlingar om det behövs för nÄgot av de ÀndamÄl som anges i lagen.

Personuppgifter som endast ett fÄtal personer har tillgÄng till anses inte som gemensamt tillgÀngliga.

Regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter eller beslut i enskilda fall vilka upp- giftssamlingar som fÄr finnas och vilka uppgifter som fÄr behand- las i respektive uppgiftssamling.

SkÀl för utredningens förslag: Enligt 1 kap. 4 § FM-PuL och FRA- PuL Àr en uppgiftssamling en samling med uppgifter som med hjÀlp av automatiserad behandling anvÀnds gemensamt. Enligt 1 kap. 7 § FM-PuL och FRA-PuL fÄr, under de förutsÀttningar som anges i

204

SOU 2018:63

ÖvervĂ€ganden och förslag

dessa lagar, personuppgifter behandlas i uppgiftssamlingar för För- svarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhets- tjÀnst samt Försvarets radioanstalts försvarsunderrÀttelse- och utveck- lingsverksamhet. Enligt bestÀmmelserna fÄr regeringen meddela före- skrifter eller beslut i enskilda fall om vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive samling. Motiven finns i prop. 2006/07:46 s. 59 f.

Avgörande för nÀr automatiserat behandlade uppgifter ska anses ingÄ i en uppgiftssamling Àr enligt förarbetena att uppgifterna anvÀnds gemensamt av Försvarsmakten eller Försvarets radioanstalt i en viss verksamhet för de ÀndamÄl som ska styra behandlingen av uppgifter inom verksamheten. NÀr en handlÀggare arbetar med ordbehandling lagras uppgifter elektroniskt pÄ hÄrddisken i en dator eller i en server hos Försvarsmakten eller Försvarets radioanstalt. Uppgiften Àr dÄ normalt Ätkomlig endast för handlÀggaren sjÀlv och systemadmi- nistratören vid myndigheten. En sÄdan uppgift kan dÀrför inte anses vara gemensamt tillgÀnglig. Syftet med sÄdan tillfÀllig behandling Àr inte att uppgifterna som lagras i datorn ska anvÀndas av andra Àn den som utför behandlingen. NÀr en uppgift behandlas tillfÀlligt i en dator för att senare tillföras en uppgiftssamling och göras gemensam utgör den inte heller en del av uppgiftssamlingen.

Gemensamt tillgĂ€ngliga uppgifter – ny reglering

Utöver de bestÀmmelser som behandlats ovan angÄende uppgifts- samlingar finns inte i FM-PuL och FRA-PuL nÄgra bestÀmmelser som reglerar behandling av personuppgifter som görs eller har gjorts gemensamt tillgÀngliga. SÄdana bestÀmmelser finns i förslaget till SÀkerhetspolisens datalag (SOU 2017:74). Med gemensamt tillgÀng- liga uppgifter avses enligt dessa bestÀmmelser uppgifter som inte enbart ett fÄtal har tillgÄng till.

Liksom i förslaget till SÀkerhetspolisens datalag bör regleringen om gemensamt tillgÀngliga uppgifter finnas i ett sÀrskilt kapitel i respektive lag. Det bör enligt utredningen finnas en tydlig koppling till de tillÄtna rÀttsliga grunderna för personuppgiftsbehandling. Detta innebÀr tydliga regler och underlÀttar den bedömning som ska ske vid tillsyn och kontroll om huruvida behandlingen av personuppgif- ter vilar pÄ rÀttslig grund.

205

ÖvervĂ€ganden och förslag

SOU 2018:63

En grundlÀggande förutsÀttning för att personuppgifter ska anses vara gemensamt tillgÀngliga Àr att de kan anvÀndas gemensamt av flera, dvs. att fler Àn en person har Ätkomst till uppgifterna. Uppgif- ter som endast ett fÄtal personer har rÀtt att ta del av bör dock inte anses som gemensamt tillgÀngliga.

Försvarsmakten och Försvarets radioanstalt bör kunna samarbeta med andra, företrĂ€desvis myndigheter, och inom ramen för sĂ„dant samarbete behandla personuppgifter i gemensamma projekt. Bland annat för att möjliggöra ett sĂ„dant samarbete görs bedömningen i avsnitten 6.5.2 och 6.5.3 att vissa myndigheter bör kunna medges direktĂ„tkomst till uppgifter som har gjorts gemensamt tillgĂ€ngliga inom Försvarsmakten och Försvarets radioanstalt. Syftet med att begrĂ€nsa Ă„tkomsten till gemensamt tillgĂ€ngliga uppgifter Ă€r att per- sonuppgifter – och behandlingen av sĂ„dana uppgifter – bör kring- gĂ€rdas av ett extra skydd nĂ€r de sprids till andra myndigheter Ă€n Försvarsmakten och Försvarets radioanstalt. Konsekvensen av be- grĂ€nsningen blir att bestĂ€mmelserna om gemensamt tillgĂ€ngliga uppgifter alltid blir tillĂ€mpliga i projekt med deltagare frĂ„n andra myndigheter, oavsett antalet deltagare i projektet.

Liksom angavs i lagstiftningsarbetet vid tillkomsten av FM-PuL och FRA-PuL, anser utredningen att det inte Àr möjligt att i lagstift- ningen ange nÄgon exakt grÀns för nÀr en viss behandling ska anses ske i en uppgiftssamling och dÀrmed omfattas av de sÀrskilda bestÀmmelser som reglerar sÄdana samlingar. Myndigheterna mÄste i det enskilda fallet avgöra om uppgifter som behandlas automa- tiserat Àr gemensamma eller inte. En handlÀggare inom Försvars- makten eller Försvarets radioanstalt torde i regel utan svÄrigheter kunna avgöra om han eller hon för tillfÀllet arbetar med en uppgift direkt i en uppgiftssamling eller i ett ordbehandlingsdokument eller annat pro- gram dÀr han eller hon ensam behandlar personuppgiften. Den personuppgiftsansvarige har emellertid ett ansvar för att grÀnsdrag- ningsproblem inte uppstÄr pÄ grund av brister i den tekniska utform- ningen av ett datorsystem. Genom de höga sÀkerhetskrav som omgÀr- dar Försvarsmaktens och Försvarets radioanstalts informationssystem Àr det ocksÄ nödvÀndigt att inom verksamheten ha klart för sig huru- vida en viss uppgift ingÄr i en uppgiftssamling eller inte.

Den nÀrmare regleringen av vilka kategorier av uppgifter som ska fÄ behandlas bör Àven fortsÀttningsvis huvudsakligen regleras i för- ordning eller genom regeringsbeslut.

206

SOU 2018:63

ÖvervĂ€ganden och förslag

För att undvika en alltför detaljerad reglering i lag bör regeringen meddela nÀrmare föreskrifter eller beslut i enskilda fall om vilka upp- giftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive samling.

NÀrmare om Försvarsmakten

Inom ramen för den personuppgiftsbehandling som sker av För- svarsmakten i försvarsunderrÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten Àr risken för integritetsintrÄng för den enskilde typiskt sett större Àn vid annan personuppgiftsbehandling som om- fattas av förslaget till lag om behandling av personuppgifter vid Försvarsmakten. Det finns dÀrför enligt utredningen skÀl att Àven fortsÀttningsvis reglera behandling av personuppgifter i uppgiftssam- lingar i dessa verksamheter i lag. BetrÀffande personuppgiftsbehandling utanför försvarsunderrÀttelseverksamheten och den militÀra sÀkerhets- tjÀnsten gör utredningen emellertid följande bedömning.

I stort sett samtliga personuppgifter som behandlas av Försvars- makten i de andra verksamheterna Ă€r av sĂ„dan karaktĂ€r att de kan betraktas som gemensamt tillgĂ€ngliga. De uppgifter som personal hos Försvarsmakten har tillgĂ„ng till begrĂ€nsas dock genom krav pĂ„ behörighet. Åtkomsten begrĂ€nsas sĂ„tillvida att de som har behörig- het endast fĂ„r tillgĂ„ng till de delar av informationssystemen som de behöver för att kunna fullgöra sina arbetsuppgifter. Inloggning i Försvarsmaktens huvudsystem för Ă€rendehantering, FM AP kan till exempel endast ske med hjĂ€lp av totalförsvarets elektroniska id-kort. Aktiviteter i systemen loggas och logguppföljning görs regelbundet av it-sĂ€kerhetschefen och verksamhetschefen.

Personuppgiftsbehandlingen inom ramen för lagförslaget omgÀr- das av sÀrskilda skyddsregler. Personuppgiftsbehandlingen kommer exempelvis att begrÀnsas genom bestÀmmelser om lagens tillÀmp- ningsomrÄde och sÀrskilda ÀndamÄlsbestÀmmelser, om att tillgÄngen till personuppgifter ska begrÀnsas till vad varje anstÀlld behöver för att kunna fullgöra sina arbetsuppgifter. En begrÀnsning följer ocksÄ av att det föreslÄs en sÀrskild reglering för nÀr och hur direktÄtkomst för andra aktörer fÄr medges. Lagen föreslÄs Àven innehÄlla bestÀm- melser om sökförbud. PÄ detta sÀtt begrÀnsas risken för otillbörlig spridning av uppgifterna.

207

ÖvervĂ€ganden och förslag

SOU 2018:63

Mot denna bakgrund utgör de föreslagna skyddsreglerna ett tillrÀckligt integritetsskydd för den uppgiftsbehandling som omfattas av lagförslaget och som sker vid Försvarsmakten utanför försvars- underrÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten. NÄgot behov av en mer restriktiv sÀrreglering finns dÀrför inte. För behandling av personuppgifter avseende de nya ÀndamÄlen bör dÀrför Försvars- makten fÄ bestÀmma om uppgiftssamlingar ska införas och vad de i sÄ fall ska innehÄlla. Detta bör anges i den nya förordningen om behandlingen av personuppgifter vid Försvarsmakten.

I den förordning som ska knyta an till den föreslagna lagen föreslÄs följande nÀr det gÀller uppgiftssamlingar hos Försvarsmakten.

Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för försvars- underrÀttelseverksamhet som innehÄller personuppgifter. Uppgifts- samlingarna Är endast innehÄlla uppgifter som Àr nödvÀndiga för att Försvarsmakten ska kunna bedriva verksamhet enligt lagen (2000:130) om försvarsunderrÀttelseverksamhet.

En uppgiftssamling för försvarsunderrÀttelseverksamhet fÄr endast innehÄlla

1.identifieringsuppgifter,

2.uppgifter om de omstÀndigheter och hÀndelser som ger anledning att anta att den som behandlingen rör har betydelse för för- svarsunderrÀttelseverksamheten,

3.upplysningar om varifrÄn uppgiften kommer och om en uppgifts- lÀmnares trovÀrdighet, och

4.allmÀnt tillgÀnglig information som finns pÄ internet eller i öppna databaser.

NÀr personuppgifter som avses ovan och som finns i rapportunder- lag och underrÀttelserapporter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas, ska de bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för sÀker- hetsunderrÀttelsetjÀnst som innehÄller personuppgifter. Uppgifts- samlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att upptÀcka och klarlÀgga sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen samt allmÀnt tillgÀnglig information som finns pÄ internet eller i öppna databaser.

208

SOU 2018:63

ÖvervĂ€ganden och förslag

NÀr personuppgifter som avses ovan och som finns i rapport- underlag och underrÀttelserapporter inte lÀngre behövs för de Ànda- mÄl för vilka de behandlas, ska de bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för sÀker- hetsskyddstjÀnst som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att förebygga och avvÀrja sÀkerhetshotande verksamhet som riktas mot Försvars- makten och dess sÀkerhetsintressen.

Vid Försvarsmakten fÄr det finnas uppgiftssamlingar för signal- kontroll som innehÄller personuppgifter. Uppgiftssamlingarna fÄr endast innehÄlla uppgifter som Àr nödvÀndiga för att förhindra obehörig insyn i och pÄverkan av totalförsvarets telekommunika- tions- och informationssystem.

I avsnitt 6.4.6 föreslÄr utredningen inga tidsfrister för behand- lingen av personuppgifter i uppgiftssamlingarna för sÀkerhetsunder- rÀttelsetjÀnst och för sÀkerhetsskydd. Personuppgifter i en uppgifts- samling för signalkontroll föreslÄs, i likhet med vad som nu gÀller, inte fÄ behandlas lÀngre Àn ett Är efter det att behandlingen pÄ- börjades.

NÀrmare om Försvarets radioanstalt

PÄ samma sÀtt som för Försvarsmakten föreslÄs för Försvarets radio- anstalts behandling av personuppgifter ett kapitel om personupp- gifter som fÄr göras gemensamt tillgÀngliga. Enligt förslaget till ny reglering bör personuppgifter fÄ göras gemensamt tillgÀngliga och behandlas i uppgiftssamlingar om det behövs för nÄgot av de syften som anges i lagens andra kapitel. SÄledes omfattas, utöver försvars- underrÀttelse- och utvecklingsverksamheten, Àven informationssÀker- hetsverksamheten av den nya regleringen.

I den förordning som ska knyta an till lagen om behandling av personuppgifter vid Försvarets radioanstalt föreslÄr utredningen följande förÀndringar nÀr det gÀller uppgiftssamlingar. Enligt 3 § FRA-PuF ska rapportunderlag finnas i uppgiftssamlingar för analy- ser. Uppgiftssamlingarna för underrÀttelser fÄr enligt utredningens förslag innehÄlla rapportunderlag pÄ grund av det nÀra sambandet mellan rapportunderlag och underrÀttelserapporter. DÄ analyser och

209

ÖvervĂ€ganden och förslag

SOU 2018:63

bedömningar i underrÀttelserapporter bygger pÄ information i rapport- underlagen Àr det logiskt att underlagen behandlas enligt samma regler som de resulterande underrÀttelserapporterna.

NÀr personuppgifter i rapportunderlag och underrÀttelserappor- ter inte lÀngre behövs för de ÀndamÄl för vilka de behandlas ska de bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl. DÀr- med sÀkerstÀlls bl.a. möjligheterna att i ljuset av ny information vid behov ompröva tidigare analyser och bedömningar. Detta torde vara ett grundlÀggande krav pÄ all underrÀttelserapportering som kan ligga till grund för sÄdana aktiviteter som rapportmottagarna kan komma att genomföra baserade pÄ rapporteringen.

Vid Försvarets radioanstalt fÄr det finnas uppgiftssamlingar för informationssÀkerhetsverksamhet som innehÄller personuppgifter. De fÄr endast innehÄlla information om uppdragsgivare, information som rör it-angrepp samt bearbetningsunderlag och analysresultat.

Vidare fÄr det finnas uppgiftssamlingar för allmÀnt tillgÀnglig information som innehÄller personuppgifter. De fÄr endast innehÄlla information som finns eller har funnits pÄ internet eller i öppna databaser.

Slutligen fÄr det finnas uppgiftssamlingar för loggar som förs med stöd av bestÀmmelser i den föreslagna lagen.

6.5.2DirektÄtkomst till personuppgifter hos Försvarsmakten

Utredningens förslag: SÀkerhetspolisen och Försvarets radio- anstalt fÄr medges direktÄtkomst till personuppgifter som utgör bearbetningsunderlag och analysresultat inom försvarsunderrÀt- telseverksamheten och som finns i uppgiftssamlingar. Detta ska gÀlla Àven om uppgifterna omfattas av sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (uppgifter om enskilds perso- nliga och ekonomiska förhÄllanden).

Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrÀttelse- och sÀkerhets- samarbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det, en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till per- sonuppgifter som behandlas i försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar.

210

SOU 2018:63

ÖvervĂ€ganden och förslag

Regeringen kan meddela föreskrifter eller sÀrskilt beslut om vilka som i andra fall fÄr ha direktÄtkomst till gemensamt till- gÀngliga uppgifter.

Regeringen, eller den myndighet som regeringen bestÀmmer, kan meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktÄtkomsten, och

2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.

SkÀl för utredningens förslag: DirektÄtkomst innebÀr att nÄgon har direkt tillgÄng till en uppgiftssamling och kan söka efter information i denna, utan att kunna pÄverka innehÄllet i uppgiftssamlingen. Mottagare med direktÄtkomst kan i regel ocksÄ kopiera informa- tionen och dÀrefter bearbeta den. Informationsöverföringen sker utan att den som ansvarar för uppgiftssamlingen i det enskilda fallet tar stÀllning till om informationen ska lÀmnas ut. DirektÄtkomst innebÀr sÄledes att den myndighet som har sÄdan Ätkomst fritt kan avgöra vilka uppgifter den vill ta del av med den begrÀnsning som följer av offentlighets- och sekretesslagens bestÀmmelser. Om en myndighet har direktÄtkomst till uppgifter fÄr dessa dÀrför anses utlÀmnade i och med att ett system för direktÄtkomst upprÀttats. Det saknar betydelse om myndigheten faktiskt anvÀnder sig av en viss uppgift eller inte. Eftersom bestÀmmelser om direktÄtkomst inte har nÄgon sekretessbrytande verkan i sig, förutsÀtter direkt- Ätkomst att de aktuella uppgifterna inte omfattas av sekretess eller att det finns en skyldighet enligt lag eller förordning att lÀmna ut de aktuella uppgifterna till den som fÄr ha direktÄtkomst.

DirektÄtkomst för SÀkerhetspolisen och Försvarets radioanstalt

Av 1 kap. 15 § första stycket FM-PuL framgÄr att Försvarsmakten fÄr medge SÀkerhetspolisen och Försvarets radioanstalt direktÄtkomst till sÄdana uppgifter i en uppgiftssamling för försvarsunderrÀttelse- verksamhet som behövs för att myndigheterna, inom ramen för myndighetsöverskridande samverkan, ska kunna göra bedömningar pÄ strategisk nivÄ av terrorhotet mot Sverige och svenska intressen.

211

ÖvervĂ€ganden och förslag

SOU 2018:63

Denna samverkan mellan de tre myndigheterna sker vid Nationellt centrum för terrorhotbedömning (NCT).

TillgÄngen till sÄdana uppgifter ska enligt den bestÀmmelsen vara förbehÄllen de personer inom myndigheterna som pÄ grund av sina arbetsuppgifter inom sÄdan samverkan behöver ha tillgÄng till upp- gifterna. Enligt samma bestÀmmelse fÄr regeringen meddela före- skrifter om vilka myndigheter som i andra fall fÄr ha direktÄtkomst till uppgiftssamlingar. Vidare fÄr regeringen, eller den myndighet som regeringen bestÀmmer, meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten. Enligt bestÀm- melsen gÀller möjligheten att meddela föreskrifter Àven föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.

Enligt 1 kap. 15 a § FM-PuL har de berörda myndigheterna rÀtt att ta del av sÄdana uppgifter som avses i 15 § första stycket trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen. Sekretess gÀller enligt den paragrafen hos Försvarsmakten i försvarsunder- rÀttelseverksamheten och den militÀra sÀkerhetstjÀnsten för uppgift om enskilds personliga eller ekonomiska förhÄllanden, om det inte stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men.

I motiven till bestĂ€mmelserna i FM-PuL anförde regeringen att eftersom direktĂ„tkomst innebĂ€r att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktĂ„tkomsten – den vill ta del av, blir uppgifterna att anse som utlĂ€mnade i och med att direktĂ„tkomst medges. En myndighet kan dĂ€rför inte tillĂ„ta en annan myndighet direktĂ„tkomst till uppgifter, som vid en sekretessprövning, den senare myndigheten inte med sĂ€kerhet skulle ha rĂ€tt att ta del av. Eftersom de uppgifter som myn- digheterna inom ramen för samarbetet mot terrorism har för avsikt att lĂ€mna ut till varandra genom direktĂ„tkomst omfattas av sekretess behövde sekretessen enligt regeringen sekretessen sĂ„ledes pĂ„ för- hand brytas.

Regeringen konstaterade att det för Försvarsmaktens del finns en bestÀmmelse om uppgiftsskyldighet i 2 § lagen om försvarsunder- rÀttelseverksamhet. DÀr anges att underrÀttelser ska rapporteras till berörda myndigheter. Denna uppgiftsskyldighet omfattar enligt regeringen dock inte den typ av uppgifter som myndigheterna inom samarbetet har behov av att utbyta och som de skulle fÄ tillgÀng- liggöra genom direktÄtkomst.

212

SOU 2018:63

ÖvervĂ€ganden och förslag

Efter en genomgÄng av skilda sekretessbestÀmmelser fann reger- ingen att bestÀmmelsen i 38 kap. 4 § offentlighets- och sekretess- lagen om sekretess för uppgifter om enskildas personliga och ekono- miska för hÄllanden som har ett omvÀnt skaderekvisit borde brytas genom en bestÀmmelse om uppgiftsskyldighet. UtlÀmnande av upp- gifter som rör enskildas personliga och ekonomiska förhÄllanden torde i den aktuella situationen nÀstan alltid vara till skada eller men för den enskilde (prop. 2017/18:36 s. 29 f.).

Som nyss nÀmnts avser bestÀmmelserna om direktÄtkomst i 1 kap. 15 § första stycket FM-PuL sÄdana uppgifter som behövs för att Försvarsmakten, Försvarets radioanstalt och SÀkerhetspolisen, inom ramen för myndighetsöverskridande samverkan, ska kunna göra bedömningar pÄ strategisk nivÄ av terrorhotet mot Sverige och svenska intressen (NCT).

Försvarsmakten och Försvarets radioanstalt har Àven pÄ andra omrÄden ett nÀra samarbete med varandra nÀr det gÀller yttre militÀra hot mot landet, förutsÀttningar för svenskt deltagande i freds- frÀmjande och humanitÀra insatser eller hot mot sÀkerheten för svenska intressen vid genomförande av sÄdana insatser, konflikter utomlands med konsekvenser för internationell sÀkerhet och frÀm- mande makts agerande eller avsikter av vÀsentlig betydelse för svensk utrikes-, sÀkerhets- och försvarspolitik.

Försvarets radioanstalt och Försvarsmakten samarbetar vidare med varandra och med SÀkerhetspolisen nÀr det gÀller kartlÀggning av verksamhet som rör strategiska förhÄllanden avseende internatio- nell terrorism och annan grov grÀnsöverskridande brottslighet som kan hota vÀsentliga nationella intressen, utveckling och spridning av massförstörelsevapen, krigsmateriel, och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla anvÀnd- ningsomrÄden och av tekniskt bistÄnd, allvarliga yttre hot mot sam- hÀllets infrastruktur och frÀmmande underrÀttelseverksamhet mot svenska intressen.

Detta samarbete har stor betydelse för Sveriges försvar och sÀkerhet, inte minst mot bakgrund av den sÀkerhetspolitiska utveck- ling som har Àgt rum under de senast Ären. Samarbetet leder till att myndigheterna delger varandra underrÀttelser. NÄgra sekretess- hinder föreligger normalt inte för sÄdan delgivning. Samarbetet stÀller emellertid krav pÄ att myndigheterna pÄ ett arbetsbesparande sÀtt kan ta del Àven av andra uppgifter hos varandra som de behöver för

213

ÖvervĂ€ganden och förslag

SOU 2018:63

sin underrÀttelse- och sÀkerhetstjÀnst. Hos Försvarsmakten bör direktÄtkomsten för SÀkerhetspolisen och Försvarets radioanstalt avse personuppgifter som utgör bearbetningsunderlag och analys- resultat inom försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar.

En del av dessa uppgifter kan röra uppgifter om enskilds per- sonliga och ekonomiska förhÄllanden och kan dÀrför inte göras tillgÀngliga för direktÄtkomst utan ett sÀrskilt stöd i lag. BestÀm- melsen bör dÀrför uttryckligen ge ett stöd för att bryta sekretessen i 38 kap. 4 § offentlighets- och sekretesslagen.

DirektÄtkomst i internationellt försvars- och sÀkerhetssamarbete

Utvecklingen i Sverige och i omvÀrlden skÀrper kraven pÄ Sveriges förmÄga att vÀrna sin sÀkerhet. Detta gÀller inte minst pÄ omrÄdet försvarsunderrÀttelse- och sÀkerhetstjÀnst, dÀr internationell sam- verkan i mÄnga fall Àr helt nödvÀndig för att Försvarsmakten och Försvarets radioanstalt ska kunna lösa sina uppgifter pÄ detta omrÄde.

Samarbete sker i flera fall genom att ses och utbyta information i mötesform och/eller genom elektroniskt utlÀmnande av meddelan- den och rapporter. I de fall dÀr samarbete sker med stora behov av skyndsamhet, samt i de fall dÀr samarbete syftar till att gemensamt följa ett skeende, Àr det i vissa fall nödvÀndigt att inom ramen för samarbetet tillgÀngliggöra information genom direktÄtkomst.

Behov av skyndsamhet kan exempelvis uppstÄ inför ett förmodat förestÄende terrordÄd. Behov av att kunna medge direktÄtkomst kan Àven uppstÄ pÄ andra omrÄden sÄsom nÀr Försvarsmakten eller Försvarets radioanstalt följer ett underrÀttelsemÀssigt intressant skeende tillsammans med en internationell partner.

I sÄdana fall Àr det angelÀget att kunna tillgÀngliggöra ett samlat kunskapslÀge över tid, vilket lÀmpligen görs genom att Försvars- makten medger en partner direktÄtkomst till en uppgiftssamling som etablerats specifikt för detta samarbete.

För Försvarsmaktens del föreslÄs dÀrför en bestÀmmelse som innebÀr att en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst fÄr med- ges direktÄtkomst till personuppgifter som behandlas i försvars- underrÀttelseverksamheten och som finns i uppgiftssamlingar. Som förutsÀttning bör gÀlla att det behövs för samarbetet mot terrorism

214

SOU 2018:63

ÖvervĂ€ganden och förslag

eller vid svenskt deltagande i annat internationellt underrÀttelse- och sÀkerhetssamarbete. Vidare bör det bara fÄ ske i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det.

Reglering i förordning

Utredningen anser att i den förordning som knyter an till lagen bör föras in ytterligare föreskrifter om direktÄtkomst enligt vad som framgÄr av det följande och som till en del kommenteras.

Försvar och sÀkerhet

1.Försvarets materielverk fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. DirektÄtkomsten fÄr endast avse personuppgifter som rör Försvarsmaktens materiel- och logistik- försörjning och som har gjorts gemensamt tillgÀngliga.

För Försvarets materielverk finns ett behov av direktÄtkomst med anledning av uppdraget att materiel- och logistikförsörja Försvars- makten. Dessa gemensamt tillgÀngliga uppgifter innehÄller uppgifter om anstÀllda vid Försvarsmakten och Försvarets materielverk samt uppgifter om personer hos leverantörer.

2.Totalförsvarets rekryteringsmyndighet fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. DirektÄtkomsten fÄr endast avse personuppgifter som rör totalförsvarspliktiga och Försvars- maktens krigsorganisation och som har gjorts gemensamt tillgÀngliga.

För Totalförsvarets rekryteringsmyndighet finns behovet med anled- ning av uppdraget avseende totalförsvarspliktiga. Försvarsmakten har direktÄtkomst till system hos Totalförsvarets rekryteringsmyndighet.

3.Finlands försvarsmakt fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av

215

ÖvervĂ€ganden och förslag

SOU 2018:63

personuppgifter vid Försvarsmakten om det behövs för planering, för- beredelser och genomförande av stöd inom ramen för lagen (2019:000) om operativt militÀrt stöd mellan Sverige och Finland. DirektÄtkomsten fÄr endast avse personuppgifter som har gjorts gemensamt tillgÀngliga.

I betÀnkandet SOU 2018:31 föreslÄs en lag om operativt militÀrt stöd mellan Sverige och Finland. I betÀnkandet föreslÄs vidare en förordning om utlÀmnande av sekretessbelagda uppgifter vid opera- tivt stöd inom försvarssamarbetet mellan Sverige och Finland. Uppgift för vilken sekretess gÀller enligt 15 kap. 2 § offentlighets- och sekretesslagen (2009:400) fÄr enligt förslaget lÀmnas ut av Försvars- makten, Försvarets materielverk och Totalförsvarets forskningsinsti- tut till en finsk myndighet avseende planering, förberedelser och genomförande av stöd inom ramen för den föreslagna lagen om operativt militÀrt stöd mellan Sverige och Finland. BestÀmmelserna föreslÄs trÀda i kraft den 1 juli 2019. För ett effektivt planerings- och förberedelsearbete liksom för ett effektivt genomförande av sam- arbetet Àr finsk direktÄtkomst till uppgifter hos Försvarsmakten viktig. Uppgifterna kan innehÄlla personuppgifter, bl.a. personal hos Försvarsmakten men framför allt om personer hos motstÄndare eller andra aktörer.

FörsvarsunderrÀttelseverksamhet

1.Regeringskansliet, SÀkerhetspolisen, Nationella operativa avdelningen i Polismyndigheten, Inspektionen för strategiska produkter, Försvarets materielverk, Totalförsvarets forskningsinstitut, Myndigheten för sam- hÀllsskydd och beredskap och Tullverket fÄr medges direktÄtkomst till personuppgifter som utgör analysresultat och underrÀttelser och som finns i uppgiftssamlingar för försvarsunderrÀttelseverksamhet.

En motsvarande bestÀmmelse finns för Försvarets radioanstalt i 9 § FRA-PuL och tas in i den förordning som ska knyta an till den föreslagna lagen om behandling av personuppgifter vid Försvarets radioanstalt.

2.Om det behövs för samarbetet mot terrorism eller vid svenskt del- tagande i annat internationellt underrÀttelse- och sÀkerhetssamarbete

216

SOU 2018:63

ÖvervĂ€ganden och förslag

fÄr en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgifter som behandlas enligt 2 kap. 2 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling som Försvarsmakten upprÀttat i syfte att dela infor- mationen med mottagaren.

Innan direktÄtkomst medges en utlÀndsk underrÀttelse- eller sÀker- hetstjÀnst enligt första stycket ska Försvarsmakten underrÀtta Reger- ingskansliet (Försvarsdepartementet).

I Försvarsmaktens internationella samarbete med underrÀttelse- eller sÀkerhetstjÀnster i andra lÀnder Àr finns ett behov av att kunna dela med sig information. Detta Àr sÀrskilt pÄtagligt nÀr det gÀller samarbetet mot terrorism men gÀller Àven övrigt samarbete. Enligt Försvarsmaktens bedömning kan man i framtiden etablera sam- arbeten som tekniskt skulle göra det möjligt att medge direktÄtkomst hos Försvarsmakten. En sÄdan möjlighet gör samarbetet effektivare Àn annars, sÀrskilt i brÄdskande situationer.

MilitÀr sÀkerhetstjÀnst

1.SÀkerhetspolisen, Nationella operativa avdelningen i Polismyndig- heten, Myndigheten för samhÀllsskydd och beredskap, Migrationsverket, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forsk- ningsinstitut, Totalförsvarets rekryteringsmyndighet, Fortifikationsverket och Försvarshögskolan fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 1 och 2 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för sÀkerhetsunderrÀttelsetjÀnst.

Försvarsmakten har till uppgift enligt 39 § sÀkerhetsskyddsförord- ningen att kontrollera sÀkerhetsskyddet hos Fortifikationsverket, Försvarshögskolan, och de myndigheter som hör till Försvars- departementet. För dessa myndigheter, som Àr av sÀrskild vikt för totalförsvaret, behöver Försvarsmakten fÄ möjlighet att genom direktÄtkomst tillgÀngliggöra personuppgifter, kopplade till misstÀnkt eller konstaterad sÀkerhetshotande verksamhet. Syftet med detta Àr dels att göra det möjligt för Försvarsmakten att sprida kunskap om sÀkerhetshotande aktörer till de samverkande myndigheter som

217

ÖvervĂ€ganden och förslag

SOU 2018:63

saknar egen inhÀmtning pÄ sÀkerhetsunderrÀttelseomrÄdet, dels att möjliggöra löpande informationsspridning under pÄgÄende sÀker- hetshotande verksamhet.

Att Försvarsmakten har möjlighet att tillgÀngliggöra denna infor- mation genom direktÄtkomst innebÀr en vÀsentligt förbÀttrad möj- lighet för att kritisk information kan delges samverkande myndig- heter i tid.

För att Försvarsmakten ska kunna kartlÀgga verksamhet som utgör hot mot Sveriges sÀkerhet Àr myndigheten i flera fall beroende av samverkan med andra myndigheter. Detta gÀller dels de myndig- heter som bedriver egen uppföljning av sÀkerhetshotande verksamhet, sÄsom Polismyndigheten, SÀkerhetspolisen och Myndigheten för sam- hÀllsskydd och beredskap. För uppföljning av sÄdan sÀkerhetshotande verksamhet som Àr grÀnsöverskridande Àr Försvarsmakten vidare bero- ende av samverkan med Tullverket och Migrationsverket. Samverkan med dessa myndigheter bedrivs redan genom möten, översÀndande av rapporter m.m. Genom att Försvarsmakten har möjlighet att till- gÀngliggöra denna information genom direktÄtkomst ökar effekt- iviteten i samarbetet.

2.SÀkerhetspolisen fÄr medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 5 lag (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för sÀkerhetsskyddstjÀnst.

BestÀmmelsen motsvarar 9 § FM-PuF.

3.Om det behövs för samarbetet mot sÀkerhetshotande verksamhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen fÄr en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till person- uppgifter som behandlas med stöd av 2 kap. 5 § 1 och 2 och som finns i en avskild uppgiftssamling som Försvarsmakten upprÀttat i syfte att dela informationen med mottagaren. för sÀkerhetsunderrÀttelsetjÀnst.

Innan direktÄtkomst medges en utlÀndsk underrÀttelse- eller sÀker- hetstjÀnst ska Försvarsmakten underrÀtta Regeringskansliet (Försvars- departementet).

218

SOU 2018:63

ÖvervĂ€ganden och förslag

Liksom i försvarsunderrÀttelseverksamheten har Försvarsmakten i sin militÀra sÀkerhetstjÀnst ett behov av att kunna dela med sig infor- mation i samarbetet med underrÀttelse- eller sÀkerhetstjÀnster i andra lÀnder.

Enligt Försvarsmaktens bedömning kan man i framtiden etablera samarbeten som tekniskt skulle göra det möjligt att medge direkt- Ätkomst hos Försvarsmakten. En sÄdan möjlighet gör samarbetet effektivare Àn annars, sÀrskilt i brÄdskande situationer.

Omfattning av direktÄtkomst

Försvarsmakten beslutar om omfattningen av direktÄtkomst som följer av lag, förordning eller regeringens beslut i enskilt fall.

Försvarsmakten ska sÀkerstÀlla att förutsÀttningarna för direkt- Ätkomsten dokumenteras.

TillgÄngen till uppgifter hos mottagaren ska vara förbehÄllen de per- soner som pÄ grund av sina arbetsuppgifter behöver ha tillgÄng till uppgifterna.

DirektÄtkomst fÄr inte medges innan Försvarsmakten har försÀkrat sig om att mottagaren uppfyller kraven pÄ behörighet och sÀkerhet.

Utredningen föreslÄr till vissa delar ny reglering som möjliggör direktÄtkomst hos Försvarsmakten under sÀrskilt angivna premisser. I likhet med vad som följer av gÀllande regelverk Àr det Försvars- makten som beslutar i vilken omfattning direktÄtkomst bör medges. Den föreslagna bestÀmmelsen tydliggör detta. BestÀmmelsen slÄr ocksÄ fast att tillgÄngen av uppgifter hos mottagaren ska vara för- behÄllen de personer som pÄ grund av sina arbetsuppgifter behöver ha tillgÄng till uppgifterna, liksom att nÄgon direktÄtkomst inte kan medges innan dess att Försvarsmakten har försÀkrat sig om att mot- tagaren uppfyller kraven pÄ behörighet och sÀkerhet.

219

ÖvervĂ€ganden och förslag

SOU 2018:63

6.5.3DirektÄtkomst till personuppgifter hos Försvarets radioanstalt

Utredningens förslag: SÀkerhetspolisen och Försvarsmakten fÄr medges direktÄtkomst till personuppgifter som utgör analys- resultat inom försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar. Detta ska gÀlla Àven om uppgifterna omfattas av sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (uppgifter om enskilds personliga och ekonomiska förhÄllanden).

Om det behövs för samarbetet mot terrorism eller för annat internationellt sÀkerhetssamarbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgifter som behandlas i försvarsunder- rÀttelseverksamheten och som finns i uppgiftssamlingar.

Om det behövs för samarbetet mot it-relaterade hot mot sam- hÀllsviktiga system fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet med- ges direktÄtkomst till personuppgifter som behandlas i informa- tionssÀkerhetsverksamheten och som finns i uppgiftssamlingar.

Regeringen kan meddela föreskrifter eller sÀrskilt beslut om vilka som i andra fall fÄr ha direktÄtkomst till gemensamt till- gÀngliga uppgifter.

Regeringen, eller den myndighet som regeringen bestÀmmer, kan meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktÄtkomsten, och

2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.

SkÀl för förslaget: Vad direktÄtkomst innebÀr beskrivs i föregÄende avsnitt 6.5.2.

220

SOU 2018:63

ÖvervĂ€ganden och förslag

DirektÄtkomst för SÀkerhetspolisen och Försvarsmakten

Av 1 kap. 15 § första stycket FRA-PuL framgÄr att Försvarets radio- anstalt fÄr medge SÀkerhetspolisen och Försvarsmakten direktÄtkomst till sÄdana uppgifter i en uppgiftssamling för försvarsunderrÀttelse- verksamhet som behövs för att myndigheterna, inom ramen för myndighetsöverskridande samverkan, ska kunna göra bedömningar pÄ strategisk nivÄ av terrorhotet mot Sverige och svenska intressen. Denna samverkan mellan de tre myndigheterna sker vid Nationellt centrum för terrorhotbedömning (NCT).

TillgÄngen till sÄdana uppgifter ska enligt denna bestÀmmelse vara förbehÄllen de personer inom myndigheterna som pÄ grund av sina arbetsuppgifter inom sÄdan samverkan behöver ha tillgÄng till upp- gifterna. Enligt samma bestÀmmelser fÄr regeringen meddela före- skrifter om vilka myndigheter som i andra fall fÄr ha direktÄtkomst till uppgiftssamlingar. Vidare fÄr regeringen, eller den myndighet som regeringen bestÀmmer, meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten. Enligt bestÀm- melsen gÀller möjligheten att meddela föreskrifter Àven föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.

Enligt 1 kap. 15 a § FRA-PuL har de berörda myndigheterna rÀtt att ta del av sÄdana uppgifter som avses i 15 § första stycket trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen. Sekretess gÀller enligt den paragrafen hos Försvarets radioanstalt i försvars- underrÀttelse- och utvecklingsverksamheten för uppgift om enskilds personliga eller ekonomiska förhÄllanden, om det inte stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till denne lider skada eller men.

I motiven till bestĂ€mmelserna i FRA-PuL anförde regeringen att eftersom direktĂ„tkomst innebĂ€r att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktĂ„tkomsten – den vill ta del av, blir uppgifterna att anse som utlĂ€mnade i och med att direktĂ„tkomst medges. En myndighet kan dĂ€rför inte tillĂ„ta en annan myndighet direktĂ„tkomst till uppgifter, som vid en sekretessprövning, den senare myndigheten inte med sĂ€kerhet skulle ha rĂ€tt att ta del av. Eftersom de uppgifter som myn- digheterna inom ramen för samarbetet mot terrorism har för avsikt att lĂ€mna ut till varandra genom direktĂ„tkomst omfattas av sekretess

221

ÖvervĂ€ganden och förslag

SOU 2018:63

behövde sekretessen enligt regeringen sekretessen sÄledes pÄ för- hand brytas.

Regeringen konstaterade att för Försvarets radioanstalts del finns en bestÀmmelse om uppgiftsskyldighet i 2 § lagen om försvarsunder- rÀttelseverksamhet. DÀr anges att underrÀttelser ska rapporteras till berörda myndigheter. Denna uppgiftsskyldighet omfattar enligt reger- ingen dock inte den typ av uppgifter som myndigheterna inom sam- arbetet har behov av att utbyta och som de skulle fÄ tillgÀngliggöra genom direktÄtkomst.

Efter en genomgÄng av skilda sekretessbestÀmmelser fann reger- ingen att bestÀmmelsen i 38 kap. 4 § offentlighets- och sekretesslagen om sekretess för uppgifter om enskildas personliga och ekonomiska för hÄllanden som har ett omvÀnt skaderekvisit borde brytas genom en bestÀmmelse om uppgiftsskyldighet. UtlÀmnande av uppgifter som rör enskildas personliga och ekonomiska förhÄllanden torde i den aktuella situationen nÀstan alltid vara till skada eller men för den enskilde (prop. 2017/18:36 s. 29 f.).

Som nyss nÀmnts avser bestÀmmelserna om direktÄtkomst i 1 kap. 15 § första stycket FRA-PuL sÄdana uppgifter som behövs för att Försvarsmakten, Försvarets radioanstalt och SÀkerhetspolisen, inom ramen för myndighetsöverskridande samverkan, ska kunna göra bedömningar pÄ strategisk nivÄ av terrorhotet mot Sverige och svenska intressen (NCT).

Försvarets radioanstalt och Försvarsmakten har Àven pÄ andra omrÄden ett nÀra samarbete med varandra nÀr det gÀller yttre militÀra hot mot landet, förutsÀttningar för svenskt deltagande i fredsfrÀm- jande och humanitÀra insatser eller hot mot sÀkerheten för svenska intressen vid genomförande av sÄdana insatser, konflikter utomlands med konsekvenser för internationell sÀkerhet och frÀmmande makts agerande eller avsikter av vÀsentlig betydelse för svensk utrikes-, sÀkerhets- och försvarspolitik.

Försvarets radioanstalt och Försvarsmakten samarbetar vidare med varandra och med SÀkerhetspolisen nÀr det gÀller kartlÀggning av verksamhet som rör strategiska förhÄllanden avseende interna- tionell terrorism och annan grov grÀnsöverskridande brottslighet som kan hota vÀsentliga nationella intressen, utveckling och sprid- ning av massförstörelsevapen, krigsmateriel, och produkter som avses i lagen om kontroll av produkter med dubbla anvÀndnings- omrÄden och av tekniskt bistÄnd, allvarliga yttre hot mot samhÀllets

222

SOU 2018:63

ÖvervĂ€ganden och förslag

infrastruktur och frÀmmande underrÀttelseverksamhet mot svenska intressen.

Detta samarbete har stor betydelse för Sveriges försvar och sÀkerhet, inte minst mot bakgrund av den sÀkerhetspolitiska utveck- ling som har Àgt rum under de senast Ären. Samarbetet leder till att myndigheterna delger varandra underrÀttelser. NÄgra sekretesshinder föreligger normalt inte för sÄdan delgivning. Samarbetet stÀller emeller- tid krav pÄ att myndigheterna pÄ ett arbetsbesparande sÀtt kan ta del Àven av andra uppgifter hos varandra som de behöver för sin under- rÀttelse- och sÀkerhetstjÀnst. Hos Försvarets radioanstalt bör direkt- Ätkomsten för SÀkerhetspolisen och Försvarsmakten avse person- uppgifter som utgör analysresultat och som finns i uppgiftssamlingar.

En del av dessa uppgifter kan röra uppgifter om enskilds person- liga och ekonomiska förhÄllanden och kan dÀrför inte göras till- gÀngliga för direktÄtkomst utan ett sÀrskilt stöd i lag. BestÀmmelsen bör dÀrför uttryckligen ge ett stöd för att bryta sekretessen i 38 kap. 4 § offentlighets- och sekretesslagen.

DirektÄtkomst i internationellt försvarsunderrÀttelsesamarbete

Utvecklingen i Sverige och i omvÀrlden skÀrper kraven pÄ Sveriges förmÄga att vÀrna sin sÀkerhet. Detta gÀller inte minst försvars- underrÀttelseverksamheten dÀr internationell samverkan i mÄnga fall Àr helt nödvÀndigt för att Försvarets radioanstalt ska kunna lösa sina uppgifter pÄ detta omrÄde.

Samarbete sker i flera fall genom att utbyta information i mötes- form eller genom elektroniskt utlÀmnande av meddelanden och rapporter. I de fall dÀr samarbete sker med stora behov av skynd- samhet, samt i de fall dÀr samarbete syftar till att gemensamt följa ett skeende, Àr det i vissa fall nödvÀndigt att inom ramen för samarbetet tillgÀngliggöra information genom direktÄtkomst.

Behov av skyndsamhet kan exempelvis uppstÄ inför ett förmodat förestÄende terrordÄd. Behov av att kunna medge direktÄtkomst kan Àven uppstÄ pÄ andra omrÄden sÄsom nÀr eller Försvarets radio- anstalt följer ett underrÀttelsemÀssigt intressant skeende tillsam- mans med en internationell partner.

I sÄdana fall Àr det angelÀget att kunna tillgÀngliggöra ett samlat kunskapslÀge över tid, vilket lÀmpligen görs genom att Försvarets

223

ÖvervĂ€ganden och förslag

SOU 2018:63

radioanstalt medger en partner direktÄtkomst till personuppgifter som finns i uppgiftssamlingar.

För Försvarets radioanstalt föreslÄs dÀrför en bestÀmmelse som innebÀr att en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst fÄr med- ges direktÄtkomst till personuppgifter som behandlas i försvars- underrÀttelseverksamheten och som finns i uppgiftssamlingar. Som förutsÀttning bör gÀlla att det behövs för samarbetet mot terrorism eller för annat internationellt sÀkerhetssamarbete. Vidare bör det bara fÄ ske i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det.

DirektÄtkomst i internationellt informationssÀkerhetssamarbete

Utvecklingen pÄ informationssÀkerhetsomrÄde prÀglas av omfat- tande it-attacker och andra typer av intrÄng i viktiga informations- system. Företeelsen Àr global och krÀver internationellt samarbete mellan organisationer som verkar pÄ informationssÀkerhetsomrÄdet. KÀnnetecknande för samarbetet Àr att det ofta stÀller krav pÄ snabbt tillgÀnglig information för att man ska kunna vidta lÀmpliga ÄtgÀrder för att förhindra eller minimera skadeverkningar. Mot denna bak- grund föreslÄr utredningen att det ska vara möjligt för Försvarets radioanstalt att medge en utlÀndsk organisation inom informations- sÀkerhetsomrÄdet direktÄtkomst till personuppgifter som behandlas i informationssÀkerhetsverksamheten och som finns i uppgiftssam- lingar. Som förutsÀttning bör gÀlla att det behövs för samarbetet mot it-relaterade hot mot samhÀllsviktiga system. Vidare bör det Àven i detta fall bara fÄ ske i den utstrÀckning det följer av lag eller förord- ning eller om regeringen i ett enskilt fall beslutat om det.

Reglering i förordning

Utredningen anser att i den förordning som knyter an till lagen bör föras in ytterligare föreskrifter om direktÄtkomst enligt vad som framgÄr av det följande och som till en del kommenteras.

224

SOU 2018:63

ÖvervĂ€ganden och förslag

FörsvarsunderrÀttelseverksamhet

Regeringskansliet, SÀkerhetspolisen, Nationella operativa avdelningen i Polismyndigheten, Inspektionen för strategiska produkter, Försvars- makten, Försvarets materielverk, Totalförsvarets forskningsinstitut, Myn- digheten för samhÀllsskydd och beredskap och Tullverket fÄr medges direktÄtkomst till personuppgifter som utgör underrÀttelser och som finns i uppgiftssamlingar.

BestÀmmelsen motsvarar 9 § FRA-PuL.

InformationssÀkerhetsverksamhet

SÀkerhetspolisen och Försvarsmakten fÄr medges direktÄtkomst till per- sonuppgifter som utgör analysresultat och som behandlas i en uppgifts- samling för informationssÀkerhetsverksamhet.

Utvecklingen pÄ informationssÀkerhetsomrÄdet med ett ökande antal skadliga intrÄng i för samhÀllet viktiga och kÀnsliga informations- system krÀver ett nÀra samarbete mellan Försvarets radioanstalt, Försvarsmakten och SÀkerhetspolisen. Möjligheterna för SÀkerhets- polisen och Försvarsmakten att fÄ direktÄtkomst till personupp- gifter som utgör analysresultat hos Försvarets radioanstalt medför att samarbetet blir effektivare och att skyddet för de mest skydds- vÀrda informationssystemen kan stÀrkas.

Övrigt

Försvarets radioanstalt beslutar om omfattningen av direktÄtkomst som följer av lag, förordning eller regeringens beslut i enskilt fall.

Försvarets radioanstalt ska sÀkerstÀlla att förutsÀttningarna för direkt- Ätkomsten dokumenteras.

TillgÄngen till uppgifter ska vara förbehÄllen de personer som pÄ grund av sina arbetsuppgifter behöver ha tillgÄng till uppgifterna.

DirektÄtkomst fÄr inte medges innan Försvarets radioanstalt har försÀkrat sig om att den mottagande parten uppfyller kraven pÄ behörig- het och sÀkerhet.

225

ÖvervĂ€ganden och förslag

SOU 2018:63

Utredningen föreslÄr till vissa delar ny reglering som möjliggör direktÄtkomst hos Försvarets radioanstalt under sÀrskilt angivna premisser. I likhet med vad som följer av gÀllande bestÀmmelser Àr det Försvarets radioanstalt som beslutar i vilken omfattning direkt- Ätkomst bör medges. Den föreslagna bestÀmmelsen tydliggör detta. BestÀmmelsen slÄr ocksÄ fast att tillgÄngen av uppgifter hos mot- tagaren ska vara förbehÄllen de personer som pÄ grund av sina arbets- uppgifter behöver ha tillgÄng till uppgifterna, liksom att nÄgon direktÄtkomst inte kan medges innan dess att Försvarets radioanstalt har försÀkrat sig om att mottagaren uppfyller kraven pÄ behörighet och sÀkerhet.

6.6Skyldigheter som personuppgiftsansvarig

6.6.1Författningsenlig behandling genom lÀmpliga tekniska och organisatoriska ÄtgÀrder

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska genom lÀmpliga tekniska och organisatoriska ÄtgÀrder sÀkerstÀlla att behandlingen av personuppgifter Àr författnings- enlig och skydda rÀttigheterna för dem som uppgifterna rör.

SkÀl för utredningens förslag: NÄgon bestÀmmelse om att Försvars- makten och Försvarets radioanstalt genom lÀmpliga tekniska och organisatoriska ÄtgÀrder ska sÀkerstÀlla att behandlingen av person- uppgifter Àr författningsenlig och att den enskildes rÀttigheter skyd- das finns inte i FM-PuL eller FRA-PuL.

Förslaget till SÀkerhetspolisens datalag innehÄller bestÀmmelser om personuppgiftsansvarigas skyldigheter, dÀribland att vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att sÀkerstÀlla och kunna visa att behandlingen av personuppgifter Àr författningsenlig och att regi- strerades rÀttigheter skyddas. LÀmpliga tekniska och organisatoriska ÄtgÀrder ska enligt dessa bestÀmmelser vidtas med beaktande av behandlingens art, omfattning, sammanhang och ÀndamÄl och riskerna för fysiska personers rÀttigheter och friheter (SOU 2017:74).

I de föreslagna lagarna bör enligt utredningen införas en generell skyldighet för Försvarsmakten och Försvarets radioanstalt, att genom lÀmpliga tekniska och organisatoriska ÄtgÀrder sÀkerstÀlla att

226

SOU 2018:63

ÖvervĂ€ganden och förslag

behandlingen av personuppgifter Àr författningsenlig och att myn- digheterna skyddar rÀttigheterna för den vars uppgifter behandlas. Det Àr dÀremot inte möjligt att i de föreslagna lagarna nÀrmare ange vilka tekniska och organisatoriska ÄtgÀrder som Försvarsmakten och Försvarets radioanstalt bör vidta, utan detta fÄr avgöras beroende pÄ vilken verksamhet hos de bÄda myndigheterna det rör sig om.

Utredningen anser att ett krav pÄ att Försvarsmakten och Försvarets radioanstalt inte bara ska sÀkerstÀlla att behandlingen utförs författ- ningsenligt utan ocksÄ ska kunna visa att sÄ Àr fallet gÄr för lÄngt och skulle innebÀra betungande rutiner. Den tillsyn och kontroll som ska ske Àr en tillrÀcklig funktion.

Vilka omstÀndigheter som Försvarsmakten och Försvarets radio- anstalt ska beakta vid beslut om ÄtgÀrder enligt de föreslagna bestÀm- melserna bör regleras i de förordningar som ska knyta an till lagarna. DÀr bör anges att de tekniska och organisatoriska ÄtgÀrder som Försvarsmakten och Försvarets radioanstalt ska vidta ska vara rim- liga med beaktande av behandlingens art, omfattning, sammanhang och ÀndamÄl och de sÀrskilda riskerna med behandlingen.

6.6.2Myndigheterna ska föra loggar över personuppgiftsbehandling

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska sÀkerstÀlla att det i uppgiftsamlingar förs loggar över personuppgiftsbehandling.

Regeringen eller den myndighet regeringen bestÀmmer kan meddela föreskrifter om loggar.

SkÀl för utredningens förslag: Som framgÄr av avsnitt 6.6.4 ska myndigheterna enligt 3 kap. 2 § första stycket FM-PuL och FRA- PuL vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas. Ett led i att vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personupp- gifter som behandlas Àr loggning och logguppföljning. DÀrigenom sÀkerstÀlls att bestÀmmelser som ska skydda den personliga integ- riteten tillÀmpas korrekt. Ett grundlÀggande sÀkerhetskrav Àr att genom loggar skapa en sÄdan spÄrbarhet att man kan upptÀcka otillÄ- ten tillgÄng till personuppgifter eller om det sker otillÄtna sökningar.

227

ÖvervĂ€ganden och förslag

SOU 2018:63

Loggarna ska följas upp regelbundet och för att skapa en före- byggande effekt ska anvÀndarna informeras om att loggning och logguppföljning sker.

Varken i FM-PuL eller FRA-PuL finns nÄgon uttrycklig bestÀm- melse om loggning. Utredningen anser att en sÄdan bestÀmmelse för tydlighetens skull bör införas i de nya lagarna. Enligt den bör Försvarsmakten och Försvarets radioanstalt sÀkerstÀlla att det förs loggar över personuppgiftsbehandling av gemensamt tillgÀngliga uppgifter i den utstrÀckning regeringen eller den myndighet reger- ingen bestÀmmer föreskriver.

I de förordningar som ska knyta an till lagarna bör tas in före- skrifter om loggar.

För Försvarsmaktens del bör dÀr anges att skyldigheten att föra loggar gÀller myndighetens informationssystem som innehÄller gemensamt tillgÀngliga uppgifter.

För Försvarets radioanstalts del bör dÀr anges att Försvarets radioanstalt ska föra loggar i myndighetens informationssystem som innehÄller uppgiftssamlingar för försvarsunderrÀttelse- och informa- tionssÀkerhetsverksamhet. I bÄda fallen ska det av loggarna framgÄ vilken medarbetare eller annan som lÀst, skapat, Àndrat eller raderat personuppgifter, samt tidpunkten för ÄtgÀrden. I bÄda fallen ska skyldigheten att föra loggar inte gÀlla informationssystem som Ànnu inte börjat anvÀndas.

6.6.3Myndigheterna ska begrÀnsa tillgÄngen till personuppgifter

Utredningens förslag: I de föreslagna lagarna ska föras in en föreskrift om att tillgÄngen till personuppgifter ska alltid begrÀn- sas till vad var och en behöver för att kunna fullgöra sina arbets- uppgifter.

SkÀl för utredningens förslag: Av 1 kap. 16 § FM-PuL och FRA- PuL framgÄr att tillgÄngen till personuppgifter alltid ska begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsupp- gifter. Motiven finns i prop. 2006/07:46 s. 96. Utredningen anser att en motsvarande bestÀmmelse ska föras in i de nya lagarna.

228

SOU 2018:63

ÖvervĂ€ganden och förslag

6.6.4SÀkerheten för personuppgifter

Utredningens förslag: I de föreslagna lagarna ska föras in en föreskrift om att Försvarsmakten respektive Försvarets radio- anstalt ska vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot för- lust eller annan oavsiktlig skada.

SkĂ€l för utredningens förslag: Av 3 kap. 2 § FM-PuL och FRA- PuL framgĂ„r att Försvarsmakten respektive Försvarets radioanstalt ska vidta lĂ€mpliga tekniska och organisatoriska Ă„tgĂ€rder för att skydda de personuppgifter som behandlas. ÅtgĂ€rderna ska Ă„stad- komma en sĂ€kerhetsnivĂ„ som Ă€r lĂ€mplig med beaktande av de tek- niska möjligheter som finns, vad det skulle kosta att genomföra Ă„tgĂ€rderna, de sĂ€rskilda risker som finns med behandlingen av per- sonuppgifterna och hur pass kĂ€nsliga de behandlade personuppgifterna Ă€r. Motiven till bestĂ€mmelsen finns i prop. 2006/07:46 s. 95 f. Utred- ningen anser att en motsvarande bestĂ€mmelse bör införas i de nya lagarna.

6.6.5Dataskyddsombud

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska utse ett eller flera dataskyddsombud och anmÀla till tillsynsmyndigheten nÀr dataskyddsombud utses och entledigas.

Dataskyddsombudet ska

1.sjÀlvstÀndigt kontrollera att myndigheten behandlar person- uppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter,

2.informera och ge rÄd till myndigheten och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.samrÄda med tillsynsmyndigheten, och

229

ÖvervĂ€ganden och förslag

SOU 2018:63

4.föra en förteckning över de kategorier av behandlingar som myndigheten ansvarar för och som Àr helt eller delvis auto- matiserade.

Regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter om vad en förteckning som avses i 4 ska innehÄlla.

Om Försvarsmakten eller Försvarets radioanstalt bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas, ska dataskyddsombudet anmÀla det till tillsynsmyndigheten.

SkÀl för utredningens förslag: Enligt 4 kap. 1 § FM-PuL och FRA- PuL ska Försvarsmakten och Försvarets radioanstalt utse ett eller flera personuppgiftsombud och anmÀla dessa till tillsynsmyndigheten.

Personuppgiftsombudet har till uppgift att:

‱sjĂ€lvstĂ€ndigt se till att Försvarsmakten respektive Försvarets radio- anstalt behandlar personuppgifter pĂ„ ett lagligt och korrekt sĂ€tt och i enlighet med god sed samt pĂ„peka eventuella brister för myndigheten,

‱anmĂ€la till tillsynsmyndigheten om personuppgiftsombudet har anledning att misstĂ€nka att Försvarsmakten respektive Försvarets radioanstalt bryter mot de bestĂ€mmelser som gĂ€ller för behand- lingen av personuppgifter och inte vidtar rĂ€ttelse sĂ„ snart det kan ske efter pĂ„pekande,

‹Àven i övrigt samrĂ„da med tillsynsmyndigheten vid tveksamhet om hur de bestĂ€mmelser som gĂ€ller för behandlingen av per- sonuppgifter ska tillĂ€mpas,

‱föra en förteckning över de behandlingar som Försvarsmakten respektive Försvarets radioanstalt genomför och som Ă€r helt eller delvis automatiserade och

‱hjĂ€lpa registrerade att fĂ„ rĂ€ttelse nĂ€r det finns anledning att miss- tĂ€nka att behandlade personuppgifter Ă€r felaktiga eller ofull- stĂ€ndiga.

230

SOU 2018:63

ÖvervĂ€ganden och förslag

Motiven finns i prop. 2006/07:46 s. 98.

I den lagstiftning om behandling av personuppgifter som helt eller delvis bygger pÄ unionsrÀtten har benÀmningen personuppgiftsombud ersatts av benÀmningen dataskyddsombud. UnionsrÀtten Àr som tidi- gare anförts inte tillÀmplig pÄ den behandling av personuppgifter som omfattas av de lagförslag som utredningen lÀgger fram och utred- ningen anser inte att samma regler som gÀller för dataskyddsombud enligt dataskyddsförordningen bör gÀlla pÄ detta omrÄde. Dock finner utredningen att det Àr lÀmpligt att anvÀnda benÀmningen dataskydds- ombud i stÀllet för personuppgiftsombud i de lagförslag som utred- ningen lÀgger fram.

Dataskyddsombudet bör ha samma uppgifter som personupp- giftsombudet har enligt FM-PuL och FRA-PuL, med undantag av skyldigheten att hjÀlpa registrerade att fÄ rÀttelse nÀr det finns anled- ning att misstÀnka att behandlade personuppgifter Àr felaktiga eller ofullstÀndiga. Den uppgiften bör ligga pÄ den personuppgiftsansvarige.

6.6.6PersonuppgiftsbitrÀden

Utredningens förslag: Försvarsmakten respektive Försvarets radioanstalt fÄr, om det Àr lÀmpligt, anlita personuppgiftsbitrÀden för behandling av personuppgifter pÄ Försvarsmaktens respektive Försvarets radioanstalts vÀgnar. Innan ett personuppgiftsbitrÀde anlitas, ska myndigheten försÀkra sig om att bitrÀdet kommer att vidta de lÀmpliga tekniska och organisatoriska ÄtgÀrder som krÀvs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda rÀttigheterna för den som uppgifterna rör.

PersonuppgiftsbitrÀdets behandling av personuppgifter ska reg- leras i ett skriftligt avtal eller annan skriftlig överenskommelse.

Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personupp- giftsbitrÀde utan skriftligt tillstÄnd av myndigheten.

Ett personuppgiftsbitrÀde eller den eller de personer som arbetar under bitrÀdets eller myndighetens ledning ska behandla person- uppgifter i enlighet med instruktioner frÄn myndigheten.

Om ett personuppgiftsbitrÀde, i strid med myndighetens in- struktioner, bestÀmmer ÀndamÄlen med och medlen för behand- lingen, ska bitrÀdet anses vara personuppgiftsansvarig enligt den föreslagna lagen för den behandlingen.

231

ÖvervĂ€ganden och förslag

SOU 2018:63

Skyldigheten att sÀkerstÀlla att det förs loggar ska ocksÄ gÀlla för personuppgiftsbitrÀdet. Detsamma gÀller kravet pÄ att till- gÄngen till personuppgifter sak begrÀnsas till vad var och en behö- ver för att kunna fullgöra sina arbetsuppgifter.

PersonuppgiftsbitrÀdet ska ocksÄ vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄtenbehandling eller förstöring och mot förlust eller annan oavsiktlig skada.

SkÀl för utredningens förslag: Enligt 3 kap. 1 § FM-PuL och FRA- PuL fÄr ett personuppgiftsbitrÀde och den eller de personer som arbetar under bitrÀdet eller respektive myndighets ledning behandla personuppgifter bara i enlighet med instruktioner frÄn myndigheten. Det ska enligt bestÀmmelsen finnas ett skriftligt avtal om person- uppgiftsbitrÀdets behandling av personuppgifter för myndighetens rÀkning. I det avtalet ska sÀrskilt anges att personuppgiftsombudet fÄr behandla personuppgifterna bara i enlighet med instruktioner frÄn myndigheten och att personuppgiftsbitrÀdet Àr skyldigt att vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda personuppgifter som behandlas.

NÀr myndigheten anlitar ett personuppgiftsbitrÀde ska den enligt 3 kap. 2 § FM-PuL och FRA-PuL förvissa sig om att ett person- uppgiftsbitrÀde kan genomföra de sÀkerhetsÄtgÀrder som mÄste vid- tas och se till att personuppgiftsbitrÀdet verkligen vidtar ÄtgÀrderna.

Motiven till bestÀmmelserna finns i prop. 2006/07:46 s. 95. Utredningen anser att motsvarande reglering bör införas i de nya

lagarna. Följande föreskrifter bör dock lÀggas till.

Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personupp- giftsbitrÀde utan skriftligt tillstÄnd frÄn myndigheten.

Om ett personuppgiftsbitrÀde, i strid med myndighetens instruk- tioner, bestÀmmer ÀndamÄlen med och medlen för behandlingen, ska personuppgiftsbitrÀdet vara personuppgiftsansvarig enligt den före- slagna lagen för den behandlingen.

Skyldigheten att sÀkerstÀlla att det förs loggar ska ocksÄ gÀlla för personuppgiftsbitrÀdet. Detsamma gÀller kravet pÄ att tillgÄngen till personuppgifter sak begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

232

SOU 2018:63

ÖvervĂ€ganden och förslag

PersonuppgiftsbitrÀdet ska ocksÄ vidta lÀmpliga tekniska och orga- nisatoriska ÄtgÀrder för att skydda de personuppgifter som behand- las, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.

6.6.7BestÀmmelser om konsekvensbedömningar bör inte införas

Utredningens bedömning: SÀrskilda regler om konsekvensbedöm- ningar bör inte införas i de föreslagna lagarna.

SkÀl för utredningens bedömning: Enligt förslaget till SÀkerhets- polisens datalag ska SÀkerhetspolisen bedöma konsekvenserna för skyddet av personuppgifter om en typ av ny behandling, eller bety- dande förÀndringar avseende redan pÄgÄende behandling, kan antas medföra sÀrskild risk för intrÄng i registrerades personliga integritet. Bedömningen ska ske innan typen av behandling pÄbörjas eller för- Àndringen genomförs.

Om konsekvensbedömningen visar att det finns sÀrskild risk för intrÄng i registrerades personliga integritet eller om typen av behand- ling innebÀr sÀrskild risk för intrÄng, ska SÀkerhetspolisen samrÄda med tillsynsmyndigheten i god tid innan behandlingen pÄbörjas eller betydande förÀndringar genomförs (5 kap. 6 § förslaget till SÀker- hetspolisens datalag).

Reglerna om konsekvensbedömningar och skyldighet att sam- rÄda med tillsynsmyndigheten grundar sig pÄ unionsrÀtten. I sam- manhanget vill utredningen peka pÄ skÀl 93 i dataskyddsförordningen om konsekvensbedömningar. DÀr sÀgs att medlemsstaterna kan anse det nödvÀndigt att genomföra en sÄdan bedömning i samband med antagande av medlemsstaters nationella rÀtt som ligger till grund för utövande av myndighetens eller det offentliga organets uppgifter och reglerar den aktuella specifika behandlingsÄtgÀrden eller serien av ÄtgÀrder. Den lagstiftning som utredningen föreslÄr bestÄr till en icke ringa del av bedömningar av konsekvenserna för skyddet av personuppgifter. Utredningen konstaterar att unionsrÀtten inte gÀller de behandlingar av personuppgifter vid Försvarsmakten och Försvarets radioanstalt som utredningens lagförslag omfattar. Utredningen anser

233

ÖvervĂ€ganden och förslag

SOU 2018:63

att det inte heller finns nÄgra skÀl att föreslÄ att det i lagförslagen förs in bestÀmmelser om konsekvensbedömningar.

6.7Enskildas rÀttigheter

6.7.1AllmÀn information som ska göras tillgÀnglig

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska göra följande allmÀnna information tillgÀnglig:

1.Myndighetens identitet och kontaktuppgifter.

2.Uppgifter om dataskyddsombudet.

3.ÄndamĂ„len med behandlingen.

4.RÀtten att begÀra att fÄ information om behandling av per- sonuppgifter och att fÄ del av dem.

5.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen.

SkÀl för utredningens förslag: NÄgra regler om att myndigheterna ska hÄlla information allmÀnt tillgÀnglig finns inte i FM-PuL och FRA-PuL. Utredningen föreslÄr att viss information om Försvars- makten och Försvarets radioanstalt ska vara allmÀnt tillgÀnglig. Med allmÀn menas information som riktar sig till en obestÀmd krets av personer. I kravet pÄ att information ska vara tillgÀnglig ligger att allmÀnheten i princip ska ha möjlighet att ta del av informationen nÀr den önskar. Informationen kan t.ex. publiceras pÄ myndigheternas webbplatser eller finnas i en broschyr eller annan informationsskrift.

Utöver uppgifter om myndighetens identitet och kontaktupp- gifter föreslÄs i det följande att viss annan allmÀn information pÄ omrÄden som har anknytning till personuppgiftsbehandling ska göras allmÀnt tillgÀnglig av myndigheterna.

234

SOU 2018:63

ÖvervĂ€ganden och förslag

Uppgifter om dataskyddsombudet

Dataskyddsombud behandlas i avsnitt 6.6.5.

I likhet med vad som föreslÄs i SÀkerhetspolisens datalag anser utredningen att det finns skÀl att i lag ha föreskrifter om att hÄlla vissa uppgifter om dataskyddsombudet allmÀnt tillgÀngliga. Det finns emellertid inte skÀl att införa krav pÄ att dataskyddsombudets identitet eller direkta kontaktuppgifter, exempelvis hans eller hennes e-postadress, ska göras allmÀnt tillgÀngliga, utan det Àr tillrÀckligt att det framgÄr att det finns ett dataskyddsombud och hur allmÀnheten kan kontakta honom eller henne.

ÄndamĂ„len med behandlingen

Den information som Äsyftas i den föreslagna bestÀmmelsen avser, liksom de bestÀmmelser regeringen har föreslagit i brottsdatalagen (prop. 2017/18:232), att det Àr frÄga om upplysningar av generell karaktÀr som gÀller myndighetens personuppgiftsbehandling i all- mÀnhet. Det innebÀr att det inte Àr frÄga om ÀndamÄlen för behand- ling i varje enskilt fall som avses utan för vilka kategorier av ÀndamÄl personuppgifter fÄr behandlas. Det bör emellertid inte krÀvas en uttömmande upprÀkning av för vilka ÀndamÄl personuppgifter behand- las, utan det bör vara tillrÀckligt att enskilda genom informationen fÄr en god bild av den personuppgiftsbehandling som Försvarsmakten eller Försvarets radioanstalt utför.

Information om vissa rÀttigheter

Som angetts ovan ska Försvarsmakten respektive Försvarets radio- anstalt vidta vissa ÄtgÀrder efter begÀran av en enskild. NÄgon bestÀmmelse om att information om dessa rÀttigheter ska göra all- mÀnt tillgÀnglig finns inte i FM-PuL och FRA-PuL.

Utredningen anser att informationen ocksÄ ska avse rÀtten att fÄ information om behandling av personuppgifter och att fÄ del av dem liksom rÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen.

235

ÖvervĂ€ganden och förslag

SOU 2018:63

6.7.2Enskilds rÀtt till personrelaterad information hos Försvarsmakten

Utredningens förslag:

Information som ska lÀmnas om uppgifterna samlas in frÄn per- sonen sjÀlv.

Om uppgifter om en person samlas in frÄn personen sjÀlv, ska Försvarsmakten nÀr personuppgifterna erhÄlls, sjÀlvmant lÀmna följande information till den som uppgifterna rör:

1.uppgift om att det Àr Försvarsmakten som Àr personupp- giftsansvarig för behandlingen,

2.uppgift om ÀndamÄlen med behandlingen, och

3.all övrig information som behövs för att den som uppgifterna rör ska kunna ta till vara sina rÀttigheter i samband med behand- lingen, sÄsom information om mottagarna av uppgifterna, skyldighet att lÀmna uppgifter och rÀtten att ansöka om infor- mation och fÄ rÀttelse.

Information som ska lÀmnas efter begÀran

Försvarsmakten ska till den som begÀr det utan onödigt dröjsmÄl lÀmna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökanden fÄ del av dem och fÄ följande skriftliga information.

1.Vilka personuppgifter om sökanden som behandlas.

2.VarifrÄn personuppgifterna kommer.

3.Den rÀttsliga grunden för behandlingen.

4.ÄndamĂ„len med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven i annat land eller internationella organisationer.

6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.

7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen.

236

SOU 2018:63

ÖvervĂ€ganden och förslag

SÄdant utlÀmnande behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.

Ansökan ska göras skriftligen hos Försvarsmakten och vara undertecknad av den sökande sjÀlv. Information enligt första stycket ska lÀmnas inom en mÄnad frÄn det att ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.

SkÀl för utredningens förslag: BestÀmmelser om att lÀmna infor- mation finns i 2 kap. 1 och 2 §§ FM-PuL.

Information som ska lÀmnas om uppgifterna samlas in frÄn den som uppgifterna rör

Om uppgifter om en person samlas in i den militÀra sÀkerhetstjÀnsten frÄn den som personuppgifterna rör ska Försvarsmakten i samband med insamlingen sjÀlvmant lÀmna den registrerade information om behandlingen av uppgifterna. SÄdan information ska omfatta uppgift om att det Àr Försvarsmakten som Àr personuppgiftsansvarig för behandlingen, uppgift om ÀndamÄlen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rÀttigheter i samband med behandlingen, sÄsom information om mottagarna av uppgifterna, skyldighet att lÀmna uppgifter och rÀtten att ansöka om information och fÄ rÀttelse (2 kap. 1 § FM-PuL). Av samma bestÀmmelse framgÄr att information inte behöver lÀmnas om sÄdant som den registrerade redan kÀnner till.

Motiven finns i prop. 2006/07:46 s. 86 f. BestÀmmelsen tillÀmpas huvudsakligen i samband med sÀkerhetsprövning enligt sÀkerhets- skyddslagen inför bl.a. anstÀllning, uppdrag och tjÀnstgöring inom Försvarsmakten.

Information behöver inte lÀmnas om sÄdant som den person- uppgifterna rör redan kÀnner till. SÄdant som denne redan kÀnner till kan vara sÄdant som han eller hon vet t.ex. pÄ grund av att informa- tionen redan har lÀmnats i enlighet med annan lagstiftning eller nÀr den personuppgiftsansvarige avser att fortlöpande samla in uppgifter om den uppgifterna rör. Information behöver dÄ inte lÀmnas varje

237

ÖvervĂ€ganden och förslag

SOU 2018:63

gÄng nya uppgifter samlas in, om den uppgifterna rör en gÄng har fÄtt fullstÀndig information och sÄledes redan kÀnner till infor- mationen.

Liksom vid personuppgiftsbehandling inom ramen för den mili- tĂ€ra sĂ€kerhetstjĂ€nstens verksamhet förekommer situationer Ă€ven inom andra av Försvarsmaktens verksamhetsomrĂ„den dĂ€r uppgifter inhĂ€mtas frĂ„n den som personuppgifterna rör. Utredningen föreslĂ„r inte nĂ„gon förĂ€ndring betrĂ€ffande den informationsskyldighet som enligt nuvarande bestĂ€mmelser omfattar verksamhet inom den militĂ€ra sĂ€kerhetstjĂ€nsten. Som framgĂ„tt i tidigare avsnitt föreslĂ„r emellertid utredningen att den nya lagen om personuppgiftsbehandling inom Försvarsmakten ska ha ett utvidgat tillĂ€mpningsomrĂ„de. Även inom verksamhetsomrĂ„dena Sveriges försvar och sĂ€kerhet samt internatio- nellt sĂ€kerhets- och försvarssamarbete kan det förekomma situationer nĂ€r Försvarsmakten behandlar personuppgifter som har lĂ€mnats av den enskilde sjĂ€lv. Det Ă€r dĂ€rför inte lĂ€mpligt med lagens utvidgade tillĂ€mpningsomrĂ„de att Försvarsmaktens informationsskyldighet begrĂ€nsas till sĂ„dant som inhĂ€mtats inom ramen för den militĂ€ra sĂ€kerhetstjĂ€nsten, utan Försvarsmakten bör Ă€ven Ă„lĂ€ggas att lĂ€mna information om personuppgiftsbehandlingen som sker inom dessa tillkommande omrĂ„den, dvs. Sveriges försvar och sĂ€kerhet samt inter- nationellt sĂ€kerhets- och försvarssamarbete, nĂ€r uppgifterna hĂ€mtas frĂ„n den enskilde sjĂ€lv.

Information som ska lÀmnas efter begÀran

Enligt 2 kap. 2 § FM-PuL Àr Försvarsmakten skyldig att till var och en som ansöker om det en gÄng per kalenderÄr gratis lÀmna besked om huruvida personuppgifter som rör den sökande behandlas eller inte (Àrenden om personrelaterad information). En sökandes rÀtt enligt bestÀmmelserna att fÄ reda pÄ om personuppgifter som rör honom eller henne behandlas av Försvarsmakten gÀller inte i den utstrÀckning som sekretess hindrar att uppgifterna lÀmnas ut till den registrerade, vilket framgÄr av 2 kap. 4 § FM-PuL. I motiven till bestÀmmelsen (prop. 2006/07:46 s. 89) anges att den sekretess som gÀller för Försvarsmaktens verksamheter inom de omrÄden som regleras av FM-PuL innebÀr att information sÀllan kommer lÀmnas

238

SOU 2018:63

ÖvervĂ€ganden och förslag

ut, men att bestÀmmelser om information fyller en viktig funktion i de fall dÀr sekretess inte gÀller för uppgifterna.

SekretessbestÀmmelser som begrÀnsar den enskildes rÀtt till insyn gÀller emellertid inte i förhÄllande till Datainspektionen, som ska utöva tillsyn över Försvarsmaktens personuppgiftsbehandling inom Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀker- hetstjÀnst. Vid tillsyn har Datainspektionen rÀtt att fÄ tillgÄng till de personuppgifter som behandlas, upplysningar om dokumentation av behandlingen av personuppgifter och sÀkerheten vid denna samt tilltrÀde till sÄdana lokaler som har anknytning till behandlingen av personuppgifter (se nÀrmare om detta i avsnitt 6.8.1).

Försvarsmakten hanterar Ă„rligen Ă€renden om begĂ€ran om infor- mation enligt FM-PuL3, vilka sĂ€llan leder till annat Ă€n besked om att uppgifter som behandlas inom Försvarsmaktens försvarsunderrĂ€t- telseverksamhet och militĂ€ra sĂ€kerhetstjĂ€nst omfattas av sekretess om det kan antas att det skadar Sveriges försvar eller pĂ„ annat sĂ€tt vĂ„llar fara för rikets sĂ€kerhet om uppgifterna röjs. Även ett besked om att uppgifterna om en person inte förekommer i Försvarsmaktens för- svarsunderrĂ€ttelseverksamhet eller militĂ€ra sĂ€kerhetstjĂ€nst kan vĂ„lla sĂ„dan skada. DĂ€rutöver lĂ€mnar Försvarsmakten generell informa- tion om i vilka Ă€rendehanteringssystem och andra administrativa system som personuppgifter kan komma att behandlas enligt per- sonuppgiftslagen.

Utredningen bedömer att rĂ€tten att begĂ€ra information fortsatt Ă€r en viktig del i den enskildes rĂ€tt att i möjligaste mĂ„n informera sig om hur och i vilka sammanhang dennes personuppgifter behandlas. Även om det stĂ„r klart att en begĂ€ran om sĂ„dan information, i vart fall inom Försvarsmaktens försvarsunderrĂ€ttelseverksamhet och militĂ€ra sĂ€kerhetstjĂ€nst, sannolikt inte leder till annat Ă€n besked om att redan det förhĂ„llandet huruvida den enskildes personuppgifter förekommer i dessa verksamheter eller inte omfattas av sekretess, finns skĂ€l att behĂ„lla denna begrĂ€nsade möjlighet till insyn för den enskilde. Den föreslagna lagstiftningens utvidgade tillĂ€mpningsomrĂ„de gör att denna möjlighet till insyn omfattar fler omrĂ„den Ă€n tidigare.

3Att skilja frÄn utlÀmningsÀrenden om allmÀnna handlingar. Försvarsmakten hanterade 43 Àren- den om registerutdrag Är 2015, 15 Är 2016, 17 Är 2017 och 8 till och med mars 2018.

239

ÖvervĂ€ganden och förslag

SOU 2018:63

6.7.3Enskilds rÀtt till personrelaterad information hos Försvarets radioanstalt

Utredningens förslag: Försvarets radioanstalt Àr skyldig att till den som begÀr det utan onödigt dröjsmÄl en gÄng per kalenderÄr lÀmna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökanden fÄ del av dem och fÄ följande skriftliga information.

1.Vilka personuppgifter om den sökande som behandlas.

2.VarifrÄn personuppgifterna kommer.

3.Den rÀttsliga grunden för behandlingen.

4.ÄndamĂ„len med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven i annat land eller internationella organisationer.

6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.

7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av be- handlingen.

SÄdant utlÀmnande behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.

Ansökan ska göras skriftligen hos Försvarets radioanstalt och vara undertecknad av den sökande sjÀlv. Information enligt första stycket ska lÀmnas inom en mÄnad frÄn det att ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.

SkÀl för utredningens förslag: PÄ samma sÀtt som Försvarsmakten Àr Försvarets radioanstalt enligt 2 kap. 1 § FRA-PuL skyldig att till var och en som ansöker om det en gÄng per kalenderÄr gratis lÀmna besked om huruvida personuppgifter som rör den sökande behand- las eller inte. En sökandes rÀtt enligt bestÀmmelsen att fÄ reda pÄ om personuppgifter som rör honom eller henne behandlas av Försvarets radioanstalt gÀller inte i den utstrÀckning som sekretess hindrar att

240

SOU 2018:63

ÖvervĂ€ganden och förslag

uppgifterna lÀmnas ut till den registrerade, se vidare hÀrom i av- snitt 6.7.4. Ovan angivna motivuttalanden om sekretess gÀller Àven för Försvarets radioanstalts verksamhet och innebÀr pÄ samma sÀtt som för Försvarsmakten att information sÀllan kommer lÀmnas ut, men att bestÀmmelser om information fyller en viktig funktion i de fall dÀr sekretess inte gÀller för uppgifterna.

Försvarets radioanstalt har hittills i samtliga Ă€renden om person- relaterad information som handlagts med stöd av FRA-PUL konsta- terat att sekretess enligt 15 kap. 2 § offentlighets- och sekretesslagen (försvarssekretess) föreligger. Även uppgifter om att en person inte förekommer hos Försvarets radioanstalt har bedömts omfattas av nĂ€mnda sekretess. I samtliga dessa Ă€renden har sökanden sĂ„ledes fĂ„tt avslag pĂ„ sin begĂ€ran, oavsett om det förekommer uppgifter om sökanden eller inte inom försvarsunderrĂ€ttelse- och utvecklings- verksamheten. Enskilda har dĂ€rmed inte kunnat kontrollera om eller i vilken omfattning det hos Försvarets radioanstalt behandlas per- sonuppgifter om honom eller henne inom dessa verksamheter. Det kan mot denna bakgrund argumenteras för att bestĂ€mmelsen inte fyller den funktion som antagits under lagstiftningsprocessen vid införandet av FRA-PuL. I sammanhanget kan nĂ€mnas att Europa- domstolen i ett avgörande den 19 juni 2018 om lagstiftningen om signalspaning i försvarsunderrĂ€ttelseverksamhet i denna sak har funnit att ”the Court cannot find that it has practical importance”.

Av 5 kap. 1 § FRA-PuL och anslutande förordning framgÄr att Datainspektionen ska utöva tillsyn över Försvarets radioanstalts personuppgiftsbehandling inom försvarsunderrÀttelse- och utveck- lingsverksamheten. Vid tillsyn har Datainspektionen pÄ samma sÀtt som hos Försvarsmakten rÀtt att fÄ tillgÄng till de personuppgifter som behandlas, upplysningar om dokumentation av behandlingen av personuppgifter och sÀkerheten vid denna samt tilltrÀde till sÄdana lokaler som har anknytning till behandlingen av personuppgifter.

Mot bakgrund av den strÀnga sekretess som gÀller för Försvarets radioanstalts verksamhet har det, utöver Datainspektionens tillsyn, införts sÀrskild granskning till skydd för den personliga integriteten (prop. 2006/07:46 s. 101). Statens inspektion för försvarsunderrÀt- telseverksamheten (Siun) har till uppgift att granska Försvarets radio- anstalts personuppgiftsbehandling enligt FRA-PuL. Denna gransk- ning inskrÀnker inte Datainspektionens övergripande ansvar utan utgör en sÀrskild granskning i syfte att kompensera för enskildas

241

ÖvervĂ€ganden och förslag

SOU 2018:63

begrÀnsade möjlighet till insyn i personuppgiftsbehandlingen inom försvars- och utvecklingsverksamheten. Siun Àr Àven kontrollmyn- dighet enligt lagen om försvarsunderrÀttelseverksamhet och lagen om signalspaning i försvarsunderrÀttelseverksamhet.

Efter FRA-PuL:s tillkomst har det genom 10 a § lagen om signal- spaning i försvarsunderrÀttelseverksamhet införts en möjlighet för enskilda att begÀra att Siun ska kontrollera om hans eller hennes meddelanden har inhÀmtats i samband med signalspaning och, om sÄ Àr fallet, huruvida inhÀmtningen och behandlingen av inhÀmtade uppgifter har skett i enlighet med lag. Lagenligheten ska inte endast bedömas med utgÄngspunkt frÄn lagen om signalspaning i försvars- underrÀttelseverksamhet utan ocksÄ frÄn vad som Àr föreskrivet i frÄga om behandling av personuppgifter (prop. 2008/09:201 s. 92). Kontrollen som Siun utför pÄminner om de sökningar som Försvarets radioanstalt utför efter ansökan enligt 2 kap. 1 § FRA-PuL. Siun ska underrÀtta den enskilde om att kontrollen har utförts.

Försvarets radioanstalt har mottagit fÄ ansökningar om personal- relaterad information. Varje ansökan innebÀr emellertid en resurs- krÀvande arbetsinsats vars resultat inte kommer att redovisas för den sökande med hÀnsyn till sekretess. Siuns kontroll enligt 10 a § lagen om signalspaning i försvarsunderrÀttelseverksamhet innebÀr ocksÄ att Försvarets radioanstalts it-system söks igenom. DÀrutöver till- kommer att Försvarets radioanstalts personuppgiftsbehandling Àr föremÄl för tillsyn av Datainspektionen och sÀrskild granskning av Siun. Detta talar för att behandlingen av personuppgifter inom Försvarets radioanstalt Àr föremÄl för en sÄ omfattande och oberoende statlig kontroll att det kan ifrÄgasÀttas om möjligheten för enskilda att ansöka om personrelaterad information inom Försvarets radioanstalt försvarsunderrÀttelse- och utvecklingsverksamhet bör vara kvar. Att inte behÄlla möjligheten för enskilda att begÀra registerutdrag frÄn Försvarets radioanstalt skulle dock innebÀra en inskrÀnkning i, den i praktiken mycket begrÀnsade, rÀtten att fÄ del av information om myndighetens personuppgiftsbehandlingar. Att rÀtten sÀllan utnyttjas eller tillÀmpningen hittills inte har lett till nÄgot resultat för den enskilde bör inte föranleda att denna rÀttighet inskrÀnks.

Eftersom tillÀmpningsomrÄdet för den nya lagen föreslÄs utökas till att Àven avse informationssÀkerhetsverksamheten, bör den före- slagna bestÀmmelsen Àven omfatta enskildas rÀtt till information som Försvarets radioanstalt behandlar inom denna verksamhetsgren.

242

SOU 2018:63

ÖvervĂ€ganden och förslag

6.7.4BegrÀnsning av rÀtten till information

Utredningens förslag: Informationsskyldigheten gÀller inte i den utstrÀckning sekretess hindrar att uppgifterna lÀmnas ut. Om den förutsÀttningen Àr uppfylld Àr Försvarsmakten respektive Försvarets radioanstalt inte skyldig att lÀmna ut skÀlen för beslut om att inte lÀmna ut dessa uppgifter. Samma sak gÀller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behandlingen.

Informationsskyldigheten avseende information som ska lÀmnas om uppgifterna samlas in frÄn personen sjÀlv samt information som ska lÀmnas efter begÀran, gÀller inte personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller som utgör minnesanteckning eller liknande. Informationsskyl- digheten gÀller dock om uppgifterna har lÀmnats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller histo- riska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats lÀngre Àn ett Är.

SkÀl för utredningens förslag: Enskildas rÀtt till information begrÀnsas av bestÀmmelser om sekretess (2 kap. 4 § FM-PuL och 2 kap. 3 § FRA-PuL). Motiven finns i prop. 2006/07:46 s. 89. Liksom anför- des av regeringen i motiven till de nuvarande bestÀmmelserna om enskildas rÀtt till information, Àr mÄnga uppgifter som behandlas i Försvarsmaktens och Försvarets radioanstalts verksamheter till skydd för rikets sÀkerhet eller dess förhÄllande till andra stater eller mellanfolkliga organisationer (15 kap. 1 och 2 §§ offentlighets- och sekretesslagen). Den informationsskyldighet som föreslÄs i detta betÀnkande ska dÀrför, pÄ motsvarande sÀtt som enligt FM-PuL och FRA-PuL, inte gÀlla i den utstrÀckning sekretess hindrar att upp- gifterna lÀmnas ut till den som uppgifterna rör. Eftersom skÀlen för beslut om sekretess kan ge ledning om uppgifternas innehÄll, ska inte heller skÀlen för beslut om sekretess lÀmnas till den som gett in begÀran. Redan uppgiften om huruvida en enskilds personuppgifter behandlas av Försvarsmakten eller Försvarets radioanstalt kan sÄledes omfattas av sekretess. Detsamma gÀller frÄgor som rör rÀttelse, radering eller begrÀnsning av behandling av personuppgifter i dessa sammanhang.

Av 2 kap. 3 § FM-PuL och 2 kap. 2 § FRA-PuL framgÄr att infor- mation som har begÀrts av en enskild inte behöver lÀmnas om

243

ÖvervĂ€ganden och förslag

SOU 2018:63

personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr ansökan gjordes eller som utgör minnesanteckning eller lik- nande. Detta gÀller dock inte om uppgifterna har lÀmnats ut till tredje man eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats under lÀngre tid Àn ett Är. Motiven finns i prop. 2006/07:46 s. 87 f.

Motsvarande bestÀmmelser bör införas Àven i de nya lagarna.

6.7.5RÀtten till rÀttelse, radering och begrÀnsning av behandlingen

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska pÄ begÀran av den som personuppgiften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med de föreslagna lagarna eller föreskrifter som har meddelats med stöd av dessa lagar.

Försvarsmakten och Försvarets radioanstalt ska ocksÄ under- rÀtta tredje part till vilken uppgifterna har lÀmnats ut om ÄtgÀr- den, om den som personuppgiften rör begÀr det eller om en mera betydande skada eller olÀgenhet för denne skulle kunna undvikas genom en underrÀttelse.

NÄgon underrÀttelse till tredje part behöver dock inte lÀmnas, om sekretess hindrar det eller detta Àr omöjligt eller skulle inne- bÀra en oproportionerligt stor arbetsinsats.

SkÀl för utredningens förslag: Av 2 kap. 5 § FM-PuL och 2 kap. 4 § FRA-PuL framgÄr att Försvarsmakten respektive Försvarets radio- anstalt Àr skyldig att pÄ begÀran av den registrerade snarast rÀtta, blockera eller utplÄna sÄdana personuppgifter som inte har behand- lats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen. Myndigheterna ska ocksÄ underrÀtta tredje man till vilken uppgifterna har lÀmnats ut om ÄtgÀrden, om den registre- rade begÀr det eller om mera betydande skada eller olÀgenhet för den registrerade skulle kunna undvikas genom en underrÀttelse. NÄgon sÄdan underrÀttelse behöver dock inte lÀmnas, om detta Àr omöjligt eller skulle innebÀra en oproportionerligt stor arbetsinsats. Motiven

244

SOU 2018:63

ÖvervĂ€ganden och förslag

finns i prop. 2006/07:46 s. 89 f. I det i avsnitt 6.7.3 beskrivna avgöran- det av Europadomstolen har domstolen uttalat att ”that remedy must be deemed to be ineffective i practice”.

Vad som gÀller enligt FM-PuL och FRA-PuL föreslÄs trots detta Àven gÀlla enligt de nya lagarna.

6.7.6Avgifter samt beslut om avslag vid upprepad begÀran

Utredningens förslag: AllmÀn information som Försvarsmakten och Försvarets radioanstalt ska göra tillgÀnglig samt information som Försvarsmakten ska lÀmna om uppgifterna samlas in frÄn personen sjÀlv, ska lÀmnas av respektive myndighet utan avgift.

Information som Försvarsmakten och Försvarets radioanstalt ska lÀmna efter begÀran frÄn den som uppgiften rör ska lÀmnas utan avgift en gÄng per kalenderÄr. Om nÄgon begÀr sÄdan information om uppgifter oftare Àn en gÄng per kalenderÄr, fÄr Försvars- makten och Försvarets radioanstalt avslÄ begÀran.

SkÀl för utredningens förslag: Som angetts i avsnitt 6.7.2 och 6.7.3 Àr Försvarsmakten respektive Försvarets radioanstalt skyldig att till var och som ansöker om det, en gÄng per kalenderÄr gratis lÀmna besked om huruvida personuppgifter som rör den sökande behandlas eller inte (2 kap. 2 § FM-PuL och 2 kap. 1 § FRA-PuL). Hur en upprepad begÀran inom samma kalenderÄr bör behandlas framgÄr emellertid inte av regeringens motiv till bestÀmmelserna. Utred- ningen anser att motsvarande bestÀmmelser ska införas Àven i de nya lagarna. De nya bestÀmmelserna bör dock göra det möjligt för Försvarsmakten respektive Försvarets radioanstalt att avslÄ upp- repad begÀran om registerutdrag, dvs. begÀran som inkommer till myndigheterna oftare Àn en gÄng per kalenderÄr. En sÄdan begrÀns- ning inskrÀnker inte rÀtten att begÀra ut allmÀnna handlingar. Ett beslut om avslag pÄ grund av att begÀran Àr upprepad bör inte kunna överklagas, se vidare avsnitt 6.9.2.

245

ÖvervĂ€ganden och förslag

SOU 2018:63

6.8Tillsyn och kontroll

6.8.1Tillsynsmyndighetens funktion, uppgifter och befogenheter

Utredningens förslag: Den myndighet som regeringen bestÀm- mer ska utöva allmÀn tillsyn över Försvarsmaktens och Försvarets radioanstalts behandling av personuppgifter.

Tillsynsmyndigheten ska ge rÄd och stöd till Försvarsmakten och Försvarets radioanstalt om respektive myndighets skyldig- heter enligt lag eller annan författning eller nÀr det i övrigt Àr pÄkallat.

Tillsynsmyndigheten har rÀtt att av Försvarsmakten eller För- svarets radioanstalt eller ett personuppgiftsbitrÀde pÄ begÀran fÄ

1.tillgÄng till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av personuppgifter och sÀkerhets- och skyddsÄtgÀrder,

3.tilltrÀde till sÄdana lokaler som har anknytning till behandling av personuppgifter och tillgÄng till utrustning och andra medel för behandling av personuppgifter, och

4.det bitrÀde och annan information som behövs för tillsynen.

Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom rÄd, rekommendationer eller pÄpekanden försöka förmÄ Försvarsmakten eller Försvarets radio- anstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att minska den risken.

Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning. Detsamma gÀller om pÄgÄende behand- ling riskerar att stÄ i strid med lag eller annan författning.

Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning, eller att Försvars- makten eller Försvarets radioanstalt eller ett personuppgiftsbitrÀde annars inte fullgör sina skyldigheter, fÄr tillsynsmyndigheten

246

SOU 2018:63

ÖvervĂ€ganden och förslag

1.genom sÄdana ÄtgÀrder som anges i det föregÄende försöka förmÄ Försvarsmakten eller Försvarets radioanstalt eller per- sonuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

2.förelÀgga Försvarsmakten eller Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter.

Om ett förelÀggande utfÀrdas ska det av förelÀggandet framgÄ nÀr ÄtgÀrderna senast ska vara genomförda, och om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas.

I förslaget till lag om behandling av personuppgifter vid För- svarets radioanstalt ska det tas in en bestÀmmelse som upplyser om att det i lagen (2008:717) om signalspaning i försvarsunder- rÀttelseverksamhet finns sÀrskilda bestÀmmelser om kontroll som rör Försvarets radioanstalts behandling av personuppgifter i försvarsunderrÀttelse- och utvecklingsverksamheten.

SkĂ€l för utredningens förslag: BestĂ€mmelser om tillsynsmyndig- hetens funktion, uppgifter och befogenheter finns i 5 kap. 1–4 §§ FM-PuL och FRA-PuL. Tillsynsmyndigheten har rĂ€tt att för sin tillsyn pĂ„ begĂ€ran fĂ„,

1.tillgÄng till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och sÀkerhets- och skyddsÄtgÀrder,

3.tilltrÀde till sÄdana lokaler som har anknytning till behandlingen av personuppgifter.

4.Om tillsynsmyndigheten konstaterar att personuppgifter behand- las eller kan komma att behandlas pÄ ett olagligt sÀtt, ska myn- digheten genom pÄpekanden eller liknande förfarande en försöka Ästadkomma rÀttelse.

Tillsynsmyndigheten fÄr hos förvaltningsrÀtten inom vars domkrets tillsynsmyndigheten Àr belÀgen ansöka om att sÄdana personuppgifter som har behandlats olagligt ska utplÄnas. Beslut om utplÄnande fÄr inte meddelas om det Àr oskÀligt.

247

ÖvervĂ€ganden och förslag

SOU 2018:63

Motiven finns i prop. 2006/07:46 s. 99 ff.

Utredningen anser att de bestĂ€mmelser som reglerar tillsyns- och kontrollmyndigheternas funktion, uppgifter och befogenheter enligt nuvarande lagstiftning bör föras in i de nya lagarna med undantag av möjligheten att hos förvaltningsrĂ€tten ansöka om utplĂ„ning av personuppgifter. SĂ„vitt Ă€r kĂ€nt för utredningen har nĂ„got sĂ„dant inte förekommit eller varit aktuellt. I stĂ€llet föreslĂ„r utredningen att om tillsynsmyndigheten i sin tillsyn uppmĂ€rksammar förhĂ„llanden som kan utgöra brott, ska myndigheten anmĂ€la det till Åklagarmyndig- heten. BestĂ€mmelser om detta kan tas in i de förordningar som ska knyta an till lagarna.

HÀrutöver föreslÄr utredningen nÄgra tillÀgg i lagstiftningen. Det bör uttryckligen framgÄ att tillsynsmyndigheten ska ge rÄd

och stöd till Försvarsmakten och Försvarets radioanstalt om myn- digheternas skyldigheter enligt lag eller annan författning eller nÀr det i övrigt Àr pÄkallat. Det bör Àven framgÄ att tillsynsmyndigheten pÄ begÀran ska fÄ upplysningar om och dokumentation av behand- lingen av personuppgifter och sÀkerhets- och skyddsÄtgÀrder vid behandlingen. Vidare bör tillsynsmyndigheten utöver rÀtten till till- trÀde till sÄdana lokaler som har anknytning till behandling av per- sonuppgifter Àven fÄ tillgÄng till utrustning och andra medel för behandling av personuppgifter. Slutligen bör tillsynsmyndigheten fÄ det bitrÀde och annan information som behövs för tillsynen.

Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom rÄd, rekommendationer eller pÄpekanden försöka förmÄ den personuppgiftsansvarige att vidta ÄtgÀrder för att minska den risken.

Om en pÄgÄende eller planerad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning fÄr tillsyns- myndigheten utfÀrda en skriftlig varning.

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att den personuppgifts- ansvarige annars inte fullgör sina skyldigheter, fÄr tillsynsmyndig- heten försöka förmÄ eller förelÀgga den personuppgiftsansvarige att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att uppfylla eller fullgöra andra skyldigheter.

248

SOU 2018:63

ÖvervĂ€ganden och förslag

6.8.2Rapporteringsskyldighet för personuppgiftsincidenter bör inte införas i de nya lagarna

Utredningens bedömning: BestÀmmelser om sÀrskild rapporter- ingsskyldighet av personuppgiftsincidenter till tillsynsmyndig- heten och den som personuppgifterna rör, bör inte införas i de nya lagarna.

SkÀl för utredningens bedömning: Personuppgiftsincident Àr ett nytt begrepp som varken har funnits i tidigare personuppgiftslagar eller FM-PuL respektive FRA-PuL. BestÀmmelser om rapporter- ingsskyldighet och hantering av personuppgiftsincidenter finns dÀr- för inte.

En personuppgiftsincident Àr enligt artikel 3.11 i 2016 Ärs data- skyddsdirektiv en sÀkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller Àndring eller till obehörigt röjande av eller obehörig Ätkomst till de personuppgifter som överförts, lagrats eller pÄ annat sÀtt behandlats. Begreppet definieras följaktligen pÄ samma sÀtt i de lagar som föreslagits med anledning av direktivet; bl.a. brottsdatalagen.

I brottsdatalagen regleras den personuppgiftsansvariges skyldig- heter vid en personuppgiftsincident. DĂ€r föreskrivs bl.a. att sĂ„dana incidenter ska anmĂ€las till tillsynsmyndigheten inom viss tid och att den registrerade i vissa fall ska underrĂ€ttas om incidenten. Enligt de föreslagna bestĂ€mmelserna ska anmĂ€lningsskyldigheten inte gĂ€lla om personuppgiftsincidenten rör nationell sĂ€kerhet (3 kap. 9–11 §§). En- ligt förslaget till SĂ€kerhetspolisens datalag ska sĂ„dan rapporterings- skyldighet inte heller gĂ€lla för SĂ€kerhetspolisen (SOU 2017:74 s. 684). I 1 kap. 4 § dataskyddslagen har regleringen rörande rapportering av dataskyddsincidenter i dataskyddsförordningen (art. 33 och 34) undan- tagits ifrĂ„ga om personuppgiftsincidenter som rapporteras enligt sĂ€kerhetsskyddslagen eller föreskrifter som meddelats i anslutning till den lagen. Detta innebĂ€r att sĂ„dana incidenter som ska rappor- teras enligt 10 a § första stycket sĂ€kerhetsskyddsförordningen ska anmĂ€las till den myndighet som utövar tillsyn över sĂ€kerhets- skyddet, dvs. Försvarsmakten eller SĂ€kerhetspolisen, inte ocksĂ„ ska rapporteras till tillsynsmyndigheten enligt dataskyddsförordningen.

249

ÖvervĂ€ganden och förslag

SOU 2018:63

Personuppgiftsincidenter som intrÀffar i Försvarsmaktens och Försvarets radioanstalts informationssystem och som drabbar per- sonuppgifter som behandlas med stöd av de föreslagna lagarna kom- mer att röra nationell sÀkerhet. SÄdana personuppgiftsincidenter hos Försvarsmakten och Försvarets radioanstalt kommer sÄledes att rapporteras i enlighet med vad som framgÄr av sÀkerhetsskyddsför- ordningen. NÄgot behov av att införa sÀrskilda bestÀmmelser om rapportering av personuppgiftsincidenter i de nya lagarna finns dÀr- med inte.

6.8.3Sanktionsavgift bör inte fÄ tas ut

Utredningens bedömning: Det bör inte tas in bestÀmmelser om sanktionsavgift i de nya lagarna om personuppgiftshantering hos Försvarsmakten och Försvarets radioanstalt.

SkÀl för utredningens bedömning: Av 2016 Ärs dataskyddsdirektiv följer att medlemsstaterna ska föreskriva sanktioner för övertrÀ- delser av de bestÀmmelser som genomför direktivet och att sanktio- nerna ska vara effektiva, proportionerliga och avskrÀckande. I brotts- datalagen införs ett nytt system med administrativa sanktionsavgifter dÀr tillsynsmyndigheten ska fatta beslut om sanktionsavgift.

Även EU:s dataskyddsförordning föreskriver att administrativa sanktionsavgifter ska kunna tas ut vid övertrĂ€delse av bestĂ€mmelser om personuppgiftsbehandling som sker inom ramen för verksamhet som regleras av denna förordning. Enligt 6 kap. 2 § dataskyddslagen kan tillsynsmyndigheten Ă€ven ta ut en sanktionsavgift av en myn- dighet vid övertrĂ€delse av dataskyddsförordningen.

HuvudskÀlet till att Utredningen om 2016 Ärs dataskyddsdirektiv föreslog att sanktionsavgift ska kunna tas ut av bl.a. Polismyndig- heten, Skatteverket, Tullverket och domstolarna, Àr att motsvarande sanktionssystem gÀller enligt dataskyddsförordningen och att för flera av myndigheterna kommer sannolikt en större del av person- uppgiftsbehandlingen att regleras av dataskyddsförordningen. Utred- ningen ansÄg att det var svÄrt att motivera att helt olika sanktions- system ska gÀlla beroende pÄ om brottsdatalagen eller förordningen var tillÀmplig vid övertrÀdelser som Àr likartade och som dÀrför kan antas motivera samma sanktion (SOU 2017:29 s. 492). Utredningen

250

SOU 2018:63

ÖvervĂ€ganden och förslag

föreslog dock inte att sanktionsavgifter skulle kunna tas ut av SÀkerhetspolisen. Som skÀl anfördes att SÀkerhetspolisens verksamhet rör nationell sÀkerhet och dÀrmed inte omfattas av vare sig dataskydds- direktivets eller dataskyddsförordningens tillÀmpningsomrÄde

Till en början kan konstateras att de krav pÄ sanktionsavgifter som unionsrÀtten stÀller inte gÀller för de behandlingar av person- uppgifter som regleras i den lagstiftning som utredningen lÀgger fram i detta betÀnkande.

Dataskyddskonventionen (se avsnitt 4.2.1) som Àven omfattar personuppgiftsbehandling som rör nationell sÀkerhet, stÀller krav pÄ att det ska finnas lÀmpliga sanktioner och rÀttsmedel för övertrÀ- delser av bestÀmmelser om dataskydd, men anger inte nÀrmare vilka krav som stÀlls pÄ sÄdana sanktioner.

Den nuvarande regleringen ger möjlighet till skadestÄnd. Utred- ningen föreslÄr ingen Àndring i detta avseende. Vidare kan straffrÀttsligt ansvar utkrÀvas enligt brottsbalken. Utöver Datainspektionens till- synsverksamhet kontrollerar Statens inspektion för försvarsunder- rÀttelseverksamheten (Siun) försvarsunderrÀttelseverksamheten och granskar behandlingen av personuppgifter i Försvarsmaktens försvars- underrÀttelseverksamhet och militÀra sÀkerhetstjÀnst samt Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet NÀr det gÀller signalspaningen finns bestÀmmelser som Àr av intresse i detta sammanhang i lagen om signalspaning i försvarsunderrÀttelse- verksamheten. Signalspaningsmyndigheten (Försvarets radioanstalt) ska ansöka om tillstÄnd hos FörsvarsunderrÀttelsedomstolen för signalspaning (4 a §). Kontrollmyndigheten (Siun) fÄr besluta att viss inhÀmtning ska upphöra eller att upptagning eller uppteckning av inhÀmtade uppgifter ska förstöras, om det vid kontroll fram- kommer att inhÀmtningen inte Àr förenlig med tillstÄnd som har meddelats enligt lagen (10 §). Vidare Àr kontrollmyndigheten skyl- dig att pÄ begÀran av en enskild kontrollera om hans eller hennes meddelanden har inhÀmtats i samband med signalspaning och, om sÄ Àr fallet, huruvida inhÀmtningen och behandlingen har skett i enlig- het med lag (10 a §). Mot bakgrund av den tillsyn, kontroll och granskning som gÀller för de verksamheter som de föreslagna lagarna omfattar anser utredningen att konventionens krav pÄ lÀmpliga sank- tioner och rÀttsmedel Àr uppfyllda.

Enligt utredningens mening Àr de sanktionsmöjligheter som före- slÄs gÀlla i fortsÀttningen tillrÀckliga. Utredningen anser dÀrför att

251

ÖvervĂ€ganden och förslag

SOU 2018:63

det inte bör införas nÄgon möjlighet att ta ut sanktionsavgift vid övertrÀdelse av bestÀmmelser i de nya lagarna.

6.9SkadestÄnd och överklagande

6.9.1SkadestÄnd

Utredningens förslag: Den personuppgiftsansvarige ska ersÀtta den som en personuppgift rör för den skada och krÀnkning av den personliga integriteten som orsakats av behandling av person- uppgiften i strid med de föreslagna lagarna, eller föreskrifter som har meddelats i anslutning till dem.

ErsÀttningsskyldigheten kan jÀmkas i den utstrÀckning det Àr skÀligt, om den personuppgiftsansvarige visar att felet inte be- rodde pÄ denne.

SkÀl för utredningens förslag: Enligt 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL ska staten ersÀtta den registrerade för skada och krÀnkning av den personliga integriteten som en behandling av per- sonuppgifter i strid med dessa lagar eller föreskrifter som har med- delats med stöd av lagarna har orsakat. Enligt bestÀmmelsens andra stycke kan ersÀttningsskyldigheten i den utstrÀckning det Àr skÀligt jÀmkas, om Försvarsmakten respektive Försvarets radioanstalt visar att felet inte berodde pÄ myndigheten.

Motiven finns i prop. 2006/07:46 s. 90 ff.

Utredningen anser att motsvarande bestÀmmelser bör införas i de nya lagarna.

Av bestÀmmelserna i FM-PuL och FRA-PuL framgÄr att det Àr staten som ska ersÀtta den drabbade vid felaktig behandling av per- sonuppgifter.

Enligt 3 § förordningen (1995:1301) om handlÀggning av skade- stÄndsansprÄk mot staten handlÀgger Justitiekanslern ansprÄk pÄ ersÀttning enligt 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL. Detta innebÀr att Försvarsmakten och Försvarets radioanstalt ska över- lÀmna ersÀttningsansprÄk med anledning av personuppgiftshanter- ing enligt FM-PuL och FRA-PuL till Justitiekanslern för vidare hantering och beslut. För det fall den som personuppgifterna rör vÀnder sig till domstol för Justitiekanslern statens talan i saken.

252

SOU 2018:63

ÖvervĂ€ganden och förslag

Oavsett om Justitiekanslern eller domstolen fattar beslut om ersÀtt- ning överlÀmnar Justitiekanslern med stöd i 2 a § förordningen (1975:1345) med instruktion för Justitiekanslern, till den myndighet som Àr berörd i skaderegleringsÀrendet att ansvara för att ersÀtt- ningsbelopp betalas ut till motparten.

6.9.2Överklagande av en myndighets beslut i egenskap av personuppgiftsansvarig

Utredningens förslag: Försvarsmaktens och Försvarets radio- anstalts beslut om information som ska lÀmnas efter begÀran av en enskild och om rÀttelse och underrÀttelse till tredje part samt Försvarsmaktens beslut om information som ska lÀmnas om uppgifter samlas in frÄn personen sjÀlv, fÄr överklagas hos allmÀn förvaltningsdomstol. Andra beslut enligt lagen fÄr inte överklagas. PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.

Beslut i frÄgor om sekretess överklagas till kammarrÀtt.

SkÀl för utredningens förslag: Försvarsmaktens respektive Försvarets radioanstalts beslut betrÀffande information som ska lÀmnas om uppgifterna samlas in frÄn personen sjÀlv (endast Försvarsmakten) samt efter begÀran (Försvarsmakten och Försvarets radioanstalt) och om rÀttelse och underrÀttelse till tredje man fÄr enligt 6 kap.

3§ FM-PuL och FRA-PuL överklagas hos allmÀn förvaltningsdom- stol. Andra beslut som har meddelats med stöd av respektive lag fÄr inte överklagas.

Som tidigare har anförts bör fysiska personer av integritetsskydds- skÀl ha vissa grundlÀggande rÀttigheter som rör behandlingen av uppgifter om dem. Förutom rÀtt till information, rÀttelse och skade- stÄnd, bör ocksÄ vissa beslut av Försvarsmaktens och Försvarets radio- anstalts beslut kunna överklagas.

Som framgÄtt i tidigare avsnitt föreslÄs att de bestÀmmelser i FM- PuL och FRA-PuL som ger enskilda rÀtt till information efter ansökan samt rÀttelse och underrÀttelse till tredje part, med vissa justeringar och tillÀgg, ska införas Àven i de nya lagarna. DÀrför bör enligt utredningen Försvarsmaktens och Försvarets radioanstalts beslut i dessa frÄgor kunna överklagas till allmÀn förvaltningsdomstol pÄ samma sÀtt som enligt FM-PuL och FRA-PuL. Den begrÀnsning

253

ÖvervĂ€ganden och förslag

SOU 2018:63

som föreslÄs, om att Försvarsmakten och Försvarets radioanstalt fÄr avslÄ sÄdan begÀran om registerutdrag som enskild lÀmnar vid fler Àn ett tillfÀlle per kalenderÄr, begrÀnsar endast enskilds rÀtt att ta del av information. Försvarsmaktens och Försvarets radioanstalts initiala prövning i dessa frÄgor blir huruvida en sÄdan begÀran inkommit vid tidigare tillfÀlle innevarande kalenderÄr. Om sÄ Àr fallet kommer en sÄdan begÀran leda till ett omedelbart beslut om avslag. En sÄdan prövning Àr nÀrmast att betrakta som av processuell karaktÀr och nÄgon rÀtt till sÀrskild överprövning av sÄdana beslut föreslÄs dÀrför inte.

I klargörande syfte föreslÄs Àven att det upplyses om att beslut om sekretess överklagas till kammarrÀtt (se Högsta förvaltnings- domstolens avgörande i HFD 2014 ref 55).

6.10Övriga bestĂ€mmelser

6.10.1Straff

Utredningens bedömning: ÖvertrĂ€delser av bestĂ€mmelserna om personuppgiftsbehandling bör inte vara straffsanktionerade ut- över vad som gĂ€ller enligt brottsbalken.

SkÀl för utredningens bedömning: BestÀmmelser om straff för vissa gÀrningar i samband med personuppgiftshantering regleras sÀr- skilt i 6 kap. 2 § FM-PuL och FRA-PuL. Den som uppsÄtligen eller av grov oaktsamhet lÀmnar osann uppgift i information till den som personuppgiften rör, till tillsynsmyndigheten eller behandlar kÀns- liga uppgifter i strid med vad som gÀller enligt de sÀrskilda bestÀm- melserna för den behandlingen. Straffet kan vara böter eller fÀngelse i högst sex mÄnader, eller om brottet Àr grovt, till fÀngelse i högst tvÄ Är. I ringa fall döms inte till ansvar.

Av skÀlen till regeringens förslag om införande av straffbestÀmmelser framgÄr att bestÀmmelserna om straff vid visst förfarande med person- uppgifter har sitt ursprung i motsvarande bestÀmmelser i personup- pgiftslagen. Enligt regeringens uttalanden fyller införande av straff- bestÀmmelser en viktig funktion för att markera allvaret i övertrÀdelser av regler till skydd för enskildas integritet. Regeringen ansÄg dÀrför att straffbestÀmmelser motsvarande delar av 49 § personuppgiftslagen Àven skulle intas i FM-PuL och FRA-PuL (prop. 2006/07:46 s. 107).

254

SOU 2018:63

ÖvervĂ€ganden och förslag

Behandling av personuppgifter i strid med lag kan föra med sig skyldighet för staten att betala skadestĂ„nd till de drabbade. Presum- tionen för att skadestĂ„nd ska utgĂ„ liksom tillsynen och kontrollen bör enligt utredningen utgöra tillrĂ€ckligt skydd för enskildas integ- ritet. Utredningen anser att straffbestĂ€mmelserna i den del som avser utlĂ€mning av personuppgifter till tillsyns- och kontrollmyn- digheterna inte bör föras över till de nya lagarna eftersom de skĂ€rpta formuleringarna om insyn och bitrĂ€de för tillsynsmyndigheterna gör att utrymmet att lĂ€mna osanna uppgifter till tillsynsmyndigheten fĂ„r betraktas som litet. HĂ€rtill bör beaktas att de nuvarande reglerna inte riktas mot vare sig den personuppgiftsansvarige eller personupp- giftsbitrĂ€den, utan mot den enskilde befattningshavaren, vars gĂ€r- ningar dessutom redan omfattas av reglerna om tjĂ€nstefel i 20 kap. 1 § brottsbalken. ÖvertrĂ€delser kan dessutom vara resultatet av flera personers agerande och underlĂ„tenhet. Det blir dĂ„ svĂ„rt att visa var skulden ligger och vad som lett till övertrĂ€delsen.

Utredningen anser mot bakgrund av det anförda att straffbestÀm- melserna i FM-PuL och FRA-PuL inte bör tas in i de nya lagarna.

6.11ÖvergĂ„ngsbestĂ€mmelser

Utredningens förslag: De föreslagna lagarna och de till dem knutna förordningarna ska trÀda i kraft den 1 oktober 2019.

BestÀmmelserna om loggning behöver inte tillÀmpas pÄ upp- giftssamlingar som inrÀttats före ikrafttrÀdandet förrÀn den 1 maj 2024.

Ärenden om tillsyn eller granskning som inte har avgjorts före ikrafttrĂ€dandet handlĂ€ggs enligt Ă€ldre föreskrifter.

SkÀl för utredningens förslag: Med hÀnsyn till den tid som krÀvs för remissbehandling, beredning inom Regeringskansliet samt riks- dagsbehandling, bör de nya lagarna och förordningarna trÀda i kraft den 1 oktober 2019.

Det kommer att ta tid att anpassa de uppgiftssamlingar som har inrÀttats före den 1 oktober 2019 till bestÀmmelserna om loggning. Av den anledningen bör bestÀmmelserna inte tillÀmpas pÄ sÄdana uppgiftssamlingar förrÀn den 1 maj 2024.

255

ÖvervĂ€ganden och förslag

SOU 2018:63

Ärenden om tillsyn eller granskning av Försvarsmaktens eller Försvarets radioanstalts personuppgiftsbehandling som Datainspek- tionen eller Statens inspektion för försvarsunderrĂ€ttelseverksam- heten inte har avgjort före ikrafttrĂ€dandet bör handlĂ€ggas enligt Ă€ldre föreskrifter.

6.12Ändringar i andra författningar till följd av utredningens förslag

6.12.1Ändring i lagen (2018:218) med kompletterande bestĂ€mmelser till EU:s dataskyddsförordning

Utredningens förslag: Undantaget i dataskyddslagen frÄn bestÀm- melsen i den lagen som utstrÀcker dataskyddsförordningens till- lÀmpningsomrÄde Àndras till att gÀlla lagarna om behandling av per- sonuppgifter vid Försvarsmakten och Försvarets radioanstalt.

SkÀl för utredningens förslag: I avsnitt 6.1.1 föreslÄr utredningen att FM-PuL och FRA-PuL ersÀtts med tvÄ nya lagar. Den bestÀm- melse om undantag frÄn dataskyddsförordningen som finns i 1 kap. 3 § dataskyddslagen bör dÀrför Àndras och utformas i enlighet med detta, dvs. att undantaget gÀller de nya lagarna.

6.12.2Ändring i brottsdatalagen (2018:1177)

Utredningens förslag: Undantaget i brottsdatalagen frÄn sÄdan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelse-verk- samhet och militÀra sÀkerhetstjÀnst Àndras till att gÀlla lagen om behandling av personuppgifter vid Försvarsmakten.

SkÀl för utredningens förslag: I avsnitt 6.1.1 föreslÄr utredningen bl.a. att FM-PuL ersÀtts med en ny lag. Den bestÀmmelse om undantag frÄn brottsdatalagen i 1 kap. 4 § andra stycket brottsdata- lagen bör dÀrför Àndras och utformas i enlighet med detta, dvs. att undantaget gÀller den nya lagen.

256

SOU 2018:63

ÖvervĂ€ganden och förslag

6.12.3Ändring i lagen (2008:717) om signalspaning i försvarsunderrĂ€ttelseverksamhet

Utredningens förslag: I bestÀmmelsen i 2 a § lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet om att inhÀmt- ning inte fÄr avse signaler mellan en avsÀndare och mottagare som bÄda befinner sig i Sverige införs i bestÀmmelsens andra stycke ett undantag i frÄga om signaler som utvÀxlas autonomt mellan tekniska system i sÄdana fall dÀr signalerna inte innehÄller per- sonuppgifter.

HÀnvisningen i 12 a § samma lag till lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvars- underrÀttelse- och utvecklingsverksamhet Àndras till att avse lagen om behandling av personuppgifter vid Försvarets radioanstalt.

SkÀl för utredningens förslag: Utredningen har uppmÀrksammats pÄ en lagbestÀmmelse som avser att frÀmja integritetsskyddsintresset har fÄtt en rÀckvidd som inverkar menligt pÄ för försvaret viktiga verksamheter och dÀr nÄgra sÄdana intressen av tekniska skÀl inte kan förekomma.

BestÀmmelsen i frÄga Àr 2 a § lagen om signalspaning i försvars- underrÀttelseverksamhet. Enligt den fÄr inhÀmtning inte avse sig- naler mellan en avsÀndare och mottagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmt- ningen, ska upptagningen eller uppteckningen förstöras sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats. I paragrafens andra stycke undantas frÄn denna bestÀmmelse signaler mellan sÀndare och mottagare pÄ utlÀndska statsfartyg, luftfartyg och militÀra fordon.

Föreskrifterna i 2 a § gÀller sÄvÀl kommunikationsspaning (mÀnsk- lig kommunikation) som teknisk signalspaning.

Den tekniska signalspaningen riktar in sig pÄ egenskaper hos tekniska signaler, dvs. sÄdana signaler som inte bÀr mÀnsklig kom- munikation. Denna signalspaning syftar till att beskriva signalers olika tekniska parametrar, exempelvis pulsfrekvens och amplitud.

Radarsignaler Àr exempel pÄ tekniska signaler som utvÀxlas auto- nomt i och mellan tekniska system och dÀr det inte finns nÄgra inslag av mÀnsklig kommunikation eller information och dÀr det dÀrför inte kan uppkomma frÄgor om personlig integritet.

257

ÖvervĂ€ganden och förslag

SOU 2018:63

Radar Àr utrustning som skickar ut elektromagnetiska pulser och som tar emot reflektionen av de utskickade signalerna. Radar anvÀnds frÀmst för att mÀta avstÄnd och riktning till objekt i omgivningen. MÀtningen görs oftast genom att en puls skickas ut. Pulsen studsar sedan mot nÄgot och fÄngas dÀrefter in av radarn. SÀndare och mot- tagare finns alltsÄ i samma tekniska utrustning. Genom att mÀta tiden det tar för pulsen att komma tillbaka samt övervaka i vilken riktning pulsen skickas ut kan man avgöra avstÄndet och riktningen till objektet. En radarsignal innehÄller endast tekniska parametrar, t.ex. frekvens, och alltsÄ, som nyss nÀmnts, inte information med mÀnsklig kommunikation.

Försvarets radioanstalt inhÀmtar och analyserar radarsignaler inom ramen för den tekniska signalspaningen i syfte att identifiera dem och associera dem till det objekt (plattform eller farkost) de hÀrrör frÄn.

InhÀmtningen av radarsignaler Àr av betydelse för uppbyggnaden och vidmakthÄllandet av det s.k. signalreferensbiblioteket som Försvarets radioanstalt enligt 3 c § förordningen med instruktion för Försvarets radioanstalt har till uppgift att vidmakthÄlla och utveckla för Försvarsmaktens behov. AnvÀndningen av detta har stor betydelse för Försvarsmaktens möjligheter att identifiera farkoster och vapen- bÀrare av olika slag och för bedömningar om vilket hot dessa i varje givet ögonblick kan utgöra för Försvarsmaktens plattformar och personal. För detta syfte Àr det nödvÀndigt att biblioteket innehÄller uppgifter om sÄvÀl utlÀndska som inhemska signaler, civila som militÀra. Som anförs i förarbetena till 2 a § kan inhÀmtning av den hÀr typen av signaler frÄn Försvarsmaktens utrustningar och platt- formar ske med samtycke frÄn Försvarsmakten, Àven nÀr de befinner sig i Sverige (prop. 2008/09:201). NÀr det gÀller signaler mellan sÀndare och mottagare pÄ utlÀndska statsfartyg, luftfartyg och militÀra fordon som befinner sig i Sverige Àr inhÀmtning likaledes möjlig enligt undantagsregeln i andra stycket.

I andra fall Àr det enligt bestÀmmelsen i 2 a § otydligt huruvida det Àr möjligt att mÀta signaler som emanerar frÄn svenskt territo- rium. Vad gÀller radarsignaler kan man hÀvda att eftersom samma radarsignal utgÄr och Äterkommer till samma radarutrustning sÄ Àr det inte frÄga om signaler mellan avsÀndare och mottagare av det slag som avses med 2 a §, och dÀrmed inte heller signaler mellan en avsÀndare och mottagare som befinner sig i Sverige. Ett annat synsÀtt

258

SOU 2018:63

ÖvervĂ€ganden och förslag

Àr att det objekt som radarsignalen studsar mot Àr att betrakta som sÀndare. Det Àr dock den som sÀnder ut radarsignalen, inte Försvarets radioanstalt, som kan registrera pÄ vilket objekt som signalen studsar.

Även i andra sammanhang Ă€n vid teknisk signalspaning till stöd för produktion av signalreferensbibliotek förekommer signaler som utvĂ€xlas autonomt i och mellan tekniska system dĂ€r ingen mĂ€nsklig information förekommer och dĂ€r inga integritetsaspekter gör sig gĂ€llande. Inte heller i dessa sammanhang gör sig de integritetshĂ€nsyn som avsĂ€ndare-mottagare-begreppet adresserar gĂ€llande.

Som framgÄr ovan innehÄller de beskrivna signalerna inte upp- gifter om mÀnsklig kommunikation och inhÀmtningen har dÀrmed ingen betydelse för personrelaterad integritet. Utredningen föreslÄr dÀrför att undantagsregeln i andra stycket kompletteras med ett undantag som innebÀr att huvudregeln i första stycket inte tillÀmpas i frÄga om signaler som utvÀxlas autonomt mellan tekniska system och inte innehÄller personuppgifter.

BestÀmmelsen i 12 a § lagen om signalspaning i försvarsunder- rÀttelsetjÀnst hÀnvisar till lagen (2007:259) om behandling av per- sonuppgifter i Försvarets radioanstalts försvarsunderrÀttelse- och utvecklingsverksamhet för ytterligare bestÀmmelser om behandlingen av inhÀmtade personuppgifter. Denna hÀnvisning bör Àndras sÄ att den avser lagen om personuppgiftsbehandling vid Försvarets radio- anstalt.

6.12.4Ändring i förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrĂ€ttelseverksamheten

Utredningens förslag: BestÀmmelserna i instruktionen för Statens inspektion för försvarsunderrÀttelseverksamheten om att inspek- tionen ska granska behandlingen av personuppgifter som sker med stöd av FM-PuL och FRA-PuL utformas sÄ att de direkt tar sikte pÄ den behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀkerhetstjÀnst som sker med stöd av lagen (2019:000) om behandling av personupp- gifter vid Försvarsmakten och den behandling av personuppgifter i

259

ÖvervĂ€ganden och förslag

SOU 2018:63

Försvarets radioanstalts försvarsunderrÀttelse- och utvecklings- verksamhet som sker med stöd av lagen (2019:000) om behand- ling av personuppgifter vid Försvarets radioanstalt.

Inspektionen ska utöver uppgiften att utöva kontroll och granskning Àven ha till uppgift att lÀmna myndigheterna rÄd och stöd betrÀffande myndigheternas skyldigheter i den verksamhet som inspektionen har till uppgift att kontrollera och granska.

SkÀl för utredningens förslag: Statens inspektion för försvars- underrÀttelseverksamheten (Siun) har enligt 1 § förordningen med instruktion för Statens inspektion för försvarsunderrÀttelseverksam- heten till uppgift att kontrollera försvarsunderrÀttelseverksamheten hos de myndigheter som enligt förordningen (2000:131) om för- svarsunderrÀttelseverksamhet bedriver sÄdan verksamhet. Siun ska kontrollera att dessa myndigheter i den försvarsunderrÀttelseverk- samhet som utförs, efterlever lagar och förordningar samt i övrigt fullgör sina skyldigheter.

Siun ska vidare enligt 3 § instruktionen granska behandlingen av uppgifter enligt FM-PuL och FRA-PuL.

Med hÀnsyn till de föreslagna lagarnas vidgade tillÀmpnings- omrÄden bör hÀnvisningarna i dem om behandling av personupp- gifter utformas sÄ att de direkt tar sikte pÄ försvarsunderrÀttelseverk- samheten och den militÀra sÀkerhetstjÀnsten vid Försvarsmakten och försvarsunderrÀttelse- och utvecklingsverksamheten vid Försvarets radioanstalt.

Siuns tillsyns- och granskningsuppdrag avser rÀttslig granskning i efterhand. Det innebÀr att planerade ÄtgÀrder hos myndigheterna inte kan bli föremÄl för granskning och att Siuns verksamhet inte kan uppfattas som ett godkÀnnande av framtida ÄtgÀrder. Det bör dock finnas ett utrymme för övervÀganden som kan komma att pÄverka den framtida personuppgiftsbehandlingen. Enligt utred- ningens mening skulle det vara vÀrdefullt för myndigheterna att, med den begrÀnsning som nyss berörts, kunna fÄ rÄd och stöd betrÀffande deras skyldigheter i de verksamheter som Siun har till uppgift att granska. Förslaget överensstÀmmer med det som lÀmnas nÀr det gÀller tillsynsmyndigheten i avsnitt 6.8.1.

260

SOU 2018:63

ÖvervĂ€ganden och förslag

6.12.5Ändring i förordningen (1995:1301) om handlĂ€ggning av skadestĂ„ndsansprĂ„k mot staten

Utredningens förslag: Föreskrifterna i 3 § förordningen (1995:1301) om handlÀggning av skadestÄndsansprÄk mot staten att Justitie- kanslern handlÀgger ansprÄk pÄ ersÀttning med stöd av 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL Àndras till att avse ansprÄk pÄ ersÀttning med stöd av 7 kap. 1 § i lagen om behandling av person- uppgifter vid Försvarsmakten och 7 kap. 1 § lagen om behandling av personuppgifter vid Försvarets radioanstalt.

SkÀl för utredningens förslag: I 3 § förordningen om handlÀggning av ersÀttningsansprÄk mot staten anges att Justitiekanslern hand- lÀgger ansprÄk pÄ ersÀttning bl.a. med stöd av 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL. BestÀmmelsen bör Àndras sÄ att den avser mot- svarande föreskrifter i de nya lagarna.

261

7 Konsekvenser

7.1Inledning

I kommittéförordningen (1998:1474) finns bestÀmmelser om konse- kvensbeskrivningar.

Av 14 § framgÄr att om förslagen i ett betÀnkande pÄverkar kost- naderna eller intÀkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en berÀkning av dessa konsekvenser redovisas i betÀnkandet. Om förslagen innebÀr samhÀllsekonomiska konsekvenser i övrigt, ska dessa redovisas. NÀr det gÀller kostnadsökningar och intÀktsminskningar för staten, kommuner eller landsting, ska kom- mittén föreslÄ en finansiering.

Av 15 § framgÄr att om förslagen i ett betÀnkande har betydelse för den kommunala sjÀlvstyrelsen, för brottsligheten och det brotts- förebyggande arbetet, för sysselsÀttning och offentlig service i olika delar av landet, för smÄ företags arbetsförutsÀttningar, konkurrens- förmÄga eller villkor i övrigt i förhÄllande till större företags, för jÀm- stÀlldheten mellan kvinnor och mÀn eller för möjligheterna att nÄ de integrationspolitiska mÄlen, ska konsekvenserna i det avseendet anges i betÀnkandet.

Om ett betÀnkande innehÄller förslag till nya eller Àndrade regler, ska förslagens kostnadsmÀssiga och andra konsekvenser anges i be- tÀnkandet. Konsekvenserna ska anges pÄ ett sÀtt som motsvarar de krav pÄ innehÄllet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgiv- ning (15 a §).

Enligt utredningens direktiv ska utredaren bedöma de ekono- miska konsekvenserna av förslagen för det allmÀnna och för enskilda. Om förslagen kan förvÀntas leda till kostnadsökningar för det all- mÀnna ska utredaren föreslÄ hur de ska finansieras. Utredaren ska

263

Konsekvenser

SOU 2018:63

ocksÄ redovisa förslagens konsekvenser för den personliga integ- riteten och för eventuella verksamhetsmÀssiga konsekvenser.

7.2Konsekvenser av förslagen

7.2.1TvÄ nya lagar men inga nya uppgifter

Utredningens bedömning: De föreslagna lagarna innebÀr inga nya uppgifter för Försvarsmakten eller Försvarets radioanstalt. De kommer att leda till ökad tydlighet och förbÀttrad effektivitet.

SkĂ€l för bedömningen: De föreslagna lagarna innebĂ€r inga nya uppgifter för Försvarsmakten eller Försvarets radioanstalt. De anslu- ter till stora delar vad som gĂ€ller i dag genom FM-PuL och FRA-Pul samt PuL. I vissa delar medför förslagen förtydliganden och förbĂ€tt- ringar nĂ€r det gĂ€ller behandlingen av personuppgifter i försvars- underrĂ€ttelseverksamheten. Ökade möjligheter för direktĂ„tkomst för Försvarsmakten, Försvarets radioanstalt och SĂ€kerhetspolisen i försvarsunderrĂ€ttelseverksamheten bör öka myndigheternas effekti- vitet pĂ„ det omrĂ„det. För Försvarsmaktens del innebĂ€r ökade möj- ligheter till annat elektroniskt informationsutbyte förbĂ€ttringar för verksamheten. Regleringen för vilka andra Ă€ndamĂ„l Ă€n huvudĂ€nda- mĂ„len som behandling av personuppgifter fĂ„r ske i Förvarets radio- anstalts verksamheter innebĂ€r förtydliganden som Ă€r av godo sĂ„vĂ€l för myndigheten som för tillsynen och kontrollen.

7.3Ekonomiska konsekvenser

Utredningens bedömning: De föreslagna lagarna innebÀr inga ökade kostnader för Försvarsmakten, Försvarets radioanstalt eller de myndigheter som utövar tillsyn och kontroll eller i övrigt för det allmÀnna. De har ingen ekonomisk betydelse för enskilda.

SkÀl för bedömningen: De föreslagna lagarna medför inga nya uppgifter för Försvarsmakten och Försvarets radioanstalt. De nya reglerna kan medföra ett visst behov av utbildning av myndigheter- nas personal utöver den utbildningsverksamhet som myndigheterna

264

SOU 2018:63

Konsekvenser

redan nu bedriver. De kostnader som detta kan medföra bör kunna rymmas inom myndigheternas befintliga ekonomiska ramar. Som nÀmnts i avsnitt 7.2.1 kan de föreslagna lagarna medföra förbÀtt- ringar av myndigheternas effektivitet.

NÄgra ekonomiska konsekvenser i övrigt för det allmÀnna upp- kommer inte. Inte heller medför förslagen ekonomiska konsekven- ser för enskilda.

7.3.1Konsekvenser för den personliga integriteten

Utredningens bedömning: Sammantaget innebÀr förslagen att skyddet för den personliga integriteten kommer att vara pÄ samma nivÄ som för nÀrvarande. I viss mÄn kan intrÄnget i personlig integritet öka genom de ökade möjligheterna till direktÄtkomst som motiveras av starka försvars- och sÀkerhetsintressen.

SkÀl för bedömningen: NÀr det gÀller Försvarsmakten innebÀr en samlad reglering en förenkling för myndigheten och dÀrmed i för- lÀngningen en förstÀrkning av integritetsskyddet vid myndighetens behandling av personuppgifter.

Regleringen för vilka andra ÀndamÄl Àn huvudÀndamÄlen som be- handling av personuppgifter fÄr ske i Förvarets radioanstalts verksam- heter Àr Àven till fördel frÄn integritetskyddssynpunkt.

De effektiviseringar som föreslÄs för försvarsunderrÀttelseverk- samheten och den militÀra sÀkerhetstjÀnsten, frÀmst nÀr det gÀller möjligheter till direktÄtkomst, kan innebÀra ett visst ytterligare intrÄng i den personliga integriteten. Samtidigt mÄste man beakta den sÀker- hetspolitiska utvecklingen pÄ senare tid och de hot som riktas och som kan komma att riktas mot vÄrt land och de mÀnniskor som finns hÀr. IntegritetsintrÄnget mÄste dÀrför stÀllas mot de starka försvars- och sÀkerhetsintressen som hÀr gör sig gÀllande och som motiverar behovet av en effektiv verksamhet pÄ de omrÄden som de föreslagna lagarna omfattar.

Att dataskyddsförordningens och dataskyddslagens bestÀmmel- ser om tillsynsmyndighetens befogenhet att förbjuda behandling inte ska gÀlla kan uppfattas som negativt för skyddet av enskildas personliga integritet. Detsamma gÀller att personuppgiftsincidenter

265

Konsekvenser

SOU 2018:63

inte ska rapporteras till tillsynsmyndigheten och att sanktionsavgif- ter inte ska fĂ„ tas ut. Med hĂ€nsyn till den betydelse myndigheternas verksamhet har för Sveriges försvar och sĂ€kerhet Ă€r det olĂ€mpligt med föreskrifter om förbud mot behandling, rapportering av person- uppgiftsincidenter och sanktionsavgifter. NĂ€r det gĂ€ller frĂ„gan om rapportering av personuppgiftsincidenter bör erinras om den skyldighet att rapportera it-incidenter enligt 10 a § sĂ€kerhetskyddsförordningen som ska gĂ€lla i stĂ€llet. I avsnitt 6.8.1–6.8.3 redovisar utredningen de bestĂ€mmelser om tillstĂ„nd, kontroll, granskning och tillsyn som gĂ€ller och ska gĂ€lla för den behandling av personuppgifter som den före- slagna lagstiftningen omfattar. Enligt utredningens mening fĂ„r dessa bestĂ€mmelser anses tillgodose intresset av integritetsskydd.

7.3.2Konsekvenser i övrigt

Utredningens bedömning: Förslagen förvÀntas inte fÄ nÄgra andra konsekvenser.

SkÀl för bedömningen: Förslagen fÄr inte nÄgra samhÀllsekono- miska konsekvenser eller nÄgra konsekvenser för den kommunala sjÀlvstyrelsen. Förslagen fÄr inte heller nÄgra konsekvenser för jÀm- stÀlldheten eller andra sÄdana konsekvenser som avses i 14, 15 och 15 a §§ kommittéförordningen.

266

8 Författningskommentar

8.1Förslaget till lag om behandling av personuppgifter vid Försvarsmakten

1 kap. AllmÀnna bestÀmmelser

Syftet med lagen

1 §

Syftet med denna lag Àr att sÀkerstÀlla att Försvarsmakten kan behandla personuppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling.

Paragrafen, som behandlas i avsnitt 6.2.1, anger syftet med lagen. Syftet Àr att sÀkerstÀlla att Försvarsmakten kan behandla person- uppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling. Av paragrafen framgÄr att lagen gÀller fysiska personer och inte juridiska personer.

Lagens tillÀmpningsomrÄde

2 §

Denna lag gÀller vid Försvarsmaktens behandling av personuppgifter som rör Sveriges försvar och sÀkerhet.

Paragrafen reglerar, tillsammans med 3 §, lagens tillÀmpningsomrÄde. Den behandlas i avsnitt 6.2.2.

I paragrafen anges att lagen gÀller vid Försvarsmaktens behand- ling av personuppgifter som rör Sveriges försvar och sÀkerhet. Vad

267

Författningskommentar

SOU 2018:63

som Àr en personuppgift och behandling av personuppgifter definie- ras i 8 §.

I Försvarsmaktens uppgifter ingÄr att upprÀtthÄlla och utveckla ett militÀrt försvar som ytterst kan möta ett vÀpnat angrepp. Grun- den för Försvarsmaktens verksamhet Àr förmÄgan till vÀpnad strid. Försvarsmakten ska försvara Sverige och frÀmja svensk sÀkerhet samt upptÀcka och avvisa krÀnkningar av det svenska territoriet. Försvars- makten ska dessutom kunna vÀrna Sveriges suverÀna rÀttigheter och svenska intressen samt kunna förebygga och hantera konflikter och krig sÄvÀl nationellt som internationellt. Försvarsmakten ska kunna utföra dess uppgifter sjÀlvstÀndigt eller i samverkan med andra myn- digheter, lÀnder och organisationer. Vid höjd beredskap ska Försvars- makten kunna krigsorganisera, mobilisera och anvÀnda alla krigs- förband för att möta ett militÀrt hot mot Sverige och svenska intressen. Krigsförband ska kunna krigsorganiseras, Àven om höjd beredskap inte rÄder. Försvarsmaktens uppgifter utvecklas nÀrmare i av- snitt 3.1.

De beskrivna uppgifterna ligger utanför unionsrĂ€tten. Även sĂ„dana arbetsuppgifter som kan tillkomma för Försvarsmaktens del, och som ligger utanför unionsrĂ€tten, ska behandlas med stöd av lagen.

3 §

Lagen gÀller vid sÄdan behandling av personuppgifter som Àr helt eller delvis automatiserad eller om uppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.

Paragrafen behandlas i avsnitt 6.2.4. Den begrÀnsar lagens tillÀmp- ningsomrÄde till sÄdan behandling av personuppgifter som Àr helt eller delvis automatiserad, eller om uppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.

268

SOU 2018:63

Författningskommentar

4 §

Vid behandling av personuppgifter enligt denna lag gÀller inte lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskydds- förordning.

Paragrafen behandlas i avsnitt 6.2.5. Den upplyser om att lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskydds- förordning inte gÀller nÀr personuppgifter behandlas enligt lagen om behandling av personuppgifter vid Försvarsmakten.

FörhÄllandet till annan reglering

5 §

BestÀmmelserna i denna lag ska inte tillÀmpas i den utstrÀckning det skulle inskrÀnka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lÀmna ut personuppgifter.

Paragrafen, som behandlas i avsnitt 6.2.6, klargör att bestÀmmelserna i lagen inte ska tillÀmpas om det skulle inskrÀnka Försvarsmaktens skyldighet enligt 2 kap. tryckfrihetsförordningen att lÀmna ut person- uppgifter.

Personuppgiftsansvar

6 §

Försvarsmakten Àr personuppgiftsansvarig för den behandling av per- sonuppgifter som myndigheten utför.

Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under myndighetens ledning eller pÄ dess vÀgnar.

BestÀmmelsen behandlas i avsnitt 6.2.7 och motsvarar 1 kap. 6 § lagen om behandling av personuppgifter vid Försvarets radioanstalt.

Personuppgiftsansvarig definieras i 1 kap. 8 § som den som ensam eller tillsammans med andra bestÀmmer ÀndamÄlen med och medlen för behandlingen av personuppgifter. Skyldigheterna som personupp- giftsansvarig regleras i 4 kap.

269

Författningskommentar

SOU 2018:63

BestÀmmelsen tydliggör att Försvarsmakten Àr personuppgifts- ansvarig för all den personuppgiftsbehandling som myndigheten utför, dvs. Àven den behandling av personuppgifter som utförs under myndighetens ledning eller pÄ dess vÀgnar.

Den nÀrmare innebörden av personuppgiftsansvaret framgÄr av lagens övriga bestÀmmelser bl.a. att personuppgifter behandlas för- fattningsenligt och pÄ ett sÀkert sÀtt (4 kap. 1 och 4 §§) samt skyl- digheter att tillgodose enskildas rÀttigheter (5 kap.) och behov av information vid tillsyn och kontroll (6 kap.).

Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under den personuppgiftsansvariges ledning. Med det avses all personuppgiftsbehandling vid Försvarsmakten inom lagens verksamhetsomrÄden. Det gÀller bÄde behandling som utförs genom en aktiv handling, t.ex. insamling eller sökning, och passiv behandling, t.ex. lagring.

Försvarsmakten Ă€r ocksĂ„ ansvarig för all behandling av person- uppgifter som utförs pĂ„ dess vĂ€gnar. Med det avses frĂ€mst sĂ„dan behandling som Försvarsmakten har uppdragit Ă„t ett personupp- giftsbitrĂ€de att utföra. Försvarsmakten kan uppdra Ă„t ett bitrĂ€de att utföra viss behandling av personuppgifter, men kan inte genom det avsĂ€ga sig personuppgiftsansvaret. BestĂ€mmelser om personupp- giftsbitrĂ€de finns i 4 kap. 7–11 §§.

7 §

Försvarsmakten fÄr vara gemensamt personuppgiftsansvarig med annan endast i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Paragrafen behandlas i avsnitt 6.2.8. Gemensamt personuppgiftsansvar fÄr endast förekomma om det har beslutats genom lag eller förordning eller av regeringen i ett enskilt fall. Försvarsmakten fÄr inte pÄ egen hand komma överens med en annan aktör om att personuppgifts- ansvaret för viss personuppgiftsbehandling ska vara gemensamt.

Om det vid en bedömning av de faktiska omstÀndigheterna kon- stateras att gemensamt personuppgiftsansvar föreligger, trots att det inte finns nÄgot beslut om det, stÄr behandlingen i strid med denna paragraf.

270

SOU 2018:63

Författningskommentar

Definitioner

8 §

I paragrafen, som behandlas i avsnitt 6.2.9, definieras vissa uttryck som anvÀnds i lagen.

Behandling av personuppgifter

En ÄtgÀrd eller kombination av ÄtgÀrder som vidtas i frÄga om per- sonuppgifter eller uppsÀttningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, struk- turering, lagring, bearbetning eller Àndring, framtagning, lÀsning, anvÀnd- ning, utlÀmnande, spridning eller tillhandahÄllande pÄ annat sÀtt, juster- ing, sammanföring, begrÀnsning, radering eller förstöring.

Uttrycket behandling av personuppgifter omfattar alla ÄtgÀrder som vidtas med sÄdana uppgifter. SÄ snart personuppgifter hanteras pÄ nÄgot sÀtt Àr det frÄga om behandling som omfattas av lagens bestÀm- melser, om den Àr helt eller delvis automatiserad eller avser manuell behandling i en strukturerad samling av personuppgifter. UpprÀk- ningen i definitionen av olika sÀtt att hantera personuppgifter Àr sÄledes inte uttömmande.

Biometriska uppgifter

Personuppgifter som rör en persons fysiska, fysiologiska eller beteende- mÀssiga kÀnnetecken, som tagits fram genom sÀrskild teknisk behand- ling och som möjliggör eller bekrÀftar unik identifiering av personen i frÄga.

Biometriska uppgifter behandlas i avsnitt 6.4.2. Biometri Àr ett sam- lingsnamn för sÄdan automatiserad teknik som syftar till att identi- fiera en person eller avgöra om en pÄstÄdd identitet Àr riktig. Den baseras pÄ fysiska karaktÀrsdrag hos den som ska identifieras. Mönster av fingeravtryck, ansiktsgeometri, ögats iris, regnbÄgshinna och nÀthinna, röst, hand, blodkÀrl, dna eller gÄng Àr exempel pÄ omrÄden dÀr sÄdan teknik kan anvÀndas. Gemensamt för teknikerna Àr att

271

Författningskommentar

SOU 2018:63

kroppen mÀts elektroniskt. Biometriska uppgifter Àr den informa- tion som kan tas fram ur ett biometriskt underlag. Uppgifterna kan anvÀndas för att skapa en referensmall eller för att jÀmföra med tidigare lagrade referensmallar i syfte att kontrollera en persons iden- titet. Fingeravtryck och dna-profiler Àr i dag de vanligaste formerna av biometriska uppgifter.

Biometriska uppgifter i form av fingeravtryck kan framgĂ„ av ett spĂ„r som pĂ„trĂ€ffas vid utredning av en hĂ€ndelse som exempelvis ett angrepp mot svensk trupp utomlands. Även analys av spĂ„ren om- fattas av definitionen, trots att de vid den tidpunkten inte gĂ„r att hĂ€rleda till en identifierad person. Dna-spĂ„r behandlas i kommen- taren till uttrycket genetiska uppgifter.

Av 2 kap. 16 § framgÄr att biometriska uppgifter bara fÄr behandlas om det Àr absolut nödvÀndigt för ÀndamÄlet med behandlingen.

Fotografier och filmer som inte bearbetas tekniskt i syfte att Ästadkomma unik identifiering faller utanför definitionen. Bearbet- ning av bilder av personer för att förbÀttra bildkvaliteten, förstÀrka detaljer och liknande omfattas alltsÄ inte. Om bilder dÀremot bear- betas i exempelvis ett ansiktsigenkÀnningsprogram i syfte att identi- fiera personer omfattas de av definitionen. Att fotografier kan om- fattas av regleringen av kÀnsliga personuppgifter pÄ andra grunder behandlas i kommentaren till 2 kap. 15 §.

Dataskyddsombud

En fysisk person som utses av den personuppgiftsansvarige för att sjÀlv- stÀndigt se till att personuppgifter behandlas författningsenligt och pÄ ett korrekt sÀtt.

Dataskyddsombud behandlas i avsnitt 6.6.5.

Ett dataskyddsombud Àr en fysisk person som utses av den per- sonuppgiftsansvarige att sjÀlvstÀndigt utföra vissa uppgifter i syfte att se till att personuppgifter behandlas författningsenligt och pÄ ett korrekt sÀtt. Ett dataskyddsombud kan antingen vara anstÀlld hos den personuppgiftsansvarige eller en utomstÄende. Kravet pÄ sjÀlv- stÀndighet innebÀr att dataskyddsombud ska kunna utföra sina arbets- uppgifter pÄ ett oberoende sÀtt. Ombuden förutsÀtts framför allt ha

272

SOU 2018:63

Författningskommentar

goda kunskaper om reglerna om personuppgiftsbehandling. Om- buden bör ocksÄ ha sÄdan stÀllning i organisationen att deras syn- punkter och rÄd tas pÄ allvar.

Dataskyddsombudets uppgifter, som motsvarar personuppgifts- ombudets uppgifter enligt 4 kap. 2–4 §§ FM-PuL, regleras i 4 kap. 6 §.

Genetiska uppgifter

Personuppgifter som rör en persons nedÀrvda eller förvÀrvade genetiska kÀnnetecken och som hÀrrör frÄn analys av ett spÄr av eller ett prov frÄn personen i frÄga.

Genetiska uppgifter behandlas i avsnitt 6.4.2 och 6.4.4.

All information som rör en persons nedÀrvda eller förvÀrvade genetiska kÀnnetecken och som kan tas fram ur ett spÄr frÄn mÀn- niskokroppen omfattas av definitionen.

Genetiska uppgifter behandlas vid dna-analyser i forensisk verk- samhet för att ta fram dna-profiler eller forensiska uppslag. Behand- lingen kan avse genetiska uppgifter frÄn sÄvÀl identifierade som oidentifierade personer. Eftersom nedÀrvda eller förvÀrvade gene- tiska kÀnnetecken för en person kan framgÄ av ett spÄr som pÄtrÀffas vid utredning av en hÀndelse, omfattas Àven analys av spÄren av definitionen, trots att de vid den tidpunkten inte gÄr att hÀrleda till en identifierad person. SjÀlva dna-profilen, som behandlas i dna- register, utgör dÀremot inte en genetisk uppgift, eftersom inga nedÀrvda eller förvÀrvade genetiska kÀnnetecken kan utlÀsas ur den. Dna-profilen Àr i stÀllet en biometrisk uppgift, eftersom den tas fram genom en sÀrskild teknisk behandling av en persons arvsmassa för att möjliggöra eller bekrÀfta unik identifiering av personen i frÄga.

Logg

Behandlingshistorik som sparas viss tid.

Logg och logguppföljning behandlas i avsnitt 6.6.2.

En logg definieras som en behandlingshistorik som sparas viss tid. Vad som ska loggas framgÄr av kommentaren till 4 kap. 2 §.

273

Författningskommentar

SOU 2018:63

Mottagare

Den till vilken personuppgifter lÀmnas ut, med undantag av en myn- dighet som med stöd av författning utövar tillsyn, kontroll eller revision.

Mottagare definieras som den till vilken personuppgifter lĂ€mnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision. Undantaget omfattar bl.a. myndig- heter som tar del av personuppgifter i sin tillsyn och kontroll av viss verksamhet, t.ex. Datainspektionen och Statens inspektion för för- svarsunderrĂ€ttelseverksamheten. Även andra myndigheter som utövar tillsyn, t.ex. Riksdagens ombudsmĂ€n (JO) och Justitiekanslern, om- fattas av undantaget.

Personuppgift

Varje upplysning om en identifierad eller identifierbar fysisk person som Àr i livet.

Med personuppgift avses varje upplysning om en identifierad eller identifierbar fysisk person som Àr i livet. Uttrycket behandlas i avsnitt 6.2.9.

Varje information som kan hĂ€nföras till en fysisk person Ă€r en personuppgift. Det gĂ€ller Ă€ven information som kan hĂ€nföras till en individ om en fysisk person kan identifieras med hjĂ€lp av infor- mationen. Det krĂ€vs inte att den personuppgiftsansvarige ska för- foga över samtliga uppgifter som gör identifieringen möjlig. Det innebĂ€r att t.ex. oidentifierade fingeravtryck och dna-profiler Ă€r personuppgifter, eftersom det Ă€r möjligt att identifiera en person med hjĂ€lp av dem. Även bild- eller ljudupptagningar kan utgöra per- sonuppgifter, om man direkt eller indirekt kan avgöra vilken individ som upptagningen avser.

Definitionen omfattar bara uppgifter om personer som Àr i livet. Uppgifter om juridiska personer omfattas inte av definitionen.

274

SOU 2018:63

Författningskommentar

Personuppgiftsansvarig

Den som ensam eller tillsammans med andra bestÀmmer ÀndamÄlen med och medlen för behandlingen av personuppgifter.

Uttrycket behandlas i avsnitt 6.2.9.

Personuppgiftsansvarig Àr enligt definitionen den som ensam eller tillsammans med andra bestÀmmer ÀndamÄlen med och medlen för behandlingen av personuppgifter.

Att bestÀmma ÀndamÄlen med behandlingen innebÀr i princip att bestÀmma att en behandling ska utföras och varför.

Att bestÀmma medlen för behandlingen avser frÀmst att bestÀmma över de tekniska och organisatoriska medlen, dvs. hur behandlingen ska gÄ till. Det kan handla om vilka personuppgifter som ska behand- las, vilka som ska fÄ ta del av dem och hur lÀnge personuppgifterna fÄr behandlas.

Den personuppgiftsansvarige styr dock inte alltid sjÀlv över alla medel för behandlingen. Vid direktÄtkomst bestÀmmer den som medger Ätkomsten hur tillgÄngen tekniskt ska lösas och vilka per- sonuppgifter som ska tillgÀngliggöras. Den som ges direktÄtkomst Àr personuppgiftsansvarig för behandlingen av de personuppgifter som direktÄtkomsten avser.

PersonuppgiftsbitrÀde

Den som, med stöd av ett skriftligt avtal eller annan skriftlig överens- kommelse, behandlar personuppgifter för den personuppgiftsansvariges rÀkning.

Uttrycket behandlas i avsnitt 6.2.9.

Ett personuppgiftsbitrÀde Àr en fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges rÀk- ning med stöd av ett skriftligt avtal eller en annan skriftlig överens- kommelse. Kravet pÄ att det ska finnas ett avtal eller en överens- kommelse framgÄr av 4 kap. 8 §.

Ett personuppgiftsbitrÀde behandlar personuppgifter endast enligt instruktioner frÄn den personuppgiftsansvarige och har inte rÀtt att sjÀlv bestÀmma över personuppgiftsbehandlingen. Ett personuppgifts- bitrÀde finns alltid utanför den egna organisationen En anstÀlld eller

275

Författningskommentar

SOU 2018:63

nÄgon annan som behandlar personuppgifter under den personupp- giftsansvariges direkta ansvar kan inte vara personuppgiftsbitrÀde.

Tredje part

NÄgon annan Àn den som personuppgiften rör, personuppgiftsansvarige, dataskyddsombudet, personuppgiftsbitrÀdet och sÄdana personer som under den personuppgiftsansvariges eller personuppgiftsbitrÀdets direkta ansvar har rÀtt att behandla personuppgifter.

Uttrycket behandlas i avsnitt 6.2.9.

Uppgiftssamling

En samling med uppgifter som med hjÀlp av automatiserad behandling Àr gemensamt tillgÀngliga.

Uppgiftssamlingar behandlas i avsnitt 6.5.

Avgörande för nÀr automatiserat behandlade uppgifter ska anses ingÄ i en uppgiftssamling Àr att uppgifterna Àr gemensamt tillgÀngliga i en viss verksamhet för de ÀndamÄl som ska styra behandlingen av uppgifter inom verksamheten.

2 kap. Behandling av personuppgifter

RĂ€ttsliga grunder

Försvar och sÀkerhet

1 §

Försvarsmakten fÄr behandla personuppgifter om det Àr nödvÀndigt för att planera, förbereda och genomföra verksamhet som rör

1.Sveriges försvar och sÀkerhet, eller

2.internationellt försvars- och sÀkerhetssamarbete. Försvarsmaktens uppgift att bedriva verksamhet som anges i första

stycket ska följa av lag, förordning eller ett sÀrskilt beslut i vilket reger- ingen uppdragit Ät myndigheten att utföra uppgiften.

276

SOU 2018:63

Författningskommentar

Paragrafen anger Sveriges försvar och sĂ€kerhet som en rĂ€ttslig grund för Försvarsmaktens personuppgiftsbehandling. Ämnet behandlas i avsnitt 6.3.1.

Personuppgifter fÄr enligt första stycket behandlas av Försvars- makten om det Àr nödvÀndigt för att planera, förbereda och genom- föra viss verksamhet. BestÀmmelsen bildar den yttre ramen för nÀr behandling av personuppgifter Àr tillÄten.

Enligt första stycket punkten 1 fÄr personuppgifter behandlas om det Àr nödvÀndigt för att planera, förbereda och genomföra verk- samhet som rör Sveriges försvar och sÀkerhet. Försvarsmaktens upp- gift att bedriva sÄdan verksamhet ska framgÄ av lag, förordning eller ett sÀrskilt beslut i vilket regeringen uppdragit Ät myndigheten att ansvara för uppgiften. Exempel pÄ sÄdana uppgifter anges i avsnitt 6.3.1.

Som framgÄr av avsnitt 6.3.1 Àr beskrivningen av verksamheterna Àr inte fullstÀndig. Det kan finnas andra uppgifter för Försvars- makten som rör Sveriges försvar och sÀkerhet och nya uppgifter kan tillkomma.

I avsnitt 6.3.1 ges exempel pÄ författningsenliga uppgifter som faller utanför bestÀmmelsen.

Enligt första stycket punkten 2 fÄr personuppgifter behandlas om det Àr nödvÀndigt för att planera, förbereda och genomföra verk- samhet som rör internationellt försvars- och sÀkerhetssamarbete.

Enligt andra stycket ska Försvarsmaktens uppgifter att bedriva verksamhet enligt första stycket framgÄ av lag, förordning eller ett sÀrskilt beslut i vilket regeringen uppdragit Ät myndigheten att ansvara för uppgiften. Exempel pÄ sÄdana uppgifter redovisas i avsnitt 6.3.1.

En nÀrmare beskrivning av Försvarsmaktens internationella sam- arbeten finns i avsnitt 3.1. Myndighetens deltagande i sÄdana sam- arbeten sker med stöd av regeringens beslut.

SÀrskilt om försvarsunderrÀttelseverksamhet

2 §

Personuppgifter fÄr behandlas i Försvarsmaktens försvarsunderrÀttelse- verksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet.

277

Författningskommentar

SOU 2018:63

Paragrafen behandlas i avsnitt 6.3.2. och anger de ÀndamÄl för vilka personuppgifter fÄr anvÀndas i försvarsunderrÀttelseverksamheten genom en hÀnvisning till lagen (2000:130) om försvarsunderrÀttelse- verksamhet.

FörsvarsunderrÀttelseverksamheten Àr ett led i Försvarsmaktens uppgifter att i fred, under beredskap och i krig ge underlag för Försvarsmaktens beredskap, operativa verksamhet och förbands- produktion samt för krigsorganisationens utveckling och materiella förnyelse. FörsvarsunderrÀttelseverksamhet bestÄr av inhÀmtning, bearbetning och analys samt delgivning av information. HÀrigenom utarbetas underrÀttelser som delges Regeringskansliet och andra berörda myndigheter. Det Àr regeringen som bestÀmmer inriktningen av försvarsunderrÀttelseverksamheten.

FörsvarsunderrÀttelseverksamheten ska identifiera och redovisa eller ge förvarning om sÄdana förÀndringar i omvÀrldslÀget att detta kan ligga till grund för politiska beslut om totalförsvarets anpassning pÄ kort eller lÄng sikt.

I underrÀttelseverksamhetens natur ligger att det inte gÄr att pÄ förhand göra tydliga avgrÀnsningar av vilka uppgifter som mÄste inhÀmtas för att nÄ det slutliga mÄlet att Ästadkomma de under- rÀttelser som uppdragsgivarna efterfrÄgar. InhÀmtad information kan motivera inhÀmtning av annan information som man frÄn början inte kÀnde till. Det kan ocksÄ uppkomma behov av att vÀrdera trovÀrdigheten hos kÀllor, som man heller inte kÀnde till frÄn början. Verksamheten kan ocksÄ gÄ ut pÄ att leta efter företeelser och hot som Àr okÀnda men som antas existera.

3 §

De personuppgifter som Försvarsmakten har fÄtt tillgÄng till i myndig- hetens försvarsunderrÀttelseverksamhet fÄr fortsatt behandlas i den verksamheten, om det behövs för att fullgöra den.

Vad som sÀgs i första stycket gÀller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslutning till lagen.

Paragrafen behandlas i avsnitt 6.3.2 och innebÀr en komplettering av ÀndamÄlsbeskrivningen i 2 § pÄ sÄ sÀtt att de personuppgifter som

278

SOU 2018:63

Författningskommentar

Försvarsmakten har fÄtt tillgÄng till i sin försvarsunderrÀttelseverk- samhet Àven fortsÀttningsvis fÄr behandlas i den verksamheten, om det behövs för att fullgöra den.

En förutsÀttning för behandlingen enligt bestÀmmelsen Àr att den inte strider mot nÄgon annan bestÀmmelse i lagen eller tillhörande förordning. Detta tydliggörs i andra stycket.

SÀrskilt om militÀr sÀkerhetstjÀnst

4 §

Personuppgifter fÄr behandlas i Försvarsmaktens militÀra sÀkerhets- tjÀnst för att upptÀcka, förebygga och avvÀrja sÀkerhetshotande verk- samhet som riktas mot Försvarsmakten och dess sÀkerhetsintressen, om det Àr nödvÀndigt för att

1.klarlÀgga verksamhet som innefattar hot mot Sveriges sÀkerhet,

eller

2.vidta ÄtgÀrder som hindrar eller försvÄrar sÀkerhetshotande verk- samhet.

Paragrafen, som behandlas i avsnitt 6.3.3, anger de ÀndamÄl för vilka uppgifter fÄr behandlas i den militÀra sÀkerhetstjÀnsten.

ÄndamĂ„let med behandlingen av personuppgifter inom den militĂ€ra sĂ€kerhetstjĂ€nsten Ă€r att tjĂ€nsten ska kunna fullgöra de uppgifter som följer av sĂ€kerhetsskyddslagen (1996:627), sĂ€kerhetsskyddsförord- ningen (1996:633) och förordningen (2007:1266) med instruktion för Försvarsmakten. Uppgifter fĂ„r behandlas i Försvarsmaktens mili- tĂ€ra sĂ€kerhetstjĂ€nst för att upptĂ€cka, förebygga och avvĂ€rja sĂ€kerhets- hotande verksamhet som riktas mot Försvarsmakten och dess sĂ€ker- hetsintressen.

Enligt punkten 1 fÄr uppgifter behandlas för att klarlÀgga verk- samhet som innefattar hot mot rikets sÀkerhet. DÀrvid fÄr under de nÀrmare förutsÀttningar som anges i 5 § ocksÄ behandlas uppgifter om personer med anknytning till sÄdan verksamhet. Med denna punkt avses sÀkerhetsunderrÀttelsetjÀnst. Verksamheten sker i stort under samma arbetsformer och med utnyttjande av samma typ av kÀllor som anvÀnds i försvarsunderrÀttelseverksamheten.

279

Författningskommentar

SOU 2018:63

Inom sÀkerhetsskyddstjÀnsten, som avses i punkten 2, vidtas olika ÄtgÀrder för att förhindra eller försvÄra sÀkerhetshotande verksam- het. Verksamheten bestÄr i att förebygga att hemliga uppgifter som rör rikets sÀkerhet obehörigen röjs, Àndras eller förstörs. Verksam- heten syftar ocksÄ till att skydda Försvarsmaktens personal, materiel och anlÀggningar.

Punkten 2 omfattar ocksÄ signalskyddstjÀnst, som syftar till att minska verkan av signalspaning, falsk signalering och störsÀndning mot totalförsvarets telekommunikations- och informationssystem. Verksamheten ska förhindra obehörig insyn i och pÄverkan av total- försvarets telekommunikationer, samt verka för anvÀndning av krypto- grafiska funktioner i informationssystemen. Signalkontroll innebÀr att underlag inhÀmtas frÀmst genom avlyssning av analog och digital signalering i telekommunikations- och informationssystem. De inhÀm- tade underlagen granskas och bearbetas, varefter gjorda iakttagelser delges och rapporteras. Signalkontroll genomförs i totalförsvarets tele- kommunikations- och informationssystem stickprovsvis med hjÀlp av fasta eller rörliga kontrollorgan. I 7 § finns en sÀrskild bestÀmmelse om personuppgiftsbehandling i signalkontrollverksamheten.

5 §

Uppgifter om en person fÄr behandlas för det ÀndamÄl som anges i 4 § endast om

1.uppgifterna Àr nödvÀndiga för att kartlÀgga verksamhet som inne- fattar brott som kan hota Sveriges sÀkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brotts- lighet enligt tidigare lagstiftning,

2.uppgifterna Àr nödvÀndiga för att kartlÀgga underrÀttelseverk- samhet riktad mot Försvarsmakten och dess sÀkerhetsintressen,

3.uppgifterna Àr nödvÀndiga för att kartlÀgga annan sÀkerhetshotande verksamhet Àn som avses i 1 och som innefattar brott eller ÄsidosÀttande av Äligganden i anstÀllning hos Försvarsmakten, och det finns sÀrskilda skÀl till att uppgiften ska behandlas,

4.personen har lÀmnat uppgifter om sÀkerhetshotande verksamhet och personuppgifterna Àr nödvÀndiga för att bedöma personens tro- vÀrdighet, eller

280

SOU 2018:63

Författningskommentar

5.uppgifterna avser information som har framkommit i samband med sÀkerhetsprövning enligt sÀkerhetsskyddslagen (1996:627) eller i annat fall Àr nödvÀndiga för att hantera en uppgift som rör sÀkerhets- skydd.

I paragrafen preciseras de ÀndamÄl för vilka personuppgifter fÄr behandlas inom den militÀra sÀkerhetstjÀnsten med en sÀrskild bestÀm- melse om vilka uppgiftskategorier som fÄr behandlas i verksamheten. En nÀrmare beskrivning av de fem punkterna finns i avsnitt 6.3.3.

6 §

Personuppgifter som behandlas enligt 5 § ska förses med upplysning om pÄ vilken av de angivna grunderna uppgiften behandlas. Om behand- lingen av en personuppgift föranleds av nÄgot annat Àn antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det sÀrskilt anges att personen inte Àr misstÀnkt för brottslig verksamhet, om det inte pÄ annat sÀtt klart framgÄr att sÄdan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan sÀkerhetshotande verksamhet ska förses med en sÀrskild upplysning om detta, om det inte pÄ annat sÀtt klart framgÄr att sÄdant antagande inte finns.

Personuppgifter som behandlas enligt 5 § första stycket 1–3 ska i förekommande fall förses med en upplysning om uppgiftslĂ€mnarens trovĂ€rdighet och uppgifternas riktighet i sak.

BestÀmmelsen behandlas i avsnitt 6.3.3.

NÀr uppgifter behandlas i den militÀra sÀkerhetstjÀnsten Àr det av integritetsskÀl viktigt att sÀrskilja olika typer av uppgifter. SÀrskilt viktigt Àr att det inte uppstÄr missuppfattningar om nÄgon kan antas faktiskt utöva eller förbereda sÀkerhetshotande verksamhet eller inte. I första stycket anges att uppgifter om en person ska förses med upplysning om pÄ vilken av de i första stycket angivna grunderna uppgiften behandlas. Uppgifter om brottsmisstanke Àr sÀrskilt kÀns- liga ur integritetssynpunkt och det föreskrivs dÀrför att i de fall behandlingen av en personuppgift inte föranleds av antagande om att personen utövar brottslig verksamhet ska detta sÀrskilt anges, om det inte klart framgÄr pÄ annat sÀtt. PÄ motsvarande sÀtt ska anges

281

Författningskommentar

SOU 2018:63

om det inte heller kan antas att personen bedriver sÀkerhetshotande verksamhet som inte utgör brott. UtgÄngspunkten Àr att sÀrskilda upplysningar inte behövs nÀr det av sammanhanget inte kan uppstÄ nÄgra tvivel om varför uppgifterna i frÄga behandlas och det dÀrför inte föreligger risk för att nÄgon av misstag kan uppfattas utöva brottslig eller pÄ annat sÀtt sÀkerhetshotande verksamhet.

I andra stycket föreskrivs att uppgifter om att en person som avses

ipunkterna 1–3 ska förses med upplysning om uppgiftslĂ€mnarens trovĂ€rdighet och uppgifternas riktighet i sak. Detta innebĂ€r att en sĂ€rskild upplysning i förekommande fall ska lĂ€mnas om vilken tro- vĂ€rdighet som tillmĂ€ts t.ex. den som lĂ€mnat ett tips till sĂ€kerhets- tjĂ€nsten. Om möjligt ska ocksĂ„ anges hur korrekt uppgiften Ă€r, t.ex. om det Ă€r en obekrĂ€ftad gissning eller ett belagt faktum.

7 §

Trots vad som sÀgs i 5 och 6 §§ fÄr personuppgifter som ingÄr i eller har uppkommit i samband med anvÀndning av totalförsvarets tele- kommunikations- och informationssystem behandlas för att förhindra obehörig insyn i och pÄverkan av dessa system. Det gÀller Àven sÄdana uppgifter som avses i 15, 16, 18 och 19 §§. Behandling som sÀrskilt syftar till att identifiera en person fÄr dock endast utföras om be- stÀmmelserna i 5 § första stycket 1, 2 eller 3 tillÀmpas.

BestĂ€mmelsen, som behandlas i avsnitt 6.3.3, innebĂ€r att person- uppgifter som ingĂ„r i eller har uppkommit i samband med anvĂ€nd- ning av totalförsvarets telekommunikations- och informations- system – Ă€ven sĂ„dana som omfattas av sĂ€rskilda restriktioner – fĂ„r behandlas i syfte att förhindra obehörig insyn i och pĂ„verkan av dessa system. Den omstĂ€ndigheten att sĂ„dan behandling genom signal- kontroll utförs utan att förekomsten av relevanta personuppgifter pĂ„ förhand kan avgöras utgör följaktligen inte nĂ„got hinder för verk- samheten.

NÀr sÀkerhetshotande företeelser upptÀcks och det erfordras sÀrskild behandling för att identifiera en person, t.ex. genom att en viss kommunikationsenhet hÀrleds till en individualiserad anvÀndare, gÀller dock att behandlingen endast fÄr utföras om det finns grundad

282

SOU 2018:63

Författningskommentar

anledning att anta att det betrÀffande personen föreligger sÄdant förhÄllande som avses i 5 § första stycket 1, 2 eller 3.

Övriga rĂ€ttsliga grunder

8 §

Personuppgifter som utgör allmÀnt tillgÀnglig information fÄr behand- las av Försvarsmakten om det Àr nödvÀndigt för de ÀndamÄl som anges i 1, 2 och 4 §§.

BestÀmmelsen behandlas i avsnitt 6.3.4.

För att kunna bedriva en effektiv försvarsunderrÀttelseverksam- het behöver Försvarsmakten, utöver den information som den inhÀmtar genom hemliga metoder, ocksÄ ha god tillgÄng till allmÀnt tillgÀnglig information. DÀrigenom kan den pÄ hemligt sÀtt inhÀm- tade informationen pÄ ett bÀttre sÀtt Àn eljest sÀttas in i sitt rÀtta sammanhang. Av intresse hÀr Àr information som utgörs av person- uppgifter som kan pÄtrÀffas vid sökning pÄ internet eller vid sök- ningar i öppna databaser. Uppgifterna kan vara gratis eller tillgÀng- liga pÄ kommersiell grund. Gemensamt för dem Àr att de Àr publikt tillgÀngliga. Det kan röra sig om uppgifter som t.ex. en abonnent pÄ ett eller annat sÀtt har samtyckt att uppgifterna finns med i elek- troniska telefonkataloger eller förteckningar över ip-adresser i olika lÀnder. I stÀllet för att myndigheten exponerar sig kan databaserna anskaffas och lÀggas upp som referensdatabaser hos myndigheten dÀr den kan göra sökningar.

BestÀmmelsen gör det ocksÄ möjligt att behandla personupp- gifter pÄ det beskrivna sÀttet nÀr det gÀller planering, förberedelse och genomförande av verksamhet som avser Sveriges försvar och sÀkerhet eller internationellt försvars- och sÀkerhetssamarbete lik- som nÀr det gÀller verksamhet inom den militÀra sÀkerhetstjÀnsten.

9 §

Personuppgifter fÄr behandlas av Försvarsmakten om det Àr nödvÀndigt för diarieföring, arkivering, handlÀggning av ett Àrende eller för att utföra annan liknande uppgift som Äligger myndigheten.

283

Författningskommentar

SOU 2018:63

BestÀmmelsen behandlas i avsnitt 6.3.5.

Genom bestÀmmelsen har den behandling av personuppgifter som uppkommer i de i avsnittet beskrivna verksamheterna direkt stöd i lag.

10 §

Försvarsmakten fÄr behandla personuppgifter för vetenskapliga, statistiska eller historiska ÀndamÄl inom denna lags tillÀmpningsomrÄde.

BestÀmmelsen behandlas i avsnitt 6.3.10.

Genom bestÀmmelsen ges Försvarsmakten möjlighet att behandla personuppgifter för historiska, statistiska eller vetenskapliga ÀndamÄl.

11 §

Försvarsmakten fÄr behandla personuppgifter för att kunna tillgodose enskildas behov av information enligt 5 kap. och kunna lÀmna infor- mation vid tillsyn eller kontroll.

BestÀmmelsen behandlas i avsnitt 6.3.11.

Datainspektionen Ă€r tillsynsmyndighet för Försvarsmaktens per- sonuppgiftsbehandling. Även Statens inspektion för försvarsunder- rĂ€ttelseverksamheten (Siun) har till uppgift att kontrollera försvars- underrĂ€ttelseverksamheten hos de myndigheter som bedriver sĂ„dan verksamhet, dĂ€ribland vilka personuppgifter som behandlas i denna verksamhet. Sökningar i uppgiftssamlingar och sammanstĂ€llningar av uppgifter som Ă€r nödvĂ€ndig för att Försvarsmakten ska kunna till- mötesgĂ„ tillsynsmyndighetens och kontrollmyndighetens behov inne- bĂ€r att personuppgifter behandlas. BestĂ€mmelsen utgör rĂ€ttslig grund för denna personuppgiftsbehandling samt för den personuppgifts- behandling som krĂ€vs för att tillmötesgĂ„ enskildas rĂ€tt till informa- tion enligt 5 kap. Enskildas rĂ€ttigheter behandlas vidare i avsnitt 6.7.2. Tillsynsmyndighetens verksamhet behandlas i avsnitt 6.8.

BestÀmmelsen utgör Àven den rÀttsliga grunden för personupp- giftshantering i Försvarsmaktens loggfunktioner för de syften som framgÄr av denna bestÀmmelse. BestÀmmelser om myndigheternas loggfunktioner behandlas vidare i avsnitt 6.6.2.

284

SOU 2018:63

Författningskommentar

GrundlÀggande krav

ÄndamĂ„l

12 §

Personuppgifter fÄr bara behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl.

Personuppgifter fÄr inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket personuppgifterna ursprungligen behandlades.

BestÀmmelsen behandlas i avsnitt 6.4.1.

Paragrafen sÀtter, tillsammans med bestÀmmelserna i 13 och

14 §§, vissa ramar för Försvarsmaktens personuppgiftsbehandling inom lagens verksamhetsomrÄden.

BestÀmmelsen stÀller i första stycket krav pÄ att varje personupp- giftsbehandling ska ha koppling till de ÀndamÄl som anges i lagen, dvs. vara relevant i de verksamheter som utgör rÀttsliga grunder för personuppgiftsbehandling och Àr Àgnade att lösa Försvarsmaktens uppgifter enligt lag eller annan författning. Detta innebÀr att Ànda- mÄlen med en behandling av personuppgifter mÄste bestÀmmas redan nÀr uppgifterna samlas in.

Paragrafens andra stycke ger uttryck för den generella s.k. finali- tetsprincipen, dvs. att fortsatt behandling av personuppgifter inte fÄ ske för nÄgot ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket personuppgifterna ursprungligen behandlades. Vad som ska anses vara oförenliga ÀndamÄl mÄste avgöras frÄn fall till fall, men de ÀndamÄl som anges i lagen Àr att betrakta som förenliga för fortsatt behandling. Den innebÀr att den personuppgiftsansvarige under hela behandlingstiden mÄste hÄlla reda pÄ för vilka ÀndamÄl varje person- uppgift har samlats in. Se prop. 2006/07:46 s. 56 f.

285

Författningskommentar

SOU 2018:63

Författningsenlig och korrekt behandling

13 §

Personuppgifter ska behandlas författningsenligt och pÄ ett korrekt sÀtt.

Paragrafen behandlas i avsnitt 6.4.1.

Personuppgifter fÄr enligt bestÀmmelsen bara behandlas om det Àr författningsenligt, dvs. enligt lag eller annan författning.

Vad som Àr ett korrekt sÀtt för behandling styrs emellertid inte bara av bestÀmmelser i författning och den praxis som utbildas kring dem. Tillsynsmyndighetens allmÀnna rÄd och uttalanden i frÄga om personuppgiftsbehandling har ocksÄ betydelse, liksom myndighe- ternas interna regler.

Personuppgifternas kvalitet

14 §

Personuppgifter som behandlas ska vara adekvata och relevanta i förhÄllande till ÀndamÄlen med behandlingen och, om det Àr nödvÀn- digt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas pÄ ett objektivt sÀtt med respekt för mÀnniskovÀrdet.

Fler personuppgifter fÄr inte behandlas Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen.

Paragrafen behandlas i avsnitt 6.4.1.

Enligt första stycket ska de behandlade uppgifterna vara adekvata och relevanta i förhĂ„llande till Ă€ndamĂ„let med behandlingen. Detta innebĂ€r bl.a. att ovidkommande uppgifter inte fĂ„r behandlas. En prövning av om en personuppgift Ă€r nödvĂ€ndig för behandlingen ska göras kontinuerligt av den behöriga myndigheten, inte bara nĂ€r uppgiften registreras eller pĂ„ annat sĂ€tt samlas in. Även vid en senare behandling ska personuppgiften behövas för just den behandlingen, annars Ă€r kravet pĂ„ adekvans och relevans inte uppfyllt. De person- uppgifter som behandlas behöver vara uppdaterade, om det Ă€r nödvĂ€ndigt. FrĂ„gan om det Ă€r nödvĂ€ndigt att de Ă€r uppdaterade fĂ„r avgöras med hĂ€nsyn till Ă€ndamĂ„len med behandlingen.

286

SOU 2018:63

Författningskommentar

Enligt andra stycket ska uppgifter som beskriver en persons ut- seende ska utformas pÄ ett objektivt sÀtt med respekt för mÀn- niskovÀrdet. Syftet med bestÀmmelsen Àr att förhindra att personers utseende beskrivs i ordalag som kan vara krÀnkande för individen.

Utformningen av bestÀmmelsen innebÀr att myndigheten alltid Àr oförhindrad att, nÀr den fÄr ett tips frÄn allmÀnheten eller en sam- arbetspartner om en person som kan misstÀnkas för verksamhet som exempelvis innebÀr sÀkerhetshot mot Försvarsmaktens intressen, göra de anteckningar som Àr nödvÀndiga för att underlÀtta identi- fieringen av personen, t.ex. anteckningar om fysiska kÀnnetecken. Anteckningarna mÄste dock utformas pÄ ett objektivt sÀtt. I anslut- ning till dessa anteckningar fÄr Àven sÄdana kÀnsliga personuppgifter som avses i 15 § antecknas, om det Àr absolut nödvÀndigt för det arbete som tipset bör föranleda.

Enligt tredje stycket fÄr inte fler personuppgifter behandlas Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen. Vad som utgör nödvÀndig behandling fÄr avgöras av den personupp- giftsansvarige vid varje behandling. Att uppgifterna inte fÄr vara fler Àn nödvÀndigt understryker kravet pÄ att en fortlöpande bedömning görs.

Sammantaget mÄste det vid all behandling prövas om det gÄr att utelÀmna personuppgifter, eller i vart fall att endast anvÀnda upp- gifter som indirekt gÄr att hÀnföra till en viss person. Om fullstÀndig avidentifiering Àr ett fullgott alternativ till att anvÀnda direkta eller indirekta personuppgifter Àr förutsÀttningarna för att behandla per- sonuppgifterna inte uppfyllda.

KĂ€nsliga personuppgifter

15 §

Personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning fÄr inte behandlas.

NÀr uppgifter om en person behandlas fÄr de dock kompletteras med sÄdana uppgifter som avses i första stycket, om det Àr absolut nödvÀndigt för syftet med behandlingen.

287

Författningskommentar

SOU 2018:63

Paragrafen reglerar tillsammans med 16 och 17 §§ i vilken utstrÀck- ning kÀnsliga personuppgifter fÄr behandlas. Att uppgifterna beteck- nas som kÀnsliga personuppgifter framgÄr av rubriken. Paragrafen behandlas i avsnitt 6.4.2.

Enligt första stycket fÄr personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning inte behandlas. Det innebÀr att det inte Àr tillÄtet att föra register över eller pÄ annat sÀtt göra anteckningar om enskilda pÄ den grunden att de utifrÄn etniskt ursprung, politiska Äsikter eller nÄgot annat i paragrafen angivet förhÄllande kan hÀnföras till en viss kate- gori av mÀnniskor.

En uppgift om utseende Àr normalt inte en kÀnslig personuppgift och den fÄr alltsÄ behandlas, med den begrÀnsning som följer av 14 § andra stycket. Om en sÄdan uppgift samtidigt innebÀr uppgift om etniskt ursprung omfattas den dock av förbudet. BestÀmmelsen hindrar inte att uppgifter om en persons nationalitet behandlas, eftersom en sÄdan uppgift normalt inte ger upplysning om etniskt ursprung (se prop. 2009/10:85 s. 325). Uppgifter om att en viss person kommer frÄn en viss vÀrldsdel eller ett visst land faller ocksÄ som regel utanför förbudet mot behandling av kÀnsliga person- uppgifter. Skulle en sÄdan personuppgift i det enskilda fallet t.ex. avslöja etniskt ursprung Àr dock förbudet tillÀmpligt.

I andra stycket görs undantag frĂ„n huvudregeln att kĂ€nsliga per- sonuppgifter inte fĂ„r behandlas. Uppgifter om en person som behand- las pĂ„ annan grund fĂ„r kompletteras med kĂ€nsliga personuppgifter, om det Ă€r absolut nödvĂ€ndigt för Ă€ndamĂ„let med behandlingen. Det innebĂ€r att om andra uppgifter om en person samlas in fĂ„r de kom- pletteras med uppgifter om exempelvis religiös övertygelse eller etniskt ursprung om det Ă€r av stor betydelse för syftet med behand- lingen. Med hĂ€nsyn till den restriktivitet som ligger i uttrycket ”absolut nödvĂ€ndigt” mĂ„ste dock behovet av att göra sĂ„dana kom- pletteringar prövas noga i det enskilda fallet.

KÀnsliga personuppgifter kan ocksÄ förekomma i Försvarsmaktens verksamhet pÄ grund av att nÄgon har lÀmnat en sÄdan uppgift i ett tips eller förhör. Det kan vara frÄga om helt grundlösa pÄstÄenden. Eftersom Försvarsmakten inte kan hindra nÄgon frÄn att yttra sig

288

SOU 2018:63

Författningskommentar

vare sig muntligen eller skriftligen pÄ dessa sÀtt, kan kÀnsliga per- sonuppgifter komma att behandlas. Behandlingen av den kÀnsliga personuppgiften omfattas i dessa fall av undantaget i andra stycket.

16§

Biometriska uppgifter fÄr behandlas endast om det Àr absolut nödvÀndigt för ÀndamÄlet för behandlingen. Genetiska uppgifter fÄr inte behandlas.

Paragrafen reglerar i vilken utstrÀckning biometriska uppgifter fÄr behandlas. Paragrafen behandlas i avsnitt 6.4.2.

Med biometriska uppgifter avses enligt definitionen i 1 kap. 8 § personuppgifter som rör en fysisk persons fysiska, fysiologiska eller beteendemÀssiga kÀnnetecken som tagits fram genom sÀrskild tek- nisk behandling och som möjliggör eller bekrÀftar unik identifiering av personen i frÄga.

BestÀmmelsen möjliggör anvÀndning av sÀrskild teknisk behand- ling för att bekrÀfta unik identifiering av en person. Det innebÀr att t.ex. fingeravtryck, ansiktsgeometri, röstigenkÀnning eller rörelse- mönster kan anvÀndas för att identifiera en person. Behovet av att behandla biometriska uppgifter mÄste prövas noga i ett enskilt Àrende.

Försvarsmakten fÄr inte behandla genetiska uppgifter. Uttrycket definieras i 1 kap. 8 §.

17 §

Vid sökning fÄr personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning an- vÀndas som sökbegrepp om det Àr absolut nödvÀndigt för syftet med behandlingen. Detsamma gÀller biometriska uppgifter.

Paragrafen reglerar i vilken utstrÀckning kÀnsliga personuppgifter fÄr anvÀndas som sökbegrepp. Paragrafen behandlas i avsnitt 6.4.2.

Paragrafen gÀller generellt, dvs. sÄvÀl personuppgifter som har gjorts gemensamt tillgÀngliga som personuppgifter som inte har det.

BestÀmmelsen gör det möjligt att utföra sökning i syfte att fÄ fram ett personurval grundat pÄ kÀnsliga personuppgifter, t.ex. i

289

Författningskommentar

SOU 2018:63

syfte att fÄ fram ett urval av personer som t.ex. har viss politisk ÄskÄdning eller religiös övertygelse etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hÀlsa, sexualliv eller sexuell lÀggning, om sökningen Àr absolut nödvÀndig för de syften som utgör rÀttslig grund för Försvarsmaktens person- uppgiftsbehandlingar. Försvarsmakten kan behöva söka pÄ uppgifter som rör politiska Äsikter, religiös övertygelse eller etniskt ursprung, eftersom det ingÄr i Försvarsmaktens uppdrag att kartlÀgga sÄdan verksamhet som kan komma att hota Sveriges försvar och sÀkerhet. SÄdan sökning kan Àven behöva göras t.ex. för att förebygga, förhindra eller utreda angrepp mot svensk personal vid insatser utomlands. Kravet pÄ att det ska vara absolut nödvÀndigt att göra sökningen gör att utrymmet för sÄdana sökningar Àr begrÀnsat och att rutinmÀssiga sökningar pÄ kÀnsliga uppgifter inte Àr tillÄtna.

I vilken utstrÀckning det Àr tillÄtet att behandla nÄgon eller nÄgra av personuppgifterna i en sammanstÀllning av sÄdana uppgifter som sökningen resulterat i fÄr prövas mot huvudregeln om behandling av kÀnsliga personuppgifter i 15 §. RÀtten att göra sökning medför sÄledes inte en generell rÀtt att fortsÀtta att behandla uppgifterna.

Personnummer

18 §

Uppgifter om personnummer eller samordningsnummer fÄr behandlas bara nÀr det Àr klart motiverat med hÀnsyn till

1.ÀndamÄlet med behandlingen,

2.vikten av en sÀker identifiering, eller

3.nÄgot annat beaktansvÀrt skÀl.

Paragrafen reglerar i vilken omfattning personnummer fÄr behandlas vid Försvarsmakten. Paragrafen behandlas i avsnitt 6.4.3.

290

SOU 2018:63

Författningskommentar

Om den som uppgifterna rör har offentliggjort uppgifterna eller lÀmnat sitt samtycke

19 §

Utan hinder av vad som föreskrivs i 15, 16 och 18 §§ fÄr person- uppgifter behandlas, om den som personuppgifterna rör har lÀmnat sitt uttryckliga samtycke eller pÄ ett tydligt sÀtt har offentliggjort uppgifterna.

Första stycket gÀller inte genetiska uppgifter.

Paragrafen behandlas i avsnitt 6.4.4.

Paragrafen ger Försvarsmakten möjlighet att behandla kÀnsliga personuppgifter, om den som personuppgifterna rör har lÀmnat sitt uttryckliga samtycke eller pÄ ett tydligt sÀtt har offentliggjort upp- gifterna. Samtyckessituationer kan exempelvis förekomma i Försvars- maktens militÀra sÀkerhetstjÀnst vid sÀkerhetsprövningar. Paragra- fen ger Àven Försvarsmakten möjlighet att behandla personuppgifter som tydligt har offentliggjorts genom att de exempelvis tillkÀnna- getts pÄ internet.

BestÀmmelsen gÀller inte genetiska uppgifter.

Behandling av personuppgifter i vissa fall

20 §

Hantering av information som innebĂ€r behandling av personuppgifter ska inte anses oförenlig med bestĂ€mmelserna i 1, 2, 4, 5, 7, 8 och 12–16 §§ i det skede av behandlingen dĂ„ det inte har kunnat faststĂ€llas vilka per- sonuppgifter som informationen innehĂ„ller.

Paragrafen behandlas i avsnitt 6.4.5.

BestÀmmelsen innebÀr att hantering av information som innebÀr behandling av personuppgifter inte ska anses oförenlig med bestÀm- melserna om tillÄtlighet, ÀndamÄl, författningsenlig och korrekt behandling, personuppgifternas kvalitet och kÀnsliga personuppgifter i det skede av behandlingen dÄ det Ànnu inte har kunnat faststÀllas vilka personuppgifter som informationen innehÄller.

NÀr det stÄr klart att informationen innehÄller personuppgifter, samt vilka personuppgifterna Àr, ska Försvarsmakten behandla per- sonuppgifterna enligt övriga bestÀmmelser i lagen.

291

Författningskommentar

SOU 2018:63

LÀngsta tid som personuppgifter fÄr behandlas

21 §

Personuppgifter som behandlas automatiserat fĂ„r inte behandlas under lĂ€ngre tid Ă€n vad som behövs för nĂ„got eller nĂ„gra av de Ă€ndamĂ„l som anges i 1–11 §§.

Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter fÄr behandlas under endast viss tid eller bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

Paragrafen, som behandlas i avsnitt 6.4.6, innehÄller en generell bestÀm- melse om hur lÀnge Försvarsmakten fÄr behandla personuppgifter.

Enligt första stycket fĂ„r personuppgifter som behandlas automa- tiserat enligt bestĂ€mmelsen inte behandlas under lĂ€ngre tid Ă€n vad som behövs för nĂ„got eller nĂ„gra av de Ă€ndamĂ„l för vilka Försvars- makten fĂ„r behandla personuppgifter (1–11 §§). Det som avses Ă€r Ă€ndamĂ„let i det enskilda fallet. Ibland behandlas personuppgifter för flera olika Ă€ndamĂ„l. Att det inte lĂ€ngre finns behov av att behandla personuppgiften för ett visst Ă€ndamĂ„l medför inte att behandlingen av den mĂ„ste upphöra för alla andra Ă€ndamĂ„l samtidigt. Å andra sidan innebĂ€r det förhĂ„llandet att personuppgiften fortfarande behövs för ett visst Ă€ndamĂ„l inte att den fĂ„r fortsĂ€tta att behandlas för alla Ă€ndamĂ„l lika lĂ€nge. Finns det inte lĂ€ngre behov av att behandla upp- gifterna för nĂ„got av Ă€ndamĂ„len fĂ„r de bara behandlas för arkiv- Ă€ndamĂ„l. Behovet av att fortsĂ€tta att behandla uppgifterna mĂ„ste dĂ€rför prövas kontinuerligt. Om det Ă€r tillrĂ€ckligt att behandla avidentifierade uppgifter Ă€r det inte lĂ€ngre tillĂ„tet att behandla personuppgifterna.

BestÀmmelsen ger Àven stöd för fortsatt behandling av person- uppgifter i ett avslutat Àrende om uppgifterna bedöms ha ett allmÀnt vÀrde för exempelvis Försvarsmaktens försvarsunderrÀttelseverk- samhet eller militÀra sÀkerhetstjÀnst. En grundlÀggande förutsÀtt- ning för fortsatt behandling Àr att Försvarsmakten bedömer att upp- gifterna behöver finnas tillgÀngliga ytterligare en viss tid för nÄgot av de ÀndamÄl för vilka Försvarsmakten fÄr behandla personupp- gifter. NÀr det gÀller ostrukturerad underrÀttelseinformation kan det vara sÀrskilt svÄrt att bedöma det fortsatta behovet av behandling. Bedömningen mÄste innan bearbetningen Àr genomförd göras pÄ ett

292

SOU 2018:63

Författningskommentar

mer övergripande plan och i större utstrÀckning utgÄ frÄn sanno- likheten av att personuppgifterna kan komma att behövas i verksam- heten Àn en reell bedömning av den enskilda uppgiften.

BestÀmmelsen hindrar inte att Försvarsmakten med stöd i annan författning arkiverar och bevarar allmÀnna handlingar eller att arkiv- material lÀmnas till en arkivmyndighet.

I andra stycket finns en upplysningsföreskrift om att regeringen eller den myndighet regeringen bestÀmmer kan meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter fÄr behandlas endast under viss tid eller bevaras för historiska, statistiska eller veten- skapliga ÀndamÄl.

UtlÀmnande av personuppgifter

22 §

Personuppgifter som behandlas med stöd av denna lag fÄr föras över till andra lÀnder eller internationella organisationer endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarsmakten ska kunna fullgöra sina uppgifter inom ramen för internationellt försvars- och sÀkerhetssamarbete.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall om det Àr nödvÀndigt för verksamheten vid Försvarsmakten.

Enligt paragrafen, som behandlas i avsnitt 6.4.7, fÄr personuppgifter föras över till andra lÀnder eller internationella organisationer endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvars- makten ska kunna fullgöra sina uppgifter inom ramen för det interna- tionella försvarsunderrÀttelse- och sÀkerhetssamarbetet. Paragrafen Àr Àgnad att uppfylla de krav pÄ nationell lagstiftning som dataskydds- konventionen stÀller nÀr det gÀller överföring av personuppgifter till andra lÀnder. Huruvida ett utlÀmnande ska ske eller inte mÄste i sin helhet avgöras efter en sekretessprövning och försvars- och sÀker- hetspolitiska övervÀganden.

Av bestÀmmelsen framgÄr vidare att begrÀnsningarna av möjlig- heterna till överföring gÀller sÄvida inte regeringen har meddelat föreskrifter eller beslut i enskilda fall om att överföring fÄr ske Àven

293

Författningskommentar

SOU 2018:63

i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvars- makten.

23 §

Personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst, om det inte Àr olÀmpligt.

Elektroniskt utlĂ€mnande genom direktĂ„tkomst Ă€r tillĂ„tet bara i den utstrĂ€ckning som anges i 3 kap. 2–4 §§.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begrÀnsning av möjligheten att lÀmna ut personuppgifter elektroniskt enligt första stycket.

Paragrafen, som behandlas i avsnitt 6.4.7, reglerar elektroniskt ut- lÀmnande.

BestÀmmelsens första stycke innebÀr att en större mÀngd person- uppgifter kan lÀmnas ut elektroniskt, om det inte Àr olÀmpligt.

I princip anses allt elektroniskt utlÀmnande som inte görs genom direktÄtkomst utlÀmnat pÄ medium för automatiserad behandling. SÄdant utlÀmnande kan göras pÄ mÄnga olika sÀtt. Det kan vara frÄga om att personuppgifter lÀmnas t.ex. via e-post eller dvd-skiva eller genom direkt överföring frÄn ett datasystem till ett annat via elek- troniska kommunikationsnÀt.

Det har betydelse vem mottagaren Àr för frÄgan om det Àr olÀmpligt att lÀmna ut uppgifter elektroniskt. Som regel kan det inte anses vara olÀmpligt att lÀmna ut uppgifter pÄ det sÀttet till en myndighet (se prop. 2014/15:148 s. 113, jfr SOU 2015:39 s. 447 f.).

NÀr det gÀller utlÀmnande till andra Àn svenska myndigheter krÀvs en mer nyanserad bedömning med hÀnsyn till bl.a. innehÄllet i handlingen och vem (t.ex. en organisation) som Àr mottagare. Bedömer myndigheten att det finns risk för att personuppgifterna kan komma att missbrukas om de lÀmnas ut elektroniskt kan det var olÀmpligt att lÀmna ut dem pÄ detta sÀtt. Vid prövningen av om personupp- gifter bör lÀmnas ut elektroniskt bör Àven informationssÀkerheten, dvs. sÀkerheten hos mottagaren, vÀgas in.

Andra stycket anger att elektroniskt utlĂ€mnande genom direkt- Ă„tkomst endast Ă€r tillĂ„tet bara i den utstrĂ€ckning som sĂ€rskilt anges i lagen (3 kap. 2–4 §§).

294

SOU 2018:63

Författningskommentar

Tredje stycket upplyser om att regeringen kan meddela före- skrifter som begrÀnsar möjligheten att lÀmna ut personuppgifter elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst.

3 kap. Gemensamt tillgÀngliga uppgifter

Personuppgifter som fÄr göras gemensamt tillgÀngliga

1 §

Personuppgifter fÄr göras gemensamt tillgÀngliga om det behövs för nÄgot av de ÀndamÄl som anges i 2 kap. Personuppgifter som endast ett fÄtal personer har tillgÄng till anses inte som gemensamt tillgÀngliga.

Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.

I paragrafen anges genom en hÀnvisning till lagens syften vilka person- uppgifter som fÄr göras gemensamt tillgÀngliga. Paragrafen behand- las i avsnitt 6.5.1.

En grundlÀggande förutsÀttning för att personuppgifter ska anses vara gemensamt tillgÀngliga Àr att de kan anvÀndas gemensamt av flera, dvs. att fler Àn en person har Ätkomst till uppgifterna. Upp- gifter som endast ett fÄtal personer har rÀtt att ta del av bör dock inte anses som gemensamt tillgÀngliga.

Av andra stycket framgÄr att regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.

295

Författningskommentar

SOU 2018:63

DirektÄtkomst

FörsvarsunderrÀttelseverksamhet

2 §

Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (2009:400) fÄr SÀkerhetspolisen och Försvarets radioanstalt medges direktÄtkomst till personuppgifter som utgör bearbetningsunderlag och analysresultat inom försvarsunderrÀttelseverksamheten och som finns i uppgiftssamlingar.

I paragrafen anges vilka myndigheter som fÄr medges direktÄtkomst till uppgifter som har gjorts gemensamt tillgÀngliga i uppgiftssam- lingar och för vilka syften. Paragrafen behandlas i avsnitt 6.5.2.

BestÀmmelserna om sekretess till skydd för enskilda i försvars- underrÀttelsemyndigheternas verksamhet finns bl.a. i 38 kap. 4 § offentlighets- och sekretesslagen (2009:400). Sekretess gÀller för uppgift om en enskilds personliga och ekonomiska förhÄllanden, om det inte stÄr klart att uppgiften kan röjas utan att den enskilde eller nÄgon nÀrstÄende till honom eller henne lider skada eller men (omvÀnt skaderekvisit). BestÀmmelsen om direktÄtkomst innebÀr att sÄdana uppgifter som anges i sekretessbestÀmmelsen fÄr lÀmnas till SÀkerhetspolisen och Försvarets radioanstalt genom direkt- Ätkomst.

Bearbetningsunderlag och analysresultat bestÄr av information som Ànnu inte har bearbetats till underrÀttelserapporter.

3 §

Om det behövs för samarbetet mot terrorism eller vid svenskt del- tagande i annat internationellt underrÀttelse- och sÀkerhetssamarbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutat om det, en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § och som finns i uppgiftssamlingar.

I paragrafen regleras Försvarsmaktens möjlighet att medge utlÀndsk underrÀttelse- och sÀkerhetstjÀnst direktÄtkomst till vissa person- uppgifter. Paragrafen behandlas i avsnitt 6.5.2.

296

SOU 2018:63

Författningskommentar

Möjligheten att dela information genom direktÄtkomst begrÀnsas till underrÀttelse- och sÀkerhetstjÀnster. UnderrÀttelse- och sÀker- hetstjÀnsterna fÄr endast medges direktÄtkomst om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat inter- nationellt underrÀttelse- och sÀkerhetssamarbete. DirektÄtkomst fÄr endast medges till personuppgifter som behandlas i Försvarsmaktens försvarsunderrÀttelseverksamhet och som finns i uppgiftssamlingar.

Innan Ätkomst medges till sÄdana personuppgifter mÄste Försvars- makten avgöra om det finns sakliga skÀl att lÄta utlÀndska under- rÀttelse- och sÀkerhetstjÀnster fÄ del av uppgifterna, dvs. om det finns behov av att lÀmna ut uppgifterna för att frÀmja bekÀmpningen av terrorism eller andra svenska intressen. Innan uppgifterna förs över ska Försvarsmakten dessutom bedöma om det finns rÀttsliga förutsÀttningar att lÀmna ut uppgifterna till utlÀndska mottagare, bl.a. om sekretess hindrar det.

DirektÄtkomst enligt paragrafen fÄr bara ske i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det.

DirektÄtkomst i andra fall

4 §

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela före- skrifter eller sÀrskilt beslut om vilka som i andra fall Àn de som anges i 2 § och 3 § fÄr ha direktÄtkomst till gemensamt tillgÀngliga uppgifter.

Paragrafen, som behandlas i avsnitt 6.5.2, Àr en upplysningsföre- skrift om att regeringen kan meddela föreskrifter eller i ett enskilt fall besluta att direktÄtkomst fÄr medges i andra fall Àn de som anges i 2 och 3 §§.

297

Författningskommentar

SOU 2018:63

Övriga bestĂ€mmelser

5 §

Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten, och

2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.

Paragrafen, som behandlas i avsnitt 6.5.2, Àr en upplysningsföreskrift om att regeringen, eller den myndighet som regeringen bestÀmmer, kan meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten, och föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.

4 kap. Skyldighet som personuppgiftsansvarig

ÅtgĂ€rder för att sĂ€kerstĂ€lla författningsenlig behandling

1 §

Försvarsmakten ska, genom lÀmpliga tekniska och organisatoriska ÄtgÀrder, sÀkerstÀlla att behandlingen av personuppgifter Àr författnings- enlig och skydda rÀttigheterna för dem som uppgifterna rör.

Paragrafen behandlas i avsnitt 6.6.1. Den reglerar, tillsammans med 2 och 3 §§, de krav som stÀlls pÄ Försvarsmakten i frÄga om tekniska och organisatoriska ÄtgÀrder för att sÀkerstÀlla att behandlingen av personuppgifter Àr författningsenlig och att rÀttigheterna för de vars personuppgifter behandlas skyddas.

Tekniska och organisatoriska ÄtgÀrder för att skydda personupp- gifterna regleras i 4 §.

Organisatoriska ÄtgÀrder som avses i paragrafen Àr bl.a. att anta interna strategier för dataskydd, att informera och utbilda perso- nalen och att sÀkerstÀlla en tydlig ansvarsfördelning.

Vilka Ă„tgĂ€rder som bör vidtas fĂ„r avgöras efter en bedömning i enskilda fall. Vid den bedömningen har det betydelse bl.a. vilka per- sonuppgifter som ska behandlas, mĂ€ngden uppgifter och hur integ- ritetskĂ€nsliga de Ă€r. Även grunden för behandlingen och riskerna

298

SOU 2018:63

Författningskommentar

med den ska beaktas. Mer lÄngtgÄende ÄtgÀrder kan behövas vid behandling som kan medföra sÀrskilda risker för integritetsintrÄng eller vid omfattande behandling av en stor mÀngd personuppgifter.

2 §

Försvarsmakten ska sÀkerstÀlla att det förs loggar över personuppgifts- behandling av gemensamt tillgÀngliga uppgifter. Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om loggar.

Paragrafen, som behandlas i avsnitt 6.6.2, reglerar Försvarsmaktens skyldighet att sÀkerstÀlla att det för gemensamt tillgÀngliga upp- gifter, dvs. frÀmst i automatiserade behandlingssystem, förs loggar över vissa typer av behandlingar.

Paragrafen gÀller enligt 11 § Àven för personuppgiftsbitrÀden som Försvarsmakten anlitar.

En logg Àr en behandlingshistorik som sparas under en viss tid. Det Àr en teknisk funktion i systemet som ska fungera automatiskt och som inte ska gÄ att Àndra eller pÄverka pÄ annat sÀtt. En logg bör vara sÄ detaljerad att den kan anvÀndas för att utreda felaktig eller obehörig anvÀndning av personuppgifter. Syftet med loggning Àr dels att verka förebyggande, dels att ge den personuppgiftsansvarige möjlighet att kontrollera anvÀndningen av systemen och att upptÀcka felaktig eller obehörig anvÀndning av personuppgifterna. Loggningen bör inte utformas sÄ att den medför onödiga intrÄng i anvÀndarnas integritet.

Krav pÄ loggning vid behandling av personuppgifter följer indirekt av de generella kraven pÄ lÀmpliga tekniska och organisatoriska Ät- gÀrder i bÄde 1 och 4 §§. Förevarande paragraf utgör dÀrmed ett mer preciserat krav pÄ loggning i vissa typer av system.

Med automatiserade behandlingssystem avses sÀrskilt för verk- samheten utformade eller anpassade behandlingssystem dÀr person- uppgifter behandlas mer eller mindre strukturerat, t.ex. verksam- hetsstöd i form av dokument- och Àrendehanteringssystem och olika typer av register och databaser. Standardprogram som Word, Outlook och Excel Àr i detta sammanhang inte att anse som automatiserade behandlingssystem och omfattas dÀrför inte av kravet pÄ loggning i

299

Författningskommentar

SOU 2018:63

paragrafen. Inte heller lagringsytor som t.ex. usb-minnen och anstÀlldas personliga mappar pÄ den egna datorn omfattas.

Paragrafen innebÀr att den personuppgiftsansvarige ska sÀker- stÀlla att de automatiserade behandlingssystem som anvÀnds möjlig- gör loggning i den utstrÀckning som krÀvs och att informationen faktiskt loggas. Av 1 § följer bl.a. krav pÄ logguppföljning. Logg- uppföljning ska göras systematiskt och Äterkommande och vara sÄvÀl förebyggande som reaktiv. Den personuppgiftsansvarige ska se till att det finns rutiner för logguppföljning.

I paragrafen finns en upplysning om att regeringen eller den myndighet regeringen bestÀmmer kan meddela föreskrifter om loggar.

3 §

TillgÄngen till personuppgifter ska alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Paragrafen, som behandlas i avsnitt 6.6.3, reglerar den interna till- gÄngen till personuppgifter för dem som arbetar vid Försvars- makten.

Paragrafen innebÀr att den personuppgiftsansvarige Àr skyldig att se till att anstÀllda och andra som deltar i arbetet bara ges tillgÄng till de personuppgifter som krÀvs för att de ska kunna fullgöra sina arbetsuppgifter. Inom Försvarsmakten behandlas en betydande mÀngd personuppgifter, ofta av integritetskÀnsligt slag, vilka inte bör spridas till nÄgon som inte Àr behörig att ta del av uppgifterna. Kravet pÄ behörighetsbegrÀnsning syftar till att minska den interna expo- neringen av personuppgifterna. Hur det bör göras fÄr bedömas med utgÄngspunkt i förutsÀttningarna och myndighetens behov. Faktorer som informationssystemens storlek och personuppgifternas natur ska beaktas.

Paragrafen reglerar inte bara Försvarsmaktens personals tillgÄng till personuppgifter. Vid direktÄtkomst Àr det den mottagande myn- digheten som ansvarar för att den egna personalen inte ges tillgÄng till fler personuppgifter i det informationssystem som Ätkomsten avser Àn vad arbetsuppgifterna motiverar.

300

SOU 2018:63

Författningskommentar

SÀkerheten för personuppgifter

4 §

Försvarsmakten ska vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.

I paragrafen, som behandlas i avsnitt 6.6.4, regleras Försvarsmaktens skyldighet att genom lÀmpliga tekniska och organisatoriska ÄtgÀrder skydda de personuppgifter som behandlas.

Paragrafen gÀller enligt 11 § Àven för personuppgiftsbitrÀden som Försvarsmakten anlitar.

Enligt paragrafen ska Försvarsmakten vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas. Personuppgifterna ska sÀrskilt skyddas mot obehörig eller otillÄten behandling och mot förlust, förstöring eller annan oavsikt- lig skada. UpprÀkningen illustrerar vad skyddsÄtgÀrderna ska Ästad- komma, men den Àr inte uttömmande.

Skydd mot obehörig eller otillĂ„ten behandling innebĂ€r att obehö- riga personer ska vĂ€gras Ă„tkomst till utrustning som anvĂ€nds vid behandling, att obehörig lĂ€sning, kopiering, Ă€ndring eller radering av datamedier ska förhindras, att obehörig registrering av personupp- gifter och obehörig kĂ€nnedom om, Ă€ndring eller radering av lagrade personuppgifter ska förhindras och att obehörig lĂ€sning, kopiering, Ă€ndring eller radering av personuppgifter i samband med uppgifts- lĂ€mnande eller transport av databĂ€rare ska förhindras. ÅtgĂ€rder ska ocksĂ„ vidtas i syfte att sĂ€kerstĂ€lla att personer som Ă€r behöriga att anvĂ€nda ett informationssystem endast har tillgĂ„ng till person- uppgifter som omfattas av deras behörighet. Den personuppgifts- ansvarige ska ocksĂ„ sĂ€kerstĂ€lla att det kan kontrolleras och faststĂ€llas till vilka myndigheter eller andra organ personuppgifter har över- förts och för vilka myndigheter eller andra organ uppgifterna har gjorts tillgĂ€ngliga och att det i efterhand kan kontrolleras och fast- stĂ€llas vilka personuppgifter som förts in i ett informationssystem, nĂ€r det har gjorts och av vem.

Skydd mot förlust, förstöring eller annan oavsiktlig skada innebÀr bl.a. att de informationssystem som anvÀnds ska kunna ÄterstÀllas

301

Författningskommentar

SOU 2018:63

vid störningar, att systemen ska fungera och att funktionsfel rappor- teras och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemen.

Som exempel pÄ organisatoriska skyddsÄtgÀrder kan nÀmnas fast- stÀllandet av en sÀkerhetspolicy, kontroller och uppföljning av sÀkerheten, utbildning i datasÀkerhet och information om vikten av att följa gÀllande sÀkerhetsrutiner.

Vilken skyddsnivÄ som Àr lÀmplig fÄr avgöras av Försvarsmakten frÄn fall till fall. Bedömningen Àr bl.a. beroende av vilka personupp- gifter som behandlas och hur integritetskÀnsliga de Àr.

Dataskyddsombud

5 §

Försvarsmakten ska inom myndigheten utse ett eller flera dataskydds- ombud och anmÀla till tillsynsmyndigheten nÀr dataskyddsombud utses och entledigas.

Paragrafen, som behandlas i avsnitt 6.6.5, reglerar Försvarsmaktens skyldighet att utse dataskyddsombud. Dataskyddsombud definieras i 1 kap. 8 §.

I paragrafen föreskrivs att ett eller flera dataskyddsombud ska utses. Dataskyddsombudet ska vara anstÀlld hos Försvarsmakten.

Försvarsmakten ska anmÀla till tillsynsmyndigheten nÀr data- skyddsombud utses och entledigas.

6 §

Dataskyddsombudet ska

1.sjÀlvstÀndigt kontrollera att Försvarsmakten behandlar person- uppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter,

2.informera och ge rÄd till Försvarsmakten och till dem som behand- lar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.samrÄda med tillsynsmyndigheten, och

302

SOU 2018:63

Författningskommentar

4.föra en förteckning över de kategorier av behandlingar som Försvars- makten ansvarar för och som Àr helt eller delvis automatiserade.

Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en för- teckning som avses i första stycket 4 ska innehÄlla.

Om Försvarsmakten bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas, ska dataskydds- ombudet anmÀla det till tillsynsmyndigheten.

I paragrafen, som behandlas i avsnitt 6.6.5, anges vilka uppgifter data- skyddsombud ska utföra.

I punkten 1 föreskrivs att dataskyddsombud sjÀlvstÀndigt ska kontrollera att den personuppgiftsansvarige behandlar personupp- gifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter. Det innebÀr att ombudet mÄste förvissa sig om att den personuppgiftsansvarige följer de bestÀmmelser som reglerar behandlingen av personuppgifter. Hur omfattande kontrollen bör vara fÄr avgöras efter omstÀndigheterna.

Dataskyddsombuden bör framför allt granska den faktiska han- teringen av personuppgifter. DÀrutöver bör ombuden exempelvis granska rutinerna för behandling av personuppgifter, hur tillgÄngen till personuppgifter hanteras och vilka krav pÄ utbildning och andra kvalifikationer som den personuppgiftsansvarige stÀller pÄ personal som behandlar personuppgifter. Ombudet bör pÄpeka eventuella brister för den personuppgiftsansvarige sÄ att denne blir medveten om dem och har möjlighet att vidta lÀmpliga ÄtgÀrder.

Kravet pÄ sjÀlvstÀndighet innebÀr att dataskyddsombud ska kunna utföra sina arbetsuppgifter pÄ ett oberoende sÀtt. Ombudet bör framför allt ha sÄdan stÀllning i organisationen att dess syn- punkter och rÄd tas pÄ allvar. De förutsÀtts ocksÄ ha goda kunskaper om regelverket om personuppgiftsbehandling.

I punkten 2 anges att dataskyddsombudet ska informera och ge rÄd till den personuppgiftsansvarige och de som behandlar person- uppgifter under dennes ledning om deras skyldigheter vid sÄdan behandling. Det handlar frÀmst om att göra den personuppgifts- ansvarige och medarbetarna medvetna om vad de i olika situationer Àr skyldiga att göra, t.ex. att ha sÀkerhetsrutiner och att dokumentera personuppgiftsbehandlingen. Det innebÀr inte att dataskyddsombuden

303

Författningskommentar

SOU 2018:63

ska tala om för den personuppgiftsansvarige och medarbetarna hur de ska behandla personuppgifter i enskilda fall.

I punkten 3 föreskrivs att dataskyddsombudet ska samrÄda med tillsynsmyndigheten. Det innebÀr att ombuden vid tveksamheter av olika slag bör frÄga tillsynsmyndigheten om rÄd.

I punkten 4 föreskrivs att dataskyddsombudet ska föra en för- teckning över de kategorier av behandlingar som Försvarsmakten ansvarar för och som Àr helt eller delvis automatiserade Vad för- teckningarna ska innehÄlla föreskrivs av regeringen eller den myndig- het som regeringen bestÀmmer, vilket framgÄr av paragrafens andra stycke.

Av tredje stycket framgÄr att dataskyddsombudet ska anmÀla till tillsynsmyndigheten om Försvarsmakten bryter mot de bestÀmmel- ser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas.

PersonuppgiftsbitrÀden

7 §

Försvarsmakten fÄr, om det Àr lÀmpligt, anlita personuppgiftsbitrÀden för behandling av personuppgifter pÄ Försvarsmaktens vÀgnar. Innan ett personuppgiftsbitrÀde anlitas, ska Försvarsmakten försÀkra sig om att bitrÀdet kommer att vidta de lÀmpliga tekniska och organisatoriska ÄtgÀrder som krÀvs för att behandlingen av personuppgifter ska vara för- fattningsenlig och för att skydda rÀttigheterna för den som uppgifterna rör.

Av paragrafen framgÄr att personuppgiftsbitrÀden fÄr anlitas om det Àr lÀmpligt och vad Försvarsmakten mÄste göra innan ett person- uppgiftsbitrÀde anlitas. PersonuppgiftsbitrÀde definieras i 1 kap. 8 §. Paragrafen behandlas i avsnitt 6.6.6.

Försvarsmakten fÄr anlita personuppgiftsbitrÀden under förut- sÀttning att det Àr lÀmpligt. Om det Àr lÀmpligt fÄr avgöras med hÀnsyn bl.a. till vilka personuppgifter som ska behandlas. Paragrafen föreskriver att Försvarsmakten ska försÀkra sig om att bitrÀdet vidtar lÀmpliga tekniska och organisatoriska ÄtgÀrder för att personupp- giftsbehandlingen ska vara författningsenlig och för att skydda registre- rades rÀttigheter. Kraven omfattar inte bara sÀkerhetsÄtgÀrder, utan Àven andra tekniska och organisatoriska ÄtgÀrder. Skyldigheten

304

SOU 2018:63

Författningskommentar

innebÀr att den personuppgiftsansvarige, innan ett personuppgifts- bitrÀde anlitas, bl.a. bör förhöra sig om hur bitrÀdet kommer att behandla uppgifterna tekniskt, hur arbetet Àr organiserat och vilket skydd personuppgifterna kommer att ha.

Som framgÄr av 11 § gÀller skyldigheten att logga behandling av personuppgifter enligt 2 § Àven för personuppgiftsbitrÀden som För- svarsmakten anlitar.

8 §

PersonuppgiftsbitrÀdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.

Paragrafen reglerar förhÄllandet mellan Försvarsmakten och person- uppgiftsbitrÀden. Den behandlas i avsnitt 6.6.6.

Det ska finnas ett skriftligt avtal eller en annan skriftlig överens- kommelse med personuppgiftsbitrÀden som reglerar personuppgifts- bitrÀdets behandling av personuppgifter för Försvarsmaktens rÀk- ning. Eftersom statliga myndigheter, som Àr enheter inom samma juridiska person, i rÀttslig mening inte kan ingÄ bindande avtal med varandra fÄr de trÀffa en skriftlig överenskommelse som reglerar behandlingen om en myndighet agerar personuppgiftsbitrÀde Ät en annan.

9 §

Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personuppgiftsbitrÀde utan skriftligt tillstÄnd av Försvarsmakten.

Av paragrafen, som behandlas i avsnitt 6.6.6, föreskrivs att person- uppgiftsbitrÀdet inte utan skriftligt tillstÄnd frÄn Försvarsmakten fÄr anlita ett annat personuppgiftsbitrÀde, ett s.k. underbitrÀde. Ett sÄdant tillstÄnd kan gÀlla bitrÀdets rÀtt att anlita underbitrÀden generellt eller i en specifik situation. Syftet med bestÀmmelsen Àr att Försvars- makten ska kÀnna till vilka personuppgiftsbitrÀden som behandlar personuppgifter för dennes rÀkning.

305

Författningskommentar

SOU 2018:63

10 §

Ett personuppgiftsbitrÀde eller den eller de personer som arbetar under bitrÀdets eller Försvarsmaktens ledning ska behandla personuppgifter i enlighet med instruktioner frÄn Försvarsmakten.

Om ett personuppgiftsbitrÀde, i strid med Försvarsmaktens instruk- tioner, bestÀmmer ÀndamÄlen med och medlen för behandlingen, ska bitrÀdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.

Paragrafen, som behandlas i avsnitt 6.6.6, reglerar vad som gÀller vid behandling av personuppgifter hos ett personuppgiftsbitrÀde.

Av första stycket framgÄr den grundlÀggande principen att ett personuppgiftsbitrÀde och den eller de personer som arbetar under bitrÀdets ledning bara fÄr behandla personuppgifter i enlighet med instruktioner frÄn den personuppgiftsansvarige. Instruktionerna till bitrÀdet bör vara sÄ tydliga att det inte finns risk för otillÄten behand- ling. Instruktionerna kan exempelvis gÀlla hur tillgÄngen till per- sonuppgifter hos bitrÀdets anstÀllda ska begrÀnsas, om bitrÀdet ska anvÀnda kryptering vid kommunikation och andra ÄtgÀrder som krÀvs för dataskydd. Om det finns avvikande regler i annan lag- stiftning som föreskriver att personuppgiftsbitrÀdet Àr skyldig att utföra viss behandling, t.ex. att lÀmna ut allmÀnna handlingar, fÄr behandlingen utföras utan sÀrskilda instruktioner.

I andra stycket regleras det fallet dÀr personuppgiftsbitrÀdet i strid med den personuppgiftsansvariges instruktioner bestÀmmer Ànda- mÄlen med och medlen för behandlingen. PersonuppgiftsbitrÀdet Àr dÄ att anse som personuppgiftsansvarig för den behandlingen.

11 §

Det som sĂ€gs om Försvarsmaktens skyldigheter i 2–4 §§ gĂ€ller Ă€ven för personuppgiftsbitrĂ€den som Försvarsmakten anlitar.

Paragrafen kopplar Försvarsmaktens skyldigheter i egenskap av per- sonuppgiftsansvarig till att gĂ€lla Ă€ven för personuppgiftsbitrĂ€den. Vad som nĂ€rmare gĂ€ller för personuppgiftsbitrĂ€det framgĂ„r sĂ„ledes av kommentarerna till 2–4 §§.

306

SOU 2018:63

Författningskommentar

Att personuppgiftsbitrÀden ÄlÀggs vissa skyldigheter frÄntar inte Försvarsmakten dess ansvar. Försvarsmakten Àr, som framgÄr av kommentaren till 1 kap. 6 §, ansvarig för den behandling av person- uppgifter som personuppgiftsbitrÀdet utför pÄ myndighetens vÀgnar.

Den omstÀndigheten att personuppgiftsbitrÀden ges en direkt skyldighet att vidta vissa ÄtgÀrder innebÀr dock att tillsynsmyndig- heten vid brister kan vidta ÄtgÀrder mot bÄde personuppgiftsbitrÀdet och Försvarsmakten.

5 kap. Enskildas rÀttigheter

RĂ€tten till information

AllmÀn information

1 §

Försvarsmakten ska göra följande allmÀnna information tillgÀnglig.

1.Myndighetens identitet och kontaktuppgifter.

2.Uppgifter om dataskyddsombudet.

3.ÄndamĂ„len med behandlingen.

4.RÀtten enligt 3 § att begÀra att fÄ information om behandling av personuppgifter och att fÄ del av dem.

5.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen enligt 6 §.

I paragrafen, som behandlas i avsnitt 6.7.1, anges vilken allmÀn infor- mation som Försvarsmakten pÄ eget initiativ ska göra tillgÀnglig. Informationen, som riktar sig till allmÀnheten, kan göras tillgÀnglig t.ex. pÄ myndighetens webbplats.

Enligt punkten 1 ska myndighetens identitet och kontaktupp- gifter göras tillgÀngliga. Med det avses uppgifter om myndighetens namn, postadress, telefonnummer och e-postadress.

Försvarsmakten Àr enligt 4 kap. 5 § skyldig att utse dataskydds- ombud. Enligt punkten 2 ska uppgifter om dataskyddsombudet anges. Det behöver inte vara en kontaktuppgift direkt till dataskydds- ombudet, t.ex. hans eller hennes e-postadress, utan det Àr tillrÀckligt att ombudet gÄr att nÄ med hjÀlp av uppgifterna.

I punkten 3 föreskrivs att ÀndamÄlen med behandlingen ska framgÄ. Det Àr inte ÀndamÄlen med behandlingen av personuppgifter i enskilda

307

Författningskommentar

SOU 2018:63

fall som avses utan för vilka typer av ÀndamÄl som myndigheten behandlar personuppgifter. Det kan vara underrÀttelsearbete och ÄtgÀrder inom ett sÀrskilt verksamhetsomrÄde eller ÄtgÀrder som vidtas inom ramen för sÀkerhetsskyddsarbetet, exempelvis sÀkerhetspröv- ning och registerkontroll.

I punkterna 4 och 5 föreskrivs att Försvarsmakten ska upplysa om de rÀttigheter som enskilda har enligt 3 och 6 §§. Det gÀller rÀtten att fÄ information om behandlingen av personuppgifter och att fÄ del av dem samt rÀtten att begÀra rÀttelse, radering eller begrÀnsning av behandlingen.

Information som ska lÀmnas om uppgifterna samlas in frÄn personen sjÀlv

2 §

Om uppgifter om en person samlas in frÄn personen sjÀlv, ska Försvars- makten nÀr personuppgifterna erhÄlls, sjÀlvmant lÀmna följande informa- tion till den som uppgifterna rör:

1.uppgift om att det Àr Försvarsmakten som Àr personuppgifts- ansvarig för behandlingen,

2.uppgift om ÀndamÄlen med behandlingen, och

3.all övrig information som behövs för att den som uppgifterna rör ska kunna ta till vara sina rÀttigheter i samband med behandlingen, sÄsom information om mottagarna av uppgifterna, skyldighet att lÀmna uppgifter och rÀtten att ansöka om information och fÄ rÀttelse.

Paragrafen behandlas i avsnitt 6.7.2.

Den information som Försvarsmakten sjÀlvmant ska lÀmna en enskild dÄ personuppgifter samlats in frÄn den enskilde sjÀlv ska omfatta uppgifter om att det Àr Försvarsmakten som Àr ansvarig för personuppgiftsbehandlingen, ÀndamÄlen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rÀttigheter. Denna informationsskyldighet förutsÀtter att personuppgifter samlas in frÄn den som uppgifterna rör vid nÄgon form av direktkontakt med denne.

308

SOU 2018:63

Författningskommentar

Information som ska lÀmnas efter begÀran

3 §

Försvarsmakten Àr skyldig att en gÄng per kalenderÄr till den som begÀr det lÀmna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökanden fÄ del av dem och fÄ följande skriftliga information.

1.Vilka personuppgifter om den sökande som behandlas.

2.VarifrÄn personuppgifterna kommer.

3.Den rÀttsliga grunden för behandlingen.

4.ÄndamĂ„len med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven i annat land eller internationella organisationer.

6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.

7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen enligt 6 §.

UtlÀmnande enligt första stycket behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.

En ansökan enligt första stycket ska göras skriftligen hos Försvars- makten och vara undertecknad av den sökande sjÀlv. Information enligt första stycket ska lÀmnas inom en mÄnad frÄn det att ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.

I paragrafen regleras enskildas rÀtt att en gÄng per kalenderÄr fÄ besked om huruvida deras personuppgifter behandlas, att fÄ del av sÄdana uppgifter och att fÄ viss information om behandlingen av dem.

Paragrafen behandlas i avsnitt 6.7.2.

I första stycket anges vilken information sökanden kan fÄ del av. I andra stycket undantas sÄdana personuppgifter som sökanden

har tagit del av frÄn skyldigheten att lÀmna ut uppgifterna. Sökanden ska dock informeras om att personuppgifterna i frÄga behandlas.

I 7 § föreskrivs att informationen ska lÀmnas till den uppgifterna rör avgiftsfritt en gÄng per Är och att begÀran dÀrutöver kan avslÄs.

Beslut att vÀgra att lÀmna information fÄr enligt 7 kap. 2 § över- klagas.

Av tredje stycket framgÄr kraven pÄ en begÀran om information.

309

Författningskommentar

SOU 2018:63

BegrÀnsning av rÀtten till information

4 §

Informationsskyldigheten i 2 och 3 §§ gÀller inte i den utstrÀckning sekretess hindrar att uppgifterna lÀmnas ut.

Om förutsÀttningarna i första stycket Àr uppfyllda, Àr Försvars- makten inte skyldig att lÀmna ut skÀlen för beslut enligt första stycket eller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behand- lingen enligt 6 §.

I paragrafen, som behandlas i avsnitt 6.7.4, görs undantag frÄn För- svarsmaktens informationsskyldighet pÄ grund av sekretess.

MÄnga uppgifter som behandlas i Försvarsmaktens olika verk- samheter omfattas av utrikessekretess och försvarssekretess enligt 15 kap. 1 och 2 §§ offentlighets- och sekretesslagen (2009:400). Infor- mationsskyldigheten gÀller enligt första stycket inte i den utstrÀck- ning sekretess hindrar att uppgifterna lÀmnas ut till den som upp- gifterna rör.

Enligt andra stycket Àr Försvarsmakten inte heller skyldig att lÀmna ut skÀlen för beslut enligt första stycket och beslut i frÄga om rÀttelse, radering eller begrÀnsning av behandlingen om motiver- ingen skulle riskera att skada nÄgot av de intressen som sekretessen avser att skydda.

5 §

Informationsskyldigheten i 2 och 3 §§ gÀller inte personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gÀller dock om uppgifterna har lÀmnats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller histo- riska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats lÀngre Àn ett Är.

310

SOU 2018:63

Författningskommentar

I paragrafen, som behandlas i avsnitt 6.7.4, föreskrivs i första stycket undantag frÄn informationsskyldigheten i 2 och 3 §§ för person- uppgifter i viss typ av text. Undantaget gÀller dock enligt andra stycket inte i vissa fall.

Den personuppgiftsansvariges skyldighet att lÀmna personrelate- rad information enligt 2 och 3 §§ gÀller enligt första stycket inte för personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller text som utgör minnesanteckningar eller liknande. Med löpande text avses information som inte har struk- turerats sÄ att sökning av personuppgifter underlÀttas. Bild- och ljudupptagningar omfattas inte av undantaget eftersom det bara gÀller text. Med text som inte fÄtt sin slutliga utformning avses koncept eller utkast till protokoll, skrivelser, beslut eller liknande. Löpande text som Àr avsedd att tidvis Àndras eller kompletteras och dÀrför aldrig fÄr nÄgon slutlig utformning omfattas inte. Det sist- nÀmnda kan t.ex. vara diarier, journaler, register eller förteckningar som förs löpande. Med minnesanteckning avses anteckningar som utgör hjÀlpmedel för handlÀggningen, t.ex. promemorior och andra anteckningar eller upptagningar som har skapats bara för att för- bereda ett Àrende för avgörande och som inte har tillfört Àrendet nÄgot i sak.

Av andra stycket framgÄr att undantaget frÄn informationsskyl- digheten inte gÀller under vissa förhÄllanden. Sökanden har dÄ rÀtt att fÄ del av personuppgifter Àven i ofÀrdig löpande text eller som utgör minnesanteckningar och liknande. Undantaget gÀller inte om personuppgifterna har lÀmnats ut till tredje part. Tredje part definie- ras i 1 kap. 8 §. Det Àr den version av uppgifterna i t.ex. utkastet som lÀmnades till tredje part som informationsskyldigheten omfattar, Àven om utkastet dÀrefter har Àndrats.

Vidare gÀller inte undantaget om personuppgifterna behandlas enbart för vetenskapliga, statistiska eller historiska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse. Om ett Àrende har avslutats och utkastet eller minnesanteckningen har arkiverats eller om hand- lingarna endast anvÀnds vid statistikproduktion eller forskning ska alltsÄ information om behandlingen av personuppgifterna lÀmnas ut. Undantaget gÀller inte heller för löpande text som inte fÄtt sin slut- liga utformning, om personuppgifterna har behandlats under lÀngre tid Àn ett Är.

311

Författningskommentar

SOU 2018:63

Det Àr tidpunkten för begÀran som Àr avgörande för bedöm- ningen av om nÄgot av undantagen gÀller. BÄde ettÄrsfristen och frÄgan om uppgifterna har lÀmnats ut till tredje part eller behandlas för vetenskapliga, statistiska eller historiska ÀndamÄl eller arkivÀnda- mÄl av allmÀnt intresse ska bedömas i förhÄllande till nÀr begÀran om information gjordes.

RÀtten till rÀttelse, radering och begrÀnsning av behandlingen

6 §

Försvarsmakten ska pÄ begÀran av den som personuppgiften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.

Försvarsmakten ska ocksÄ underrÀtta tredje part till vilken upp- gifterna har lÀmnats ut om ÄtgÀrden, om den som personuppgiften rör begÀr det eller om en mera betydande skada eller olÀgenhet för denne skulle kunna undvikas genom en underrÀttelse.

NÄgon underrÀttelse behöver dock inte lÀmnas, om sekretess hindrar det eller detta Àr omöjligt eller skulle innebÀra en oproportionerligt stor arbetsinsats.

Paragrafen reglerar enskildas rÀtt att begÀra rÀttelse, radering eller begrÀnsning av personuppgifter som inte har behandlats i enlighet med denna lag. Paragrafen behandlas i avsnitt 6.7.5.

Försvarsmakten ska enligt första stycket pÄ begÀran av den som personuppgiften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen. BegÀran kan framstÀllas formlöst.

Den personuppgiftsansvarige Àr sÄsom framgÄr av paragrafens andra stycke skyldig att underrÀtta tredje part om en korrigering, om den uppgiften rör begÀr det eller det kan antas att en underrÀttelse skulle kunna undvika mera betydande skada eller olÀgenhet för den registrerade. GÀller det dÀremot en mera harmlös uppgift bör det som regel krÀvas nÄgon sÀrskild omstÀndighet för att man ska kunna anta att en underrÀttelse skulle kunna undvika sÄdan skada eller

312

SOU 2018:63

Författningskommentar

olÀgenhet som avses. Det mÄste vidare kunna antas att underrÀt- telsen medför att skadan eller olÀgenheten kan undvikas. Detta Àr inte fallet nÀr det Àr kÀnt att aktuella tredje mÀn redan har korrigerat uppgiften.

Enligt tredje stycket behöver inte nÄgon underrÀttelse lÀmnas, om sekretess hindrar det eller detta Àr omöjligt eller skulle innebÀra en oproportionerligt stor arbetsinsats. Vad som gÀller vid sekretess framgÄr av 4 §. Vad som Àr att betrakta som en oproportionerligt stor arbetsinsats fÄr bedömas frÄn fall till fall och vid eventuell granskning eller överprövning.

Beslut i frÄga om rÀttelse eller radering av personuppgifter eller begrÀnsning av behandlingen fÄr enligt 7 kap. 2 § överklagas.

Avgiftsfri information

7 §

Information enligt 1 och 2 §§ ska lÀmnas utan avgift.

Information och uppgifter enligt 3 § ska lÀmnas utan avgift en gÄng per kalenderÄr. Om nÄgon begÀr information och uppgifter enligt 3 § oftare Àn en gÄng per kalenderÄr, fÄr Försvarsmakten avslÄ begÀran.

Paragrafen behandlas i avsnitt 6.7.6.

Enligt första stycket ska information enligt 1 och 2 §§ lÀmnas utan att myndigheten har rÀtt att ta ut nÄgon avgift.

Försvarsmakten Àr Àven enligt 3 § skyldig att till var och som ansöker om det, en gÄng per kalenderÄr gratis lÀmna besked om huruvida personuppgifter som rör den sökande behandlas eller inte.

Enligt andra stycket i förevarande paragraf anges att rÀtten gÀller en begÀran per kalenderÄr och att Försvarsmakten har rÀtt att avslÄ ytterligare begÀran inom samma kalenderÄr. Försvarsmaktens pröv- ning i en sÄdan situation begrÀnsas till att kontrollera huruvida per- sonen har begÀrt uppgifter tidigare under Äret och att i sÄdant fall meddela ett avslagsbeslut.

313

Författningskommentar

SOU 2018:63

6 kap. Tillsyn

Tillsyn över personuppgiftsbehandlingen

1 §

Den myndighet som regeringen bestÀmmer ska utöva allmÀn tillsyn över Försvarsmaktens behandling av personuppgifter enligt denna lag.

Tillsynsmyndigheten ska ge rÄd och stöd till Försvarsmakten om myndighetens skyldigheter enligt lag eller annan författning eller nÀr det i övrigt Àr pÄkallat.

I paragrafen, som behandlas i avsnitt 6.8.1, anges vilka tillsynsupp- gifter som tillsynsmyndigheten har.

Enligt första stycket ska tillsynsmyndigheten utöva allmÀn tillsyn över Försvarsmaktens behandling av personuppgifter enligt denna lag. Tillsynsmyndigheten avgör om och i vilken utstrÀckning tillsyn ska utövas och hur den ska genomföras. Myndigheten ska agera helt oberoende vid denna bedömning. Det innebÀr att ingen kan krÀva att myndigheten ska utöva tillsyn. Det finns inte heller nÄgra formella krav pÄ hur tillsynen ska utövas, med undantag frÄn vissa bestÀmmelser i denna lag och i föreskrifter som beslutas i anslutning till den.

Enligt andra stycket ska tillsynsmyndigheten ge rÄd och stöd till Försvarsmakten. Med rÄd avses bÄde muntliga och skriftliga rÄd. Det kan vara frÄga om allmÀnna rÄd eller rÄdgivning i ett enskilt fall. Myndigheten ska ge rÄd och stöd bara nÀr den anser att det Àr pÄkallat. RÄdgivningen och stödet ska avse personuppgiftsansvarigas och per- sonuppgiftsbitrÀdens skyldigheter. Paragrafen ger sÄledes ingen rÀtt för personuppgiftsansvariga eller personuppgiftsbitrÀden att avkrÀva tillsynsmyndigheten rÄd i en konkret frÄga.

Befogenheter

Utredningsbefogenheter

2 §

Tillsynsmyndigheten har rÀtt att av Försvarsmakten eller ett person- uppgiftsbitrÀde pÄ begÀran fÄ

1. tillgÄng till personuppgifter som behandlas,

314

SOU 2018:63

Författningskommentar

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och sÀkerhets- och skyddsÄtgÀrder,

3.tilltrÀde till sÄdana lokaler som har anknytning till behandling av personuppgifter och tillgÄng till utrustning och andra medel för behand- ling av personuppgifter, och

4.det bitrÀde och annan information som behövs för tillsynen.

I paragrafen, som behandlas i avsnitt 6.8.1, regleras tillsynsmyndig- hetens undersökningsbefogenheter.

Enligt punkten 1 har tillsynsmyndigheten rÀtt att för sin tillsyn frÄn personuppgiftsansvariga och personuppgiftsbitrÀden fÄ tillgÄng till alla personuppgifter som behandlas. Det innebÀr att Försvars- makten eller personuppgiftsbitrÀdet ska lÀmna de begÀrda upp- gifterna Àven om det krÀver viss efterforskning. Att tillsynsmyndig- heten har rÀtt fÄ del av annan information framgÄr av punkterna 2 och 4 och rÀtten att fÄ hjÀlp med de sökningar i behandlingssystem som myndigheten begÀr regleras i punkten 4.

Punkten 2 ger tillsynsmyndigheten rÀtt till upplysningar och dokumentation som rör behandling av personuppgifter och vilka ÄtgÀrder som har vidtagits för att sÀkerstÀlla skyddet för personupp- gifterna och registrerades personliga integritet. Dokumentationen kan avse exempelvis de register eller loggar som Försvarsmakten och personuppgiftsbitrÀden ska föra. Det kan ocksÄ vara frÄga om upp- lysningar om och dokumentation av vilka organisatoriska och tek- niska ÄtgÀrder som vidtogs i samband med att en viss typ av behand- ling pÄbörjades. Det kan ocksÄ röra sig om ÄtgÀrder för att garantera sÀkerheten, begrÀnsa den interna tillgÄngen till uppgifter eller för- hindra otillÄten behandling och ÄtgÀrder för intern kontroll. Infor- mationen kan avse exempelvis ÀndamÄlen med behandlingen eller loggar och förteckningar över pÄgÄende behandlingar

I punkten 3 regleras tillsynsmyndighetens rÀtt att fÄ tilltrÀde till lokaler som den personuppgiftsansvarige eller personuppgiftsbitrÀdet disponerar och tillgÄng till utrustning och andra medel som anvÀnds för behandlingen. RÀtten till tilltrÀde ger inte myndigheten rÀtt att bereda sig tilltrÀde med tvÄng. Om Försvarsmakten eller personupp- giftsbitrÀdet inte samarbetar kan tillsynsmyndigheten utnyttja sina korrigerande befogenheter enligt 4 §. Tillsynsmyndigheten har ocksÄ rÀtt att fÄ tillgÄng till den utrustning som tillsynsobjektet disponerar

315

Författningskommentar

SOU 2018:63

för att, med hjÀlp av tillsynsobjektets personal, kunna göra nödvÀn- diga körningar och kontroller. Punkten ger sÄledes inte tillsyns- myndigheten nÄgon rÀtt att fritt anvÀnda tillsynsobjektets utrust- ning och datasystem.

Punkten 4 klargör att tillsynsmyndigheten har rÀtt att fÄ hjÀlp med de sökningar och andra ÄtgÀrder som den begÀr och annan nödvÀndig hjÀlp för att genomföra tillsynen. Paragrafen ger Àven tillsynsmyndigheten rÀtt till information som inte har direkt anknyt- ning till behandlingen av personuppgifter men som myndigheten behöver för tillsynen. Informationen kan avse t.ex. verksamhets- planer som beskriver den verksamhet dÀr behandlingen utförs.

Förebyggande befogenheter

3 §

Om tillsynsmyndigheten bedömer att det finns risk för att person- uppgifter kan komma att behandlas i strid med lag eller annan författ- ning, ska myndigheten genom rÄd, rekommendationer eller pÄpekan- den försöka förmÄ Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att minska den risken.

Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning. Detsamma gÀller om pÄgÄende behandling riskerar att stÄ i strid med lag eller annan författning.

Paragrafen reglerar tillsynsmyndighetens befogenheter i det före- byggande arbetet. De ÄtgÀrder som regleras i paragrafen Àr inte av tvingande karaktÀr. De syftar till att förebygga att framtida behand- ling av personuppgifter stÄr i strid med de bestÀmmelser som gÀller för behandlingen. Paragrafen behandlas i avsnitt 6.8.1.

Av första stycket framgÄr att tillsynsmyndigheten, om det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska försöka förmÄ Försvarsmakten eller personuppgiftsbitrÀdet att minska risken genom rÄd, rekommenda- tioner och pÄpekanden. RÄdgivning kan avse sÄvÀl formella som infor- mella samrÄd.

Av 4 § första stycket 1 framgÄr att de befogenheter som rÀknas upp i detta stycke Àven i vissa fall fÄr anvÀndas i korrigerande syfte.

316

SOU 2018:63

Författningskommentar

Enligt andra stycket fĂ„r tillsynsmyndigheten skriftligen varna för att viss behandling riskerar att strida mot meddelade föreskrifter. En varning Ă€r en mer ingripande Ă„tgĂ€rd Ă€n Ă„tgĂ€rderna i första stycket. Varning kan anvĂ€ndas för att visa hur allvarligt tillsynsmyndigheten ser pĂ„ den planerade behandlingen. Tillsynsmyndigheten behöver inte ha uttömt andra förebyggande Ă„tgĂ€rder innan den utfĂ€rdar en varning. En varning ska vara skriftlig. Av den ska framgĂ„ varför till- synsmyndigheten bedömt att behandlingen inte kommer att vara författningsenlig. ÅtgĂ€rden Ă€r inte tvingande, men den som fĂ„r en varning förvĂ€ntas rĂ€tta sig efter den.

Korrigerande befogenheter

4 §

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Försvarsmakten eller ett personuppgiftsbitrÀde annars inte fullgör sina skyldigheter, fÄr tillsyns- myndigheten

1.genom sÄdana ÄtgÀrder som anges i 3 § första stycket försöka förmÄ Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldig- heter, eller

2.förelÀgga Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter.

Om ett förelÀggande utfÀrdas ska det av förelÀggandet framgÄ nÀr ÄtgÀrderna senast ska vara genomföras och, om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas.

I paragrafen regleras tillsynsmyndighetens korrigerande befogen- heter. Paragrafen, behandlas i avsnitt 6.8.1.

Tillsynsmyndigheten har möjlighet att successivt anvÀnda olika medel och dÀrigenom stegra pÄtryckningarna pÄ den som inte sjÀlv- mant rÀttar sig.

De korrigerande befogenheterna fÄr anvÀndas om tillsynsmyn- digheten konstaterar att Försvarsmakten eller ett personuppgifts- bitrÀde behandlar personuppgifter i strid med lag eller annan författ- ning eller annars inte fullgör sina skyldigheter. De skyldigheter som

317

Författningskommentar

SOU 2018:63

avses Ă€r framför allt skyldigheterna i 4 kap. Försvarsmakten har emellertid ocksĂ„ skyldigheter enligt 2 och 5 kap. och skyldighet att bistĂ„ tillsynsmyndigheten enligt 2 §. Även underlĂ„tenhet att fullgöra sĂ„dana skyldigheter med anledning av denna lag omfattas.

Enligt första stycket punkten 1 fÄr tillsynsmyndigheten anvÀnda de förebyggande befogenheter som regleras i 3 § första stycket för att försöka förmÄ den Försvarsmakten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter.

Enligt punkten 2 fÄr tillsynsmyndigheten förelÀgga Försvars- makten eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att viss behandling av personuppgifter ska bli författningsenlig eller för att de ska uppfylla andra skyldigheter.

I andra stycket föreskrivs att det av ett förelÀggande alltid ska framgÄ nÀr ÄtgÀrderna senast ska vara genomförda och, om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas. Om förelÀggandet avser rÀttelse, radering eller begrÀnsning av behandlingen bör det framgÄ av före- lÀggandet vad som ska göras. Tillsynsmyndigheten fÄr emellertid över- lÄta Ät Försvarsmakten eller personuppgiftsbitrÀdet att avgöra vilka ÄtgÀrder som ska vidtas för att behandlingen ska bli författningsenlig eller hur andra skyldigheter ska fullgöras.

7 kap. SkadestÄnd och överklagande

SkadestÄnd

1 §

Den personuppgiftsansvarige ska ersÀtta den som personuppgiften rör för skada och krÀnkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

ErsÀttningsskyldigheten kan i den utstrÀckning det Àr skÀligt, jÀmkas om den personuppgiftsansvarige visar att felet inte berodde pÄ denne.

I paragrafen regleras den registrerades rÀtt till skadestÄnd för behand- ling av personuppgifter i strid med regelverket. Paragrafen behandlas i avsnitt 6.9.1.

318

SOU 2018:63

Författningskommentar

RÀtt till skadestÄnd kan uppkomma pÄ grund av behandling i strid med bestÀmmelser i denna lag eller föreskrifter som meddelats i anslutning till lagen. För att den personuppgiftsansvarige ska bli ersÀttningsskyldig mÄste den som personuppgifterna rör bevisa att behandling av dennes personuppgifter stÄtt i strid med reglerna om personuppgiftsbehandling och att den har skadat eller krÀnkt honom eller henne.

Den registrerades rÀtt till skadestÄnd omfattar ersÀttning för krÀnkning av den personliga integriteten och för annan skada. Med skada avses personskada, sakskada eller ren förmögenhetsskada.

Det Àr bara sÄdan krÀnkning eller skada som behandlingen av personuppgifter har vÄllat som ersÀtts.

ErsÀttningen för krÀnkning fÄr uppskattas efter skÀlighet mot bak- grund av samtliga omstÀndigheter i det enskilda fallet. SÄdana fak- torer som att det funnits risk för otillbörlig spridning av kÀnsliga eller felaktiga personuppgifter eller att den som uppgifterna rör genom behandlingen av uppgifterna drabbats av beslut eller ÄtgÀrder som kunnat fÄ negativa följder hör till det som bör beaktas.

Överklagande

2 §

Försvarsmaktens beslut om information som ska lÀmnas enligt 5 kap. 2 och 3 §§ och om rÀttelse och underrÀttelse till tredje part enligt 5 kap. 6 § fÄr överklagas hos allmÀn förvaltningsdomstol. Andra beslut enligt denna lag fÄr inte överklagas.

PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.

I paragrafen, som behandlas i avsnitt 6.9.2, anges i vilken utstrÀck- ning beslut som Försvarsmakten har fattat i egenskap av person- uppgiftsansvarig fÄr överklagas.

Vilka typer av beslut som fÄr överklagas rÀknas upp i första stycket. UpprÀkningen Àr uttömmande.

Besluten ska överklagas till allmÀn förvaltningsdomstol. Vilken förvaltningsdomstol som Àr behörig framgÄr av 14 § förordningen (1977:937) om allmÀnna förvaltningsdomstolars behörighet m.m. För prövning i kammarrÀtten krÀvs det enligt andra stycket prövnings- tillstÄnd.

319

Författningskommentar

SOU 2018:63

3 §

Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrÀtt.

Paragrafen upplyser om att beslut i frÄgor om sekretess överklagas direkt till kammarrÀtt som första överprövningsinstans.

8.2Förslaget till lag om behandling av personuppgifter vid Försvarets radioanstalt

1 kap. AllmÀnna bestÀmmelser

Syftet med lagen

1 §

Syftet med denna lag Àr att sÀkerstÀlla att Försvarets radioanstalt kan behandla personuppgifter pÄ ett ÀndamÄlsenligt sÀtt och att skydda fysiska personers grundlÀggande fri- och rÀttigheter i samband med sÄdan behandling.

BestÀmmelsen motsvarar 1 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

Lagens tillÀmpningsomrÄde

2 §

Denna lag gÀller vid behandling av personuppgifter i Försvarets radio- anstalts försvarsunderrÀttelse- och utvecklingsverksamhet samt informa- tionssÀkerhetsverksamhet.

Paragrafen reglerar, tillsammans med 3 §, lagens tillÀmpningsomrÄde. Den behandlas i avsnitt 6.2.3.

I paragrafen anges att lagen gÀller vid Försvarets radioanstalts för- svarsunderrÀttelse- och utvecklingsverksamhet samt informations- sÀkerhetsverksamhet.

320

SOU 2018:63

Författningskommentar

Vad som Àr en personuppgift och behandling av personuppgifter definieras i 8 §.

Omfattningen av Försvarets radioanstalts uppgifter, som framgĂ„r av 1–4 §§ förordningen (2007:937) med instruktion för Försvarets radioanstalt, utvecklas nĂ€rmare i avsnitt 3.2 och 6.2.3.

3 §

Lagen gÀller vid sÄdan behandling av personuppgifter som Àr helt eller delvis automatiserad eller om uppgifterna ingÄr i eller Àr avsedda att ingÄ i en strukturerad samling av personuppgifter som Àr tillgÀngliga för sökning eller sammanstÀllning enligt sÀrskilda kriterier.

BestÀmmelsen motsvarar 1 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

4 §

Vid behandling av personuppgifter enligt denna lag gÀller inte lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskydds- förordning.

Paragrafen behandlas i avsnitt 6.2.4. Den upplyser om att lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskydds- förordning inte gÀller nÀr personuppgifter behandlas enligt lagen om behandling av personuppgifter vid Försvarets radioanstalt.

FörhÄllandet till annan reglering

5 §

BestÀmmelserna i denna lag ska inte tillÀmpas i den utstrÀckning det skulle inskrÀnka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lÀmna ut personuppgifter.

321

Författningskommentar

SOU 2018:63

BestÀmmelsen motsvarar 1 kap. 5 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

Personuppgiftsansvar

6 §

Försvarets radioanstalt Àr personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under myndighetens ledning eller pÄ dess vÀgnar.

BestÀmmelsen motsvarar 1 kap. 6 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

7 §

Försvarets radioanstalt fÄr vara gemensamt personuppgiftsansvarig med annan endast i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

BestÀmmelsen motsvarar 1 kap. 7 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

Definitioner

8 §

I paragrafen, som behandlas i avsnitt 6.2.9, definieras vissa uttryck som anvÀnds i lagen.

BestÀmmelsen motsvarar 1 kap. 8 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.

322

SOU 2018:63

Författningskommentar

2 kap. Behandling av personuppgifter

RĂ€ttsliga grunder

FörsvarsunderrÀttelseverksamhet

1 §

Personuppgifter fÄr behandlas i Försvarets radioanstalts försvarsunder- rÀttelseverksamhet om det Àr nödvÀndigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrÀttelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet.

Paragrafen behandlas i avsnitt 6.3.6.

Paragrafen anger de ÀndamÄl för vilka personuppgifter fÄr an- vÀndas i försvarsunderrÀttelseverksamheten genom en hÀnvisning till lagen (2000:130) om försvarsunderrÀttelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet.

Enligt 1 § lagen om försvarsunderrÀttelseverksamhet ska för- svarsunderrÀttelseverksamhet bedrivas till stöd för svensk utrikes-, sÀkerhets- och försvarspolitik samt i övrigt för kartlÀggning av yttre hot mot landet. Det anges vidare att i verksamheten ingÄr att med- verka i svenskt deltagande i internationellt sÀkerhetssamarbete och att försvarsunderrÀttelseverksamheten endast fÄr avse utlÀndska för- hÄllanden.

Försvarets radioanstalt ska enligt 2 § förordningen (2008:923) om signalspaning i försvarsunderrÀttelsetjÀnst bedriva den verksam- het som avses i 1 § lagen om signalspaning i försvarsunderrÀttelse- verksamhet. Enligt andra stycket i den paragrafen fÄr signalspaning i försvarsunderrÀttelseverksamhet ske endast i syfte att kartlÀgga

1.yttre militÀra hot mot landet,

2.förutsÀttningar för svenskt deltagande i fredsfrÀmjande och humanitÀra insatser eller hot mot sÀkerheten för svenska intressen vid genomförandet av sÄdana insatser,

3.strategiska förhÄllanden avseende internationell terrorism och annan grov grÀnsöverskridande brottslighet som kan hota vÀsentliga nationella intressen,

4.utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av pro- dukter med dubbla anvÀndningsomrÄden och av tekniskt bistÄnd,

5.allvarliga yttre hot mot samhÀllets infrastruktur,

323

Författningskommentar

SOU 2018:63

6.konflikter utomlands med konsekvenser för internationell sÀkerhet,

7.frÀmmande underrÀttelseverksamhet mot svenska intressen, eller

8.frÀmmande makts agerande eller avsikter av vÀsentlig betydelse för svensk utrikes-, sÀkerhets- och försvarspolitik.

Regeringen bestÀmmer försvarsunderrÀttelseverksamhetens inrikt- ning.

FörsvarsunderrÀttelseverksamheten ska identifiera och redovisa eller ge förvarning om sÄdana förÀndringar i omvÀrldslÀget att detta kan ligga till grund för politiska beslut om totalförsvarets anpassning pÄ kort eller lÄng sikt.

I underrÀttelseverksamhetens natur ligger att det inte gÄr att pÄ förhand göra tydliga avgrÀnsningar av vilka uppgifter som mÄste inhÀm- tas för att nÄ det slutliga mÄlet att Ästadkomma de underrÀttelser som uppdragsgivarna efterfrÄgar. InhÀmtad information kan motivera inhÀmtning av annan information som man frÄn början inte kÀnde till. Det kan ocksÄ uppkomma behov av att vÀrdera trovÀrdigheten hos kÀllor, som man heller inte kÀnde till frÄn början. Verksamheten kan ocksÄ gÄ ut pÄ att leta efter företeelser och hot som Àr okÀnda men som antas existera.

2 §

De personuppgifter som Försvarets radioanstalt har fÄtt tillgÄng till i myndighetens försvarsunderrÀttelseverksamhet fÄr fortsatt behandlas i den verksamheten, om det behövs för att fullgöra den.

Vad som sÀgs i första stycket gÀller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslutning till lagen.

Paragrafen behandlas i avsnitt 6.3.6.

Av paragrafens första stycke framgÄr att de personuppgifter som Försvarets radioanstalt har fÄtt tillgÄng till i myndighetens försvars- underrÀttelseverksamhet som huvudregel fÄr fortsatt behandlas i den verksamheten om det behövs för att fullgöra den. Detta möjliggör för Försvarets radioanstalt att i sin försvarsunderrÀttelseverksamhet behandla Àldre information, inklusive personuppgifter, för att förstÄ

324

SOU 2018:63

Författningskommentar

och bedöma den underrÀttelsemÀssiga relevansen av den information som inhÀmtas.

En förutsÀttning för behandlingen enligt bestÀmmelsen Àr att den inte strider mot nÄgon annan bestÀmmelse i lagen eller tillhörande förordning. Detta tydliggörs i andra stycket.

3 §

Personuppgifter som behandlas med stöd av 1 och 2 §§ fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs

1.i verksamhet hos berörda myndigheter som avses i 2 § första stycket lagen (2000:130) om försvarsunderrÀttelseverksamhet,

2.med anledning av samarbete med andra lÀnder och internatio- nella organisationer enligt lagen (2000:130) om försvarsunderrÀttelse- verksamhet och lagen (2008:717) om signalspaning i försvarsunder- rÀttelseverksamhet,

3.i utvecklingsverksamheten för de ÀndamÄl som anges i 4 §,

4.i informationssÀkerhetsverksamheten för de ÀndamÄl som anges i 6 §, eller

5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Paragrafen behandlas i avsnitt 6.3.6.

Paragrafen ger uttryckligt rÀttsligt stöd för vidarebehandling av inhÀmtad information pÄ fem sÀrskilt angivna omrÄden. Behandling av personuppgifter pÄ dessa omrÄden har sÄledes genom denna bestÀmmelse uttryckligt rÀttsligt stöd (preciserad finalitet) utöver vad som framgÄr av den allmÀnt formulerade bestÀmmelsen i 2 kap. 11 § andra stycket (finalitetsprincipen).

Utvecklingsverksamhet

4 §

Om det Àr nödvÀndigt för försvarsunderrÀttelseverksamheten fÄr För- svarets radioanstalt behandla personuppgifter för att

1.följa förÀndringar i signalmiljön i omvÀrlden, den tekniska utveck- lingen och signalskyddet, och

325

Författningskommentar

SOU 2018:63

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Paragrafen behandlas i avsnitt 6.3.7.

Paragrafen anger de ÀndamÄl för vilka personuppgifter fÄr behandlas hos Försvarets radioanstalt i sÄdan utvecklingsverksamhet som bedrivs i syfte att skapa förutsÀttningar för försvarsunderrÀttelseverksamhe- ten. Motsvarande ÀndamÄl finns i 2 § tredje stycket lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet.

5 §

Personuppgifter som behandlas med stöd av 4 § fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs

1.med anledning av samverkan med annan avseende utvecklings- verksamhet,

2.med anledning av samarbete om utvecklingsverksamhet med andra lÀnder eller internationella organisationer enligt lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet,

3.i försvarsunderrÀttelseverksamheten för de ÀndamÄl som anges i

1och 2 §§,

4.i informationssÀkerhetsverksamhet för de ÀndamÄl som anges i

6§, eller

5.för att bitrÀda andra myndigheter i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

BestÀmmelsen behandlas i avsnitt 6.3.7.

PÄ samma sÀtt som 2 kap. 3 § innebÀr rÀttsligt stöd för vidare- behandling av uppgifter inom försvarsunderrÀttelseverksamheten, innebÀr denna bestÀmmelse rÀttsligt stöd för vidarebehandling av upp- gifter inom utvecklingsverksamheten pÄ fem sÀrskilt angivna omrÄ- den (preciserad finalitet). Paragrafen ger sÄledes stöd för behandling utöver den allmÀnt formulerade bestÀmmelsen i 2 kap. 11 andra stycket (finalitetsprincipen).

326

SOU 2018:63

Författningskommentar

InformationssÀkerhetsverksamhet

6 §

Personuppgifter fÄr behandlas i Försvarets radioanstalts informations- sÀkerhetsverksamhet om det Àr nödvÀndigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som Àr av betydelse för Sveriges sÀkerhet. Uppgiften att lÀmna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.

Paragrafen behandlas i avsnitt 6.3.8.

Paragrafen utgör rÀttslig grund för behandling av personupp- gifter i Försvarets radioanstalts informationssÀkerhetsverksamhet. Behandling fÄr ske om det Àr nödvÀndigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som Àr av betydelse för Sveriges sÀkerhet. Försvarets radioanstalts upp- drag att vara statens resurs för teknisk informationssÀkerhet och stöd för myndigheter och statligt Àgda bolag pÄ informationssÀker- hetsomrÄdet och ha hög kompetens framgÄr av 4 § förordningen med instruktion för Försvarets radioanstalt. Verksamheten bedrivs bl.a. med stöd av det tekniska detekterings- och varningssystemet (TDV) som beskrivs i avsnitt 3.3.6.

7 §

Personuppgifter som behandlas med stöd av 6 § fÄr Àven behandlas om det Àr nödvÀndigt för att tillhandahÄlla information som behövs

1.i verksamhet hos den som tar emot uppgifter om informations- sÀkerhet,

2.med anledning av samverkan med andra som verkar pÄ infor- mationssÀkerhetsomrÄdet sÄvÀl inom som utom landet i den utstrÀck- ning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det,

3.i försvarsunderrÀttelseverksamheten för de ÀndamÄl som anges i 1 § andra stycket 5 och 7 lagen (2008:717) om signalspaning i försvars- underrÀttelseverksamhet, eller

4.i utvecklingsverksamheten för de ÀndamÄl som anges i 4 §.

327

Författningskommentar

SOU 2018:63

Paragrafen behandlas i avsnitt 6.3.8.

PÄ samma sÀtt som 2 kap. 3 § innebÀr rÀttsligt stöd för vidare- behandling av uppgifter inom försvarsunderrÀttelseverksamheten och 2 kap. 5 § inom utvecklingsverksamheten, innebÀr denna bestÀm- melse rÀttsligt stöd för vidarebehandling av uppgifter inom informa- tionssÀkerhetsverksamheten pÄ fyra sÀrskilt angivna omrÄden (precise- rad finalitet). Paragrafen ger sÄledes stöd för behandling utöver den allmÀnt formulerade bestÀmmelsen i 2 kap. 11 andra stycket (finalitets- principen).

Övriga rĂ€ttsliga grunder

8 §

Personuppgifter som utgör allmÀnt tillgÀnglig information fÄr behand- las av Försvarets radioanstalt om det Àr nödvÀndigt för de ÀndamÄl som anges i 1, 2, 4 och 6 §§.

BestÀmmelsen behandlas i avsnitt 6.3.9.

För att kunna bedriva en effektiv försvarsunderrÀttelseverksam- het behöver Försvarets radioanstalt, utöver den information som den inhÀmtar genom signalspaning, ocksÄ ha god tillgÄng till allmÀnt tillgÀnglig information. DÀrigenom kan den pÄ hemligt sÀtt inhÀm- tade informationen pÄ ett bÀttre sÀtt Àn annars sÀttas in i sitt rÀtta sammanhang. Av intresse hÀr Àr information som utgörs av person- uppgifter som kan pÄtrÀffas vid sökning pÄ internet eller vid sök- ningar i öppna databaser. Uppgifterna kan vara gratis eller tillgÀng- liga pÄ kommersiell grund. Gemensamt för dem Àr att de Àr publikt tillgÀngliga. Det kan röra sig om uppgifter som t.ex. en abonnent pÄ ett eller annat sÀtt har samtyckt att uppgifterna finns med i elek- troniska telefonkataloger eller förteckningar över ip-adresser i olika lÀnder. I stÀllet för att myndigheten exponerar sig kan databaserna anskaffas och lÀggas upp som referensdatabaser hos myndigheten dÀr den kan göra sökningar.

328

SOU 2018:63

Författningskommentar

9 §

Försvarets radioanstalt fÄr behandla personuppgifter för vetenskapliga, statistiska eller historiska ÀndamÄl inom denna lags tillÀmpningsomrÄde.

BestÀmmelsen behandlas i avsnitt 6.3.10.

Genom bestÀmmelsen ges Försvarets radioanstalt möjlighet att behandla personuppgifter för historiska, statistiska eller vetenskap- liga ÀndamÄl.

10 §

Försvarets radioanstalt fÄr behandla personuppgifter för att kunna till- godose enskildas behov av information enligt 5 kap. och kunna lÀmna information vid tillsyn eller kontroll.

BestÀmmelsen behandlas i avsnitt 6.3.11.

Sökningar i uppgiftssamlingar och sammanstÀllningar av upp- gifter som Àr nödvÀndig för att Försvarets radioanstalt ska kunna tillmötesgÄ tillsynsmyndighetens och kontrollmyndighetens behov innebÀr att personuppgifter behandlas. BestÀmmelsen utgör rÀttslig grund för denna personuppgiftsbehandling samt för den personupp- giftsbehandling som krÀvs för att tillmötesgÄ enskildas rÀtt till informa- tion enligt 5 kap. Enskildas rÀttigheter behandlas vidare i avsnitt 6.7.3. Tillsynsmyndighetens verksamhet behandlas i avsnitt 6.8.

GrundlÀggande krav

ÄndamĂ„l

11 §

Personuppgifter fÄr bara behandlas för sÀrskilda, uttryckligt angivna och berÀttigade ÀndamÄl.

Personuppgifter fÄr inte behandlas för nÄgot ÀndamÄl som Àr oförenligt med det ÀndamÄl för vilket personuppgifterna ursprungligen behandlades.

BestÀmmelsen behandlas i avsnitt 6.4.1.

329

Författningskommentar

SOU 2018:63

Paragrafen sÀtter, tillsammans med bestÀmmelserna i 12 och

13 §§, vissa ramar för Försvarets radioanstalts personuppgiftsbehand- ling inom lagens verksamhetsomrÄden.

BestÀmmelsen motsvarar 2 kap. 12 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.

Författningsenlig och korrekt behandling

12 §

Personuppgifter ska behandlas författningsenligt och pÄ ett korrekt sÀtt.

BestÀmmelsen motsvarar 2 kap. 13 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.

Personuppgifternas kvalitet

13 §

Personuppgifter som behandlas ska vara adekvata och relevanta i för- hÄllande till ÀndamÄlen med behandlingen och, om det Àr nödvÀndigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas pÄ ett objektivt sÀtt med respekt för mÀnniskovÀrdet.

Fler personuppgifter fÄr inte behandlas Àn vad som Àr nödvÀndigt med hÀnsyn till ÀndamÄlen med behandlingen.

BestÀmmelsen motsvarar 2 kap. 14 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.

330

SOU 2018:63

Författningskommentar

KĂ€nsliga personuppgifter

14 §

Personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning fÄr inte behandlas.

NÀr uppgifter om en person behandlas fÄr de dock kompletteras med sÄdana uppgifter som avses i första stycket, om det Àr absolut nödvÀndigt för syftet med behandlingen.

BestÀmmelsen motsvarar 2 kap. 15 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.

15§

Biometriska uppgifter fÄr behandlas endast om det Àr absolut nödvÀndigt för ÀndamÄlet för behandlingen. Genetiska uppgifter fÄr inte behandlas.

BestÀmmelsen motsvarar 2 kap. 16 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.

16 §

Vid sökning fÄr personuppgifter som avslöjar ras, etniskt ursprung, politiska Äsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hÀlsa, sexualliv eller sexuell lÀggning anvÀndas som sökbegrepp om det Àr absolut nödvÀndigt för syftet med behandlingen. Detsamma gÀller biometriska uppgifter.

BestÀmmelsen motsvarar 2 kap. 17 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.

331

Författningskommentar

SOU 2018:63

Om den som uppgifterna rör har offentliggjort uppgifterna

17 §

Utan hinder av vad som föreskrivs i 14 och 15 §§ fÄr personuppgifter behandlas, om den som personuppgifterna rör pÄ ett tydligt sÀtt offent- liggjort uppgifterna.

Första stycket gÀller inte genetiska uppgifter.

BestÀmmelsen motsvarar 2 kap. 19 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.

Behandling av personuppgifter i vissa fall

18 §

Hantering av information som innebĂ€r behandling av personuppgifter ska inte anses oförenlig med bestĂ€mmelserna i 1, 4, 6, 8 och 11–15 §§ i det skede av behandlingen dĂ„ det inte har kunnat faststĂ€llas vilka per- sonuppgifter som informationen innehĂ„ller.

BestÀmmelsen motsvarar 2 kap. 20 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.

LÀngsta tid som personuppgifter fÄr behandlas

19 §

Personuppgifter som behandlas automatiserat fĂ„r inte behandlas under lĂ€ngre tid Ă€n vad som behövs för nĂ„got eller nĂ„gra av de Ă€ndamĂ„l som anges i 1–10 §§.

Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter fÄr behandlas under endast viss tid eller bevaras för historiska, statistiska eller vetenskapliga ÀndamÄl.

332

SOU 2018:63

Författningskommentar

BestÀmmelsen motsvarar 2 kap. 21 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

UtlÀmnande av personuppgifter

20 §

Personuppgifter som behandlas med stöd av denna lag fÄr föras över till en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet eller en internationell organisation endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för internatio- nellt försvarsunderrÀttelse- och sÀkerhetssamarbete.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i enskilt fall besluta att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvarets radioanstalt.

Enligt paragrafen, som behandlas i avsnitt 6.4.8, fÄr personuppgifter föras över till en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet eller en internationell organisation endast om sekretess inte hindrar det och det Àr nödvÀndigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för internationellt försvarsunderrÀttelse- och sÀkerhetssamarbete.

Paragrafen Àr Àgnad att uppfylla de krav pÄ nationell lagstiftning som dataskyddskonventionen stÀller nÀr det gÀller överföring av per- sonuppgifter till andra lÀnder. Huruvida ett utlÀmnande ska ske eller inte mÄste i sin helhet avgöras efter en sekretessprövning och för- svars- och sÀkerhetspolitiska övervÀganden.

Av bestÀmmelsen framgÄr vidare att begrÀnsningarna av möjlig- heterna till överföring gÀller sÄvida inte regeringen har meddelat föreskrifter eller beslut i enskilda fall om att överföring fÄr ske Àven i andra fall dÄ det Àr nödvÀndigt för verksamheten vid Försvarets radioanstalt.

333

Författningskommentar

SOU 2018:63

21 §

Personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direkt- Ätkomst om regeringen har meddelat föreskrifter eller sÀrskilt beslutat om det.

Elektroniskt utlĂ€mnande genom direktĂ„tkomst Ă€r tillĂ„tet bara i den utstrĂ€ckning som anges i 3 kap. 2–6 §§.

Paragrafen behandlas i avsnitt 6.4.8.

Enligt första stycket fÄr personuppgifter fÄr lÀmnas ut elektroniskt pÄ annat sÀtt Àn genom direktÄtkomst om regeringen har meddelat föreskrifter eller sÀrskilt beslutat om det.

3 kap. Gemensamt tillgÀngliga uppgifter

Personuppgifter som fÄr göras gemensamt tillgÀngliga

1 §

Personuppgifter fĂ„r göras gemensamt tillgĂ€ngliga och behandlas i upp- giftssamlingar om det behövs för nĂ„got av de Ă€ndamĂ„l som anges i 2 kap. 1–10 §§. Personuppgifter som endast ett fĂ„tal personer har till- gĂ„ng till anses inte som gemensamt tillgĂ€ngliga.

Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.

I paragrafen, behandlas i avsnitt 6.5.1, anges i första stycket genom en hÀnvisning till lagens syften vilka personuppgifter som fÄr göras gemensamt tillgÀngliga och behandlas i uppgiftssamlingar. Genom hÀnvisningen omfattas Àven informationssÀkerhetsverksamheten.

En grundlÀggande förutsÀttning för att personuppgifter ska anses vara gemensamt tillgÀngliga Àr att de kan anvÀndas gemensamt av flera, dvs. att fler Àn en person har Ätkomst till uppgifterna. Upp- gifter som endast ett fÄtal personer har rÀtt att ta del av bör dock inte anses som gemensamt tillgÀngliga. Vad som utgör en uppgiftssam- ling definieras i 1 kap. 8 §.

Av andra stycket framgÄr att regeringen eller den myndighet som regeringen bestÀmmer kan meddela föreskrifter eller besluta i enskilda

334

SOU 2018:63

Författningskommentar

fall vilka uppgiftssamlingar som fÄr finnas och vilka uppgifter som fÄr behandlas i respektive uppgiftssamling.

I förslaget till förordning finns i 3 kap. 1–7 §§ bestĂ€mmelser om uppgiftssamlingar för rĂ„material, analyser, underrĂ€ttelser, informa- tion om signalmiljön, företeelser mot vilka signalspaningen inriktas, information om teknik- och metodutveckling och signalskydd.

DirektÄtkomst

FörsvarsunderrÀttelseverksamhet

2 §

Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (2009:400) fÄr SÀkerhetspolisen och Försvarsmakten medges direktÄtkomst till per- sonuppgifter som utgör analysresultat inom försvarsunderrÀttelseverk- samheten och som finns i uppgiftssamlingar.

Paragrafen, som behandlas i avsnitt 6.5.3, motsvarar 3 kap. 2 § i för- slaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

DirektÄtkomst enligt bestÀmmelsen Àr begrÀnsad till person- uppgifter som utgör analysresultat inom försvarsunderrÀttelseverk- samheten och som finns i uppgiftssamlingar.

3 §

Om det behövs för samarbetet mot terrorism eller för annat inter- nationellt sÀkerhetssamarbete fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utlÀndsk underrÀttelse- eller sÀkerhetstjÀnst medges direktÄtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § och som finns i uppgiftssamlingar.

Paragrafen motsvarar 3 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

335

Författningskommentar

SOU 2018:63

InformationssÀkerhetsverksamhet

4 §

Om det behövs för samarbetet mot it-relaterade hot mot samhÀllsviktiga system fÄr, i den utstrÀckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utlÀndsk organisation inom informationssÀkerhetsomrÄdet medges direktÄtkomst till person- uppgifter som behandlas med stöd av 2 kap. 6 § och som finns i upp- giftssamlingar.

Paragrafen behandlas i avsnitt 6.5.3.

DirektÄtkomst för de omrÄden som omfattas av bestÀmmelsen Àr begrÀnsad till personuppgifter som behandlas inom Försvarets radio- anstalts informationssÀkerhetsverksamhet och som finns i uppgifts- samlingar.

DirektÄtkomst i andra fall

5 §

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela före- skrifter eller sĂ€rskilt beslut om vilka som i andra fall Ă€n i 2–4 §§ fĂ„r ha direktĂ„tkomst till uppgiftssamlingar.

Paragrafen, som behandlas i avsnitt 6.5.3, Ă€r en upplysningsföre- skrift om att regeringen kan meddela föreskrifter eller i ett enskilt fall besluta att direktĂ„tkomst fĂ„r medges i andra fall Ă€n de som anges i 2–4 §§.

Övriga bestĂ€mmelser

6 §

Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten, och

2.föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.

336

SOU 2018:63

Författningskommentar

Paragrafen, som behandlas i avsnitt 6.5.3, Àr en upplysningsföreskrift om att regeringen, eller den myndighet som regeringen bestÀmmer, kan meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktÄtkomsten, och föreskrifter om behörighet och sÀkerhet vid sÄdan Ätkomst.

4 kap. Skyldighet som personuppgiftsansvarig

ÅtgĂ€rder för att sĂ€kerstĂ€lla författningsenlig behandling

1 §

Försvarets radioanstalt ska, genom lÀmpliga tekniska och organisato- riska ÄtgÀrder, sÀkerstÀlla att behandlingen av personuppgifter Àr för- fattningsenlig och skydda rÀttigheterna för dem som uppgifterna rör.

BestÀmmelsen motsvarar 4 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

2 §

Försvarets radioanstalt ska sÀkerstÀlla att det i uppgiftsamlingar förs loggar över personuppgiftsbehandling. Regeringen eller den myndighet regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter om loggar.

BestÀmmelsen motsvarar 4 kap. 2 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten, med den skillnaden att bestÀmmelsen för Försvarets radioanstalt avser uppgiftssamlingar. För en kommentar hÀnvisas till bestÀmmelsen i lag om behandling av personuppgifter vid Försvarsmakten.

337

Författningskommentar

SOU 2018:63

3 §

TillgÄngen till personuppgifter ska alltid begrÀnsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

BestÀmmelsen motsvarar 4 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

SÀkerheten för personuppgifter

4 §

Försvarets radioanstalt ska vidta lÀmpliga tekniska och organisatoriska ÄtgÀrder för att skydda de personuppgifter som behandlas, sÀrskilt mot obehörig eller otillÄten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.

BestÀmmelsen motsvarar 4 kap. 4 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

Dataskyddsombud

5 §

Försvarets radioanstalt ska inom myndigheten utse ett eller flera data- skyddsombud och anmÀla dessa till tillsynsmyndigheten nÀr data- skyddsombud utses och entledigas.

BestÀmmelsen motsvarar 4 kap. 5 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

338

SOU 2018:63

Författningskommentar

6 §

Dataskyddsombudet ska

1.sjÀlvstÀndigt kontrollera att Försvarets radioanstalt behandlar personuppgifter författningsenligt och pÄ ett korrekt sÀtt och i övrigt fullgör sina skyldigheter,

2.informera och ge rÄd till Försvarets radioanstalt och till dem som behandlar personuppgifter under myndighetens ledning om deras skyl- digheter vid behandling av personuppgifter,

3.samrÄda med tillsynsmyndigheten, och

4.föra en förteckning över de kategorier av behandlingar som Försva- rets radioanstalt ansvarar för och som Àr helt eller delvis automatiserade.

Regeringen eller den myndighet som regeringen bestÀmmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en för- teckning som avses i första stycket 4 ska innehÄlla.

Om Försvarets radioanstalt bryter mot de bestÀmmelser som gÀller för behandlingen av personuppgifter och rÀttelse inte vidtas, ska data- skyddsombudet anmÀla det till tillsynsmyndigheten.

BestÀmmelsen motsvarar 4 kap. 6 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

PersonuppgiftsbitrÀden

7 §

Försvarets radioanstalt fÄr, om det Àr lÀmpligt, anlita personuppgifts- bitrÀden för behandling av personuppgifter pÄ Försvarets radioanstalts vÀgnar. Innan ett personuppgiftsbitrÀde anlitas, ska Försvarets radio- anstalt försÀkra sig om att bitrÀdet kommer att vidta de lÀmpliga tekniska och organisatoriska ÄtgÀrder som krÀvs för att behandlingen av person- uppgifter ska vara författningsenlig och för att skydda rÀttigheterna för den som uppgifterna rör.

BestÀmmelsen motsvarar 4 kap. 7 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

339

Författningskommentar

SOU 2018:63

8 §

PersonuppgiftsbitrÀdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.

BestÀmmelsen motsvarar 4 kap. 8 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

9 §

Ett personuppgiftsbitrÀde fÄr inte anlita ett annat personuppgiftsbitrÀde utan skriftligt tillstÄnd av Försvarets radioanstalt.

BestÀmmelsen motsvarar 4 kap. 9 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

10 §

Ett personuppgiftsbitrÀde eller den eller de personer som arbetar under bitrÀdets eller Försvarets radioanstalts ledning ska behandla person- uppgifter i enlighet med instruktioner frÄn Försvarets radioanstalt.

Om ett personuppgiftsbitrÀde, i strid med Försvarets radioanstalts instruktioner, bestÀmmer ÀndamÄlen med och medlen för behandlingen, ska bitrÀdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.

BestÀmmelsen motsvarar 4 kap. 10 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀn- visas till den bestÀmmelsen.

340

SOU 2018:63

Författningskommentar

11 §

Det som sĂ€gs om Försvarets radioanstalts skyldigheter i 2–4 §§ gĂ€ller Ă€ven för personuppgiftsbitrĂ€den som Försvarets radioanstalt anlitar.

BestÀmmelsen motsvarar 4 kap. 11 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

5 kap. Enskildas rÀttigheter

RĂ€tten till information

AllmÀn information

1 §

Försvarets radioanstalt ska göra följande allmÀnna information till- gÀnglig.

1.Myndighetens identitet och kontaktuppgifter.

2.Uppgifter om dataskyddsombudet.

3.ÄndamĂ„len med behandlingen.

4.RÀtten enligt 2 § att begÀra att fÄ information om behandling av personuppgifter och att fÄ del av dem.

5.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen enligt 5 §.

BestÀmmelsen motsvarar 5 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

Information som ska lÀmnas efter begÀran

2 §

Försvarets radioanstalt Àr skyldig att utan onödigt dröjsmÄl en gÄng per kalenderÄr till den som begÀr det lÀmna skriftligt besked om personupp- gifter som rör honom eller henne behandlas. Behandlas sÄdana uppgifter ska sökanden fÄ del av dem och fÄ följande skriftliga information.

1. Vilka personuppgifter om den sökande som behandlas.

341

Författningskommentar

SOU 2018:63

2.VarifrÄn personuppgifterna kommer.

3.Den rÀttsliga grunden för behandlingen.

4.ÄndamĂ„len med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, Àven

iannat land eller internationella organisationer.

6.Hur lÀnge personuppgifterna fÄr behandlas eller, om det inte Àr möjligt att ange, kriterierna för att faststÀlla det.

7.RÀtten att begÀra rÀttelse, radering eller begrÀnsning av behand- lingen enligt 5 §.

UtlÀmnande enligt första stycket behöver inte omfatta person- uppgifter som sökanden har tagit del av, om inte han eller hon begÀr det. Det ska dock framgÄ av informationen att personuppgifterna i frÄga behandlas.

En ansökan enligt första stycket ska göras skriftligen hos Försvarets radioanstalt och vara undertecknad av den sökande sjÀlv. Information enligt första stycket ska lÀmnas inom en mÄnad frÄn det att ansökan gjordes. Om det finns sÀrskilda skÀl för det, fÄr information dock lÀmnas senast fyra mÄnader efter det att ansökan gjordes.

BestÀmmelsen motsvarar 5 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

BegrÀnsning av rÀtten till information

3 §

Informationsskyldigheten i 2 § gÀller inte i den utstrÀckning sekretess hindrar att uppgifterna lÀmnas ut.

Om förutsÀttningarna i första stycket Àr uppfyllda, Àr Försvarets radioanstalt inte skyldig att lÀmna ut skÀlen för beslut enligt första stycket eller beslut i frÄga om rÀttelse, radering eller begrÀnsning av behandlingen enligt 5 §.

BestÀmmelsen motsvarar 5 kap. 4 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

342

SOU 2018:63

Författningskommentar

4 §

Informationsskyldigheten i 2 § gÀller inte personuppgifter i löpande text som inte fÄtt sin slutliga utformning nÀr begÀran gjordes eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gÀller dock om uppgifterna har lÀmnats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller historiska ÀndamÄl eller arkivÀndamÄl av allmÀnt intresse eller, nÀr det gÀller löpande text som inte fÄtt sin slutliga utformning, om uppgifterna har behandlats lÀngre Àn ett Är.

BestÀmmelsen motsvarar 5 kap. 5 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

RÀtten till rÀttelse, radering och begrÀnsning av behandlingen

5 §

Försvarets radioanstalt ska pÄ begÀran av den som personuppgiften rör snarast rÀtta, radera eller begrÀnsa sÄdana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.

Försvarets radioanstalt ska ocksÄ underrÀtta tredje part till vilken uppgifterna har lÀmnats ut om ÄtgÀrden, om den som personuppgiften rör begÀr det eller om en mera betydande skada eller olÀgenhet för denne skulle kunna undvikas genom en underrÀttelse.

NÄgon underrÀttelse behöver dock inte lÀmnas, om sekretess hindrar det eller detta Àr omöjligt eller skulle innebÀra en oproportionerligt stor arbetsinsats.

BestÀmmelsen motsvarar 5 kap. 6 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

343

Författningskommentar

SOU 2018:63

Avgiftsfri information

6 §

Information enligt 1 § ska lÀmnas utan avgift.

Information och uppgifter enligt 2 § ska lÀmnas utan avgift en gÄng per kalenderÄr. Om nÄgon begÀr information och uppgifter enligt 2 § oftare Àn en gÄng per kalenderÄr, fÄr Försvarets radioanstalt avslÄ begÀran.

BestÀmmelsen motsvarar 5 kap. 7 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

6 kap. Tillsyn

Tillsyn över personuppgiftsbehandlingen

1 §

Den myndighet som regeringen bestÀmmer ska utöva allmÀn tillsyn över Försvarets radioanstalts behandling av personuppgifter enligt denna lag.

Tillsynsmyndigheten ska ge rÄd och stöd till Försvarets radioanstalt om myndighetens skyldigheter enligt lag eller annan författning eller nÀr det i övrigt Àr pÄkallat.

BestÀmmelsen motsvarar 6 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

2 §

I lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet finns det sÀrskilda bestÀmmelser om kontroll som rör Försvarets radio- anstalts behandling av personuppgifter i försvarsunderrÀttelse- och ut- vecklingsverksamheten.

Paragrafen behandlas i avsnitt 6.8.1 och upplyser om att det i lagen om signalspaning i försvarsunderrÀttelseverksamhet finns sÀrskilda bestÀmmelser om kontroll. Enligt 10 § nÀmnda lag ska kontrollen

344

SOU 2018:63

Författningskommentar

sÀrskilt avse granskning av sökbegrepp, förstöring av uppgifter samt rapportering.

Befogenheter

Utredningsbefogenheter

3 §

Tillsynsmyndigheten har rÀtt att av Försvarets radioanstalt eller ett personuppgiftsbitrÀde pÄ begÀran fÄ

1.tillgÄng till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och sÀkerhets- och skyddsÄtgÀrder,

3.tilltrÀde till sÄdana lokaler som har anknytning till behandling av personuppgifter och tillgÄng till utrustning och andra medel för behand- ling av personuppgifter, och

4.det bitrÀde och annan information som behövs för tillsynen.

BestÀmmelsen motsvarar 6 kap. 2 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

Förebyggande befogenheter

4 §

Om tillsynsmyndigheten bedömer att det finns risk för att person- uppgifter kan komma att behandlas i strid med lag eller annan författ- ning, ska myndigheten genom rÄd, rekommendationer eller pÄpekan- den försöka förmÄ Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att minska den risken.

Tillsynsmyndigheten fÄr utfÀrda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stÄ i strid med lag eller annan författning. Detsamma gÀller om pÄgÄende behandling riskerar att stÄ i strid med lag eller annan författning.

345

Författningskommentar

SOU 2018:63

BestÀmmelsen motsvarar 6 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

Korrigerande befogenheter

5 §

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Försvarets radioanstalt eller ett personuppgiftsbitrÀde annars inte fullgör sina skyldigheter, fÄr tillsynsmyndigheten

1.genom sÄdana ÄtgÀrder som anges i 4 § första stycket försöka förmÄ Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, eller

2.förelÀgga Försvarets radioanstalt eller personuppgiftsbitrÀdet att vidta ÄtgÀrder för att behandlingen ska bli författningsenlig eller att full- göra andra skyldigheter.

Om ett förelÀggande utfÀrdas ska det av förelÀggandet framgÄ nÀr ÄtgÀrderna senast ska vara genomförda och, om det Àr lÀmpligt, vilka ÄtgÀrder som ska vidtas.

BestÀmmelsen motsvarar 6 kap. 4 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

7 kap. SkadestÄnd och överklagande

SkadestÄnd

1 §

Den personuppgiftsansvarige ska ersÀtta den som personuppgiften rör för skada och krÀnkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

ErsÀttningsskyldigheten kan i den utstrÀckning det Àr skÀligt, jÀmkas om den personuppgiftsansvarige visar att felet inte berodde pÄ denne.

346

SOU 2018:63

Författningskommentar

BestÀmmelsen motsvarar 7 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

Överklagande

2 §

Försvarets radioanstalts beslut om information som ska lÀmnas enligt 5 kap. 2 § och om rÀttelse och underrÀttelse till tredje part enligt 5 kap. 5 § fÄr överklagas hos allmÀn förvaltningsdomstol. Andra beslut enligt denna lag fÄr inte överklagas.

PrövningstillstÄnd krÀvs vid överklagande till kammarrÀtten.

BestÀmmelsen motsvarar 7 kap. 2 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hÀnvisas till den bestÀmmelsen.

3 §

Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrÀtt.

Paragrafen upplyser om att beslut i frÄgor om sekretess överklagas direkt till kammarrÀtt som första överprövningsinstans.

347

Författningskommentar

SOU 2018:63

8.3Förslaget till lag om Àndring i lagen (2018:218) med kompletterande bestÀmmelser till EU:s dataskyddsförordning

1 kap.

3 §

BestÀmmelserna i 2 § gÀller inte i verksamhet som omfattas av

1.lagen (2019:000) om behandling av personuppgifter vid För- svarsmakten,

2.lagen (2019:000) om behandling av personuppgifter vid Försva- rets radioanstalt, eller

3.6 kap. polisdatalagen (2010:361).

Paragrafen behandlas i avsnitt 6.12.1 och innebÀr att hÀnvisningarna till FM-PuL och FRA-PuL ersÀtts med hÀnvisningar till lagen om behandling av personuppgifter vid Försvarsmakten respektive lagen om behandling av personuppgifter vid Försvarets radioanstalt.

8.4Förslaget till lag om Àndring i brottsdatalagen (2018:1177)

1 kap.

4 §

Lagen gÀller inte vid SÀkerhetspolisens behandling av personuppgifter som rör nationell sÀkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell sÀkerhet frÄn SÀkerhetspolisen.

Lagen gÀller inte heller i sÄdan verksamhet som omfattas av lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten.

Paragrafen behandlas i avsnitt 6.12.2 och innebÀr att hÀnvisningen till FM-PuL i andra stycket ersÀtts med en hÀnvisning till lagen om behandling av personuppgifter vid Försvarsmakten.

348

SOU 2018:63

Författningskommentar

8.5Förslaget till lag om Àndring i lagen (2008:717) om signalspaning i försvarsunderrÀttelseverksamhet

2 a §

InhÀmtning fÄr inte avse signaler mellan en avsÀndare och mottagare som bÄda befinner sig i Sverige. Om sÄdana signaler inte kan avskiljas redan vid inhÀmtningen, ska upptagningen eller uppteckningen för- störas sÄ snart det stÄr klart att sÄdana signaler har inhÀmtats.

Första stycket tillÀmpas inte i frÄga om signaler som utvÀxlas autonomt mellan tekniska system i sÄdana fall dÀr signalerna inte innehÄller personuppgifter. Första stycket tillÀmpas inte heller i frÄga om övriga signaler mellan sÀndare och mottagare pÄ utlÀndska stats- fartyg, statsluftfartyg eller militÀra fordon.

Paragrafen behandlas i avsnitt 6.12.3. I andra stycket första meningen har införts ett nytt undantag frÄn bestÀmmelserna i första stycket. Det nya undantaget avser signaler som utvÀxlas autonomt mellan tekniska system i sÄdana fall dÀr signalerna inte innehÄller person- uppgifter.

12 a §

I lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt finns ytterligare bestÀmmelser om behandlingen av in- hÀmtade personuppgifter.

Paragrafen behandlas i avsnitt 6.12.3 och innebÀr att hÀnvisningen till FRA-PuL ersÀtts med en hÀnvisning till den föreslagna lagen om behandling av personuppgifter vid Försvarets radioanstalt.

349

Bilaga 1

Kommittédirektiv 2017:42

Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt

Beslut vid regeringssammantrÀde den 27 april 2017

Sammanfattning

En sÀrskild utredare ska göra en översyn av den lagstiftning som gÀller för personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt. Syftet med uppdraget Àr att sÀkerstÀlla att lagstiftningen Àr anpassad till den tekniska och legala utvecklingen.

Utredaren ska bl.a.

‱analysera om rĂ„dande lagstiftning Ă€r Ă€ndamĂ„lsenlig för Försvars- maktens och Försvarets radioanstalts verksamheter och om den Ă€r tillrĂ€cklig i frĂ„ga om skyddet för enskildas personliga integritet,

‱sĂ€rskilt utreda hur personuppgifter behandlas i Försvarets radio- anstalt i samband med att myndigheten stödjer andra myndigheter och statligt Ă€gda bolag inom informationssĂ€kerhetsomrĂ„det, och

‱lĂ€mna de författningsförslag som behövs och Ă€r lĂ€mpliga.

Uppdraget ska redovisas senast den 31 maj 2018.

GrundlÀggande bestÀmmelser om skyddet av personuppgifter

En vÀl avvÀgd balans Àr nödvÀndig mellan Ä ena sidan skyddet för den personliga integriteten och Ä andra sidan upprÀtthÄllandet av statens sÀkerhet. Den snabba tekniska utvecklingen skapar möjligheter att pÄ ett effektivt sÀtt inhÀmta information som Àr av betydelse för att

351

Bilaga 1

SOU 2018:63

kunna skydda landet mot yttre hot, men innebÀr samtidigt utma- ningar för skyddet av den personliga integriteten. IntrÄng i den personliga integriteten mÄste alltid stÄ i rimlig proportion till det intresse som ska tillgodoses med behandlingen av personuppgifterna.

GrundlÀggande bestÀmmelser till skydd för den personliga integ- riteten finns i regeringsformen. I 1 kap. 2 § första stycket slÄs det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda mÀnniskans frihet och i fjÀrde stycket anges bl.a. att det allmÀnna ska vÀrna den enskildes privatliv och familjeliv. Enligt

2kap. 6 § andra stycket Ă€r var och en skyddad gentemot det allmĂ€nna mot betydande intrĂ„ng i den personliga integriteten, om det sker utan samtycke och innebĂ€r övervakning eller kartlĂ€ggning av den enskildes personliga förhĂ„llanden. InskrĂ€nkningar i det grundlags- fĂ€sta skyddet kan endast göras genom lag och bara under de förut- sĂ€ttningar som anges i 2 kap. 20–22 §§ regeringsformen.

Enligt artikel 8 i den europeiska konventionen angÄende skydd för de mÀnskliga rÀttigheterna och de grundlÀggande friheterna (Europakonventionen) har var och en rÀtt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Med detta avses bl.a. skyddet av personuppgifter. RÀttigheten Àr dock inte absolut. In- skrÀnkningar fÄr göras med stöd av lag och om det Àr nödvÀndigt i ett demokratiskt samhÀlle med hÀnsyn till vissa sÀrskilt angivna ÀndamÄl, bl.a. statens sÀkerhet och den allmÀnna sÀkerheten. Av 2 kap.

19§ regeringsformen följer att en lag eller annan föreskrift inte fÄr meddelas i strid med Sveriges Ätaganden pÄ grund av konventionen.

Den europeiska konventionen om skydd för enskilda vid auto- matisk databehandling av personuppgifter, den s.k. dataskyddskon- ventionen, kan ses som en precisering av skyddet för enskilda enligt artikel 8 i Europakonventionen i frÄga om behandlingen av person- uppgifter. Konventionen och dess tillÀggsprotokoll har ett generellt tillÀmpningsomrÄde och kompletteras av ett antal rekommendationer som antagits av ministerkommittén och som handlar om hur person- uppgifter bör behandlas inom olika omrÄden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. En översyn av konventionen pÄgÄr inom EuroparÄdet.

I Europeiska unionens stadga om de grundlÀggande rÀttigheterna bekrÀftas de rÀttigheter som har sin grund i medlemsstaternas ge- mensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och EuroparÄdets sociala stadgor samt

352

SOU 2018:63

Bilaga 1

rÀttspraxis vid Europeiska unionens domstol och Europeiska dom- stolen för de mÀnskliga rÀttigheterna. Artikel 7 i stadgan anger att var och en har rÀtt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Artikel 8 reglerar skydd av person- uppgifter. Enligt artikeln har var och en rÀtt till skydd av de person- uppgifter som rör honom eller henne. SÄdana uppgifter ska behandlas lagenligt för bestÀmda ÀndamÄl och pÄ grundval av den berörda personens samtycke eller nÄgon annan legitim och lagenlig grund. Var och en har rÀtt att fÄ tillgÄng till insamlade uppgifter som rör honom eller henne och att fÄ dem rÀttade. En oberoende myndighet ska kontrollera att reglerna följs.

EU-regleringen och dess svenska genomförande

EU:s dataskyddsdirektiv

Den allmÀnna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rÄdets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende pÄ behandling av personuppgifter och om behandling av det fria flödet av sÄdana uppgifter (dataskyddsdirektivet).

Dataskyddsdirektivet gĂ€ller inte för behandling av personupp- gifter pĂ„ omrĂ„den som faller utanför gemenskapsrĂ€tten, t.ex. försvar och statens sĂ€kerhet (artikel 3.2). Direktivet har genomförts i svensk rĂ€tt genom personuppgiftslagen (1998:204). Sverige valde i samband med att dataskyddsdirektivet genomfördes i svensk rĂ€tt att inte begrĂ€nsa personuppgiftslagens tillĂ€mpningsomrĂ„de, bl.a. med moti- veringen att det Ă€r sĂ€rskilt viktigt med ett starkt integritetsskydd nĂ€r det gĂ€ller uppgifter inom all offentlig verksamhet. En annan moti- vering var att den valda lösningen garanterar att behovet av sĂ€rregler i förhĂ„llande till personuppgiftslagen alltid övervĂ€gs noga i den ordning som krĂ€vs för författningsgivning (se prop. 1997/98:44 s. 40–41).

EU:s dataskyddsförordning

Den 27 april 2016 antogs Europaparlamentets och rÄdets förordning (EU) 2016/679 om skydd för enskilda personer med avseende pÄ behandling av personuppgifter och om det fria flödet av sÄdana

353

Bilaga 1

SOU 2018:63

uppgifter och om upphÀvande av direktiv 95/46/EG (allmÀn data- skyddsförordning), kallad dataskyddsförordningen. Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och kommer att ersÀtta det nuvarande dataskyddsdirektivet. Förord- ningen ska börja tillÀmpas den 25 maj 2018.

Dataskyddsförordningen baseras till stor del pÄ dataskyddsdirek- tivets struktur och innehÄll, men rymmer Àven en rad nyheter sÄsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrÀttandet av Europeiska dataskyddsstyrelsen. Dataskyddsför- ordningen Àr direkt tillÀmplig i medlemsstaterna, men den bÄde för- utsÀtter och möjliggör kompletterande nationella bestÀmmelser av olika slag. Behandling av personuppgifter som utgör ett led i en verk- samhet som inte omfattas av unionsrÀtten, t.ex. försvar och statens sÀkerhet, undantas frÄn dataskyddsförordningens tillÀmpningsomrÄde, pÄ samma sÀtt som gÀller för dataskyddsdirektivet. Förordningen ger ocksÄ ett visst utrymme för medlemsstaterna att behÄlla eller införa mer specifika bestÀmmelser för sÄdan personuppgiftsbehand- ling som Àr nödvÀndig för att den personuppgiftsansvarige ska kunna uppfylla en rÀttslig skyldighet, utföra en arbetsuppgift av allmÀnt intresse eller behandla uppgifter i samband med myndighetsutövning (förordningens artikel 6.2).

Regeringen tillsatte den 25 februari 2016 en utredning som bl.a. ska undersöka vilka kompletterande nationella föreskrifter som data- skyddsförordningen krÀver (Ju 2016:04). I utredningens direktiv anges att personuppgiftslagen och personuppgiftsförordningen (1998:1191) samt Datainspektionens föreskrifter i anslutning till denna reglering kommer att behöva upphÀvas. Uppdraget ska redovisas senast den 12 maj 2017.

Regeringen har Àven tillsatt en utredning som ska föreslÄ hur EU:s direktiv om skydd av personuppgifter vid brottsbekÀmpning, brott- mÄlshantering och straffverkstÀllighet ska genomföras i svensk rÀtt (Ju 2016:06). Uppdraget ska redovisas senast den 30 september 2017.

354

SOU 2018:63

Bilaga 1

Uppdraget att se över den reglering som gÀller vid behandling av personuppgifter inom Försvarsmakten och Försvarets radioanstalt

Myndigheternas verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas integritet vÀrnas

Personuppgiftslagen Àr subsidiÀr vilket innebÀr att lagens bestÀm- melser inte ska tillÀmpas om det finns avvikande bestÀmmelser i en annan lag eller förordning. Det finns en stor mÀngd sÄdana bestÀm- melser i s.k. sÀrskilda registerförfattningar.

PÄ Försvarsmaktens verksamhetsomrÄde finns lagen (2007:258) och förordningen (2007:260) om behandling av personuppgifter i Försvarsmaktens försvarsunderrÀttelseverksamhet och militÀra sÀker- hetstjÀnst. För stora delar av Försvarets radioanstalts verksamhet gÀller lagen (2007:259) och förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrÀttelse och utvecklingsverksamhet. Lagarna Àr fristÄende i förhÄllande till personuppgiftslagen, men deras strukturer och materiella innehÄll Àr till stor del inspirerade av den lagen.

Försvarsmakten och Försvarets radioanstalt behandlar Àven person- uppgifter för andra syften Àn de som anges i nu nÀmnda lagar, t.ex. inom myndigheternas administrativa verksamhet. För sÄdan behand- ling av personuppgifter gÀller personuppgiftslagen.

De sÀrskilda lagarna om viss personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt tillkom 2007. Person- uppgiftslagen kommer att ersÀttas av dataskyddsförordningen och nationella kompletterande bestÀmmelser. Det finns dÀrför anledning att sÀkerstÀlla att regleringen av all den personuppgiftsbehandling som sker inom Försvarsmakten och Försvarets radioanstalt Àr ÀndamÄlsenlig i förhÄllande till sÄvÀl ny övergripande reglering, den tekniska utvecklingen och myndigheternas verksamheter i övrigt. UtgÄngspunkten Àr att myndigheternas verksamheter ska kunna be- drivas effektivt med rationellt datorstöd samtidigt som enskildas personliga integritet vÀrnas.

Utredaren ska dÀrför

‹översiktligt beskriva hur personuppgifter behandlas och vilken reglering som gĂ€ller för behandlingen inom Försvarsmakten och Försvarets radioanstalt,

355

Bilaga 1

SOU 2018:63

‱bedöma om den reglering som gĂ€ller vid behandling av personupp- gifter i Försvarsmaktens försvarsunderrĂ€ttelseverksamhet och militĂ€ra sĂ€kerhetstjĂ€nst och i Försvarets radioanstalts försvars- underrĂ€ttelse- och utvecklingsverksamhet Ă€r Ă€ndamĂ„lsenligt utfor- mad och tillrĂ€cklig nĂ€r det gĂ€ller skyddet för enskildas personliga integritet,

‱analysera vilket utrymme det finns för nationell reglering av den personuppgiftsbehandling i Försvarsmakten och Försvarets radio- anstalt som i dag regleras i personuppgiftslagen, och utifrĂ„n den analysen bedöma om behandlingen helt eller delvis bör regleras sĂ€rskilt, och

‱lĂ€mna de författningsförslag som behövs och Ă€r lĂ€mpliga.

Hur bör personuppgiftsbehandlingen inom Försvarets radioanstalts arbete med informationssÀkerhet regleras?

Försvarets radioanstalt ska ha hög teknisk kompetens inom informa- tionssÀkerhetsomrÄdet och fÄr, efter begÀran, stödja andra statliga myndigheter och statligt Àgda bolag som hanterar information som bedöms vara kÀnslig frÄn sÄrbarhets-, sÀkerhets- eller försvarspolitisk synpunkt. Försvarets radioanstalt gör detta bl.a. genom att pÄ begÀran av berörd myndighet eller berört bolag testa sÄrbarheten i myndig- hetens eller bolagets it-system. PÄ grund av utvecklingen nÀr det gÀller avancerade it-angrepp har Försvarets radioanstalt pÄ regeringens upp- drag tagit fram ett tekniskt detekterings- och varningssystem för att stÀrka informationssÀkerheten vid de mest skyddsvÀrda verksamheter- na bland statliga myndigheter och statligt Àgda bolag.

Den personuppgiftsbehandling som kan uppkomma inom ramen för Försvarets radioanstalts arbete pÄ informationssÀkerhetsomrÄdet, och som myndigheten ansvarar för, regleras av personuppgiftslagen. Som nÀmnts kommer lagen att upphÀvas och ersÀttas av dataskydds- förordningen med kompletterande nationella föreskrifter.

Utredaren ska dÀrför

‱nĂ€rmare utreda hur personuppgifter behandlas inom Försvarets radioanstalt i samband med att myndigheten stödjer andra myn- digheter och statligt Ă€gda bolag inom informationssĂ€kerhets- omrĂ„det,

356

SOU 2018:63

Bilaga 1

‱bedöma om regleringen för personuppgiftsbehandlingen i För- svarets radioanstalt Ă€r Ă€ndamĂ„lsenlig med hĂ€nsyn till verksam- heten och skyddet för enskildas personliga integritet,

‱analysera vilket utrymme det finns för en nationell reglering, och

‱lĂ€mna lĂ€mpliga författningsförslag.

Konsekvensbeskrivningar

Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmÀnna och för enskilda. Om förslagen kan förvÀntas leda till kostnadsökningar för det allmÀnna ska utredaren föreslÄ hur dessa ska finansieras. Utredaren ska ocksÄ redovisa förslagens konse- kvenser för den personliga integriteten och för eventuella verksam- hetsmÀssiga konsekvenser.

SamrÄd och redovisning av uppdraget

NÀr utredaren genomför uppdraget ska han eller hon sÀrskilt höra Statens inspektion för försvarsunderrÀttelseverksamheten. Utredaren ska Àven, i den utstrÀckning som bedöms lÀmplig, ha en dialog med och inhÀmta upplysningar frÄn övriga myndigheter och andra som kan vara berörda av aktuella frÄgor.

Utredaren ska hÄlla sig vÀl informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsvÀsendet och EuroparÄdet. Detta innebÀr bl.a. att utredaren ska hÄlla sig informerad om arbetet med en ny sÀkerhetsskyddslag (SOU 2015:25), liksom det arbete som bedrivs i Integritetskommittén (Ju 2014:09), i Data- skyddsutredningen (Ju 2016:04), i utredningen om 2016 Ärs data- skyddsdirektiv (Ju 2016:06), i utredningen om behandling av person- uppgifter om totalförsvarspliktiga (Fö 2016:01), samt om den översyn som görs av dataskyddskonventionen.

Uppdraget ska redovisas senast den 31 maj 2018.

(Försvarsdepartementet)

357

Bilaga 2

Kommittédirektiv 2018:28

TillÀggsdirektiv till Utredningen behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt (Fö 2017:03)

Beslut vid regeringssammantrÀde den 19 april 2018

FörlÀngd tid för uppdraget

Regeringen beslutade den 27 april 2017 kommittédirektiv om behand- lingen av personuppgifter inom Försvarsmakten och Försvarets radio- anstalt (dir. 2017:42). Enligt utredningens direktiv skulle uppdraget redovisas senast den 31 maj 2018.

Utredningstiden förlÀngs. Uppdraget ska i stÀllet redovisas senast den 31 juli 2018.

(Försvarsdepartementet)

359

Statens offentliga utredningar 2018

Kronologisk förteckning

1.Ett reklamlandskap i förÀndring

–konsumentskydd och tillsyn i en digitaliserad vĂ€rld. Fi.

2.StÀrkt straffrÀttsligt skydd

för blÄljusverksamhet och andra samhÀllsnyttiga funktioner. Ju.

3.En strategisk agenda

för internationalisering. U.

4.Framtidens biobanker. S.

5.Vissa processuella frÄgor pÄ socialförsÀkringsomrÄdet. S.

6.Grovt upphovsrÀttsbrott och grovt varumÀrkesbrott. Ju.

7.Försvarsmaktens lÄngsiktiga materielbehov. Fö.

8.KunskapslÀget pÄ kÀrnavfallsomrÄdet­ 2018. Beslut under osÀkerhet. M.

9.Ökad trygghet för studerande som blir sjuka. U.

10.Myndighetsgemensam indelning – samverkan pĂ„ regional nivĂ„. Volym 1. Myndighetsgemensam indelning – författningsĂ€ndringar till följd av ny landstingsbeteckning. Volym 2. Fi.

11.VĂ„rt gemensamma ansvar

–för unga som varken arbetar eller studerar. U.

12.Uppdrag: Samverkan 2018. MÄnga utmaningar ÄterstÄr. A.

13.Finansiering av infrastruktur med skatt eller avgift? Fi.

14.Bidragsbrott och underrĂ€ttelseskyl- dighet vid felaktiga utbetalningar frĂ„n vĂ€lfĂ€rdssystemen – en utvĂ€rdering. Fi.

15.Mindre aktörer i energilandskapet

–genomgĂ„ng av nulĂ€get. M.

16.VĂ€gen till sjĂ€lvkörande fordon – introduktion. Del 1 + 2. N.

17.Med undervisningsskicklighet

icentrum – ett ramverk för lĂ€rares och rektorers professionella utveckling. U.

18.Statens stöd till trossamfund i ett mÄngreligiöst Sverige. Ku.

19.Forska tillsammans – samverkan för lĂ€rande och förbĂ€ttring. U.

20.GrÀsrotsfinansiering. Fi.

21.Flexibel rehabilitering. A.

22.Ett ordnat mottagande – gemensamt ansvar för snabb etablering eller Ă„tervĂ€ndande. A.

23.KonstnĂ€r – oavsett villkor? Ku.

24.Tid för utveckling. A.

25.Juridik som stöd för förvaltningens digitalisering. Fi.

26.NÄgra frÄgor i skyddslagstiftningen. Fö.

27.Ekonomiska sanktioner mot terrorism. UD.

28.En nationell alarmeringstjÀnst

–för snabba, sĂ€kra och effektiva hjĂ€lpinsatser. Ju.

29.Validering i högskolan – för tillgodorĂ€knande och livslĂ„ngt lĂ€rande. U.

30.Förenklat förfarande vid vissa beslut om hemlig avlyssning. Ju.

31.En lag om operativt militÀrt stöd mellan Sverige och Finland. Fö.

32.Ju förr desto bĂ€ttre – vĂ€gar till en förebyggande socialtjĂ€nst. S.

33.Aggressionsbrottet och Àndringar

iRomstadgan. Ju.

34.VÀgar till hÄllbara vattentjÀnster. M.

35.Ett gemensamt bostadsförsörjningsansvar. N.

36.RĂ€tt att forska. LĂ„ngsiktig reglering av forskningsdatabaser. U.

37.Att bryta ett vÄldsamt beteende

–Äterfallsförebyggande insatser

för mÀn som utsÀtter nÀrstÄende för vÄld. S.

38.Styra och leda med tillit. Forskning och praktik. Fi.

39.God och nÀra vÄrd.

En primÀrvÄrdsreform­. S.

40.Vissa fredspliktsfrÄgor. A.

41.Statliga skolmyndigheter.

–för elever och barn i en bĂ€ttre skola. U.

42.Tryggad tillgÄng till kontanter. Fi.

43.Statliga servicekontor

–mer service pĂ„ fler platser. Fi.

44.Möjligt, tillÄtet och tillgÀngligt

–förslag till enklare och flexiblare upphandlingsregler och vissa regler om överprövningsmĂ„l. Fi.

45.Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. A.

46.En utvecklad översiktsplanering. Del 1: Att underlÀtta efterföljande planering. Del 2: Kommunal reglering av upplÄtelseformen. N.

47.Med tillit vÀxer handlingsutrymmet.

–tillitsbaserad styrning och ledning av vĂ€lfĂ€rdssektorn. Fi.

48.En lÀrande tillsyn. Statlig granskning som bidrar till verksamhetsutveckling i vÄrd, skola och omsorg. Fi.

49.F-skattesystemet

–nĂ„gra sĂ€rskilt utpekade frĂ„gor. Fi.

50.Ett oberoende public service för alla

–nya möjligheter och ökat ansvar. Ku.

51.Resurseffektiv anvÀndning av byggmaterial. N.

52.Behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys. S.

53.Översyn av maskinell dos, extempore, prövningslĂ€kemedel m.m. S.

54.En effektivare kommunal rÀddnings- tjÀnst. Ju.

55.Styrning och vÄrdkonsumtion ur ett jÀmlikhetsperspektiv. KartlÀggning av socioekonomiska skillnader i vÄrdutnyttjande och utgÄngspunkter för bÀttre styrning. S.

56.BÀttre kommunikation för fler investeringar. UD.

57.Barns och ungas lÀsning

–ett ansvar för hela samhĂ€llet. Ku.

58.SĂ€rskilda persontransporter

–moderniserad lagstiftning för ökad samordning. N.

59.Statens gruvliga risker. M.

60.TilltrÀde till Rotterdamreglerna. Ju.

61.RÀttssÀkerhetsgarantier och hemliga tvÄngsmedel. Ju.

62.Kamerabevakning i brottsbekĂ€mp- ningen – ett enklare förfarande. Ju.

63.Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt. Fö.

Statens offentliga utredningar 2018

Systematisk förteckning

Arbetsmarknadsdepartementet

Uppdrag: Samverkan 2018.

MÄnga utmaningar ÄterstÄr. [12] Flexibel rehabilitering. [21]

Ett ordnat mottagande – gemensamt ansvar för snabb etablering eller Ă„tervĂ€ndande. [22]

Tid för utveckling. [24] Vissa fredspliktsfrÄgor. [40]

Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. [45]

Finansdepartementet

Ett reklamlandskap i förÀndring

–konsumentskydd och tillsyn i en digitaliserad vĂ€rld. [1]

Myndighetsgemensam indelning – sam- verkan pĂ„ regional nivĂ„. Volym 1. Myndighetsgemensam indelning – författningsĂ€ndringar till följd av ny landstingsbeteckning. Volym 2. [10]

Finansiering av infrastruktur med skatt eller avgift? [13]

Bidragsbrott och underrĂ€ttelseskyldig- het vid felaktiga utbetalningar frĂ„n vĂ€lfĂ€rdssystemen – en utvĂ€rdering. [14]

GrÀsrotsfinansiering. [20]

Juridik som stöd för förvaltningens digitalisering. [25]

Styra och leda med tillit. Forskning och praktik. [38]

Tryggad tillgÄng till kontanter. [42]

Statliga servicekontor

– mer service pĂ„ fler platser. [43] Möjligt, tillĂ„tet och tillgĂ€ngligt

–förslag till enklare och flexiblare upphandlingsregler och vissa regler om överprövningsmĂ„l. [44]

Med tillit vÀxer handlingsutrymmet.

–tillitsbaserad styrning och ledning av vĂ€lfĂ€rdssektorn. [47]

En lÀrande tillsyn. Statlig granskning som bidrar till verksamhetsutveckling i vÄrd, skola och omsorg. [48]

F-skattesystemet

– nĂ„gra sĂ€rskilt utpekade frĂ„gor. [49]

Försvarsdepartementet

Försvarsmaktens lÄngsiktiga materielbehov. [7]

NÄgra frÄgor i skyddslagstiftningen. [26]

En lag om operativt militÀrt stöd mellan Sverige och Finland. [31]

Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt. [63]

Justitiedepartementet

StÀrkt straffrÀttsligt skydd

för blÄljusverksamhet och andra samhÀllsnyttiga funktioner. [2]

Grovt upphovsrÀttsbrott och grovt varumÀrkesbrott. [6]

En nationell alarmeringstjÀnst

–för snabba, sĂ€kra och effektiva hjĂ€lpinsatser. [28]

Förenklat förfarande vid vissa beslut om hemlig avlyssning. [30]

Aggressionsbrottet och Àndringar i Romstadgan. [33]

En effektivare kommunal rÀddningstjÀnst. [54]

TilltrÀde till Rotterdamreglerna. [60]

RÀttssÀkerhetsgarantier och hemliga tvÄngsmedel. [61]

Kamerabevakning i brottsbekÀmpningen

– ett enklare förfarande. [62]

Kulturdepartementet

Statens stöd till trossamfund i ett mÄngreligiöst Sverige. [18]

KonstnĂ€r – oavsett villkor? [23] Ett oberoende public service för alla

–nya möjligheter och ökat ansvar. [50]

Barns och ungas lÀsning

– ett ansvar för hela samhĂ€llet. [57]

Miljö- och energidepartementet

KunskapslÀget pÄ kÀrnavfallsomrÄdet­ 2018. Beslut under osÀkerhet. [8]

Mindre aktörer i energilandskapet

–genomgĂ„ng av nulĂ€get. [15] VĂ€gar till hĂ„llbara vattentjĂ€nster. [34] Statens gruvliga risker. [59]

NĂ€ringsdepartementet

VĂ€gen till sjĂ€lvkörande fordon – introduktion. Del 1 + 2. [16]

Ett gemensamt bostadsförsörjningsansvar. [35]

En utvecklad översiktsplanering.

Del 1: Att underlÀtta efterföljande

planering. Del 2: Kommunal reglering av upplÄtelseformen. [46]

Resurseffektiv anvÀndning av byggmaterial. [51]

SĂ€rskilda persontransporter

–moderniserad lagstiftning för ökad samordning. [58]

Socialdepartementet

Framtidens biobanker. [4]

Vissa processuella frÄgor pÄ social- försÀkringsomrÄdet. [5]

Ju förr desto bĂ€ttre – vĂ€gar till

en förebyggande socialtjÀnst. [32] Att bryta ett vÄldsamt beteende

–Äterfallsförebyggande insatser för mĂ€n som utsĂ€tter nĂ€rstĂ„ende för vĂ„ld. [37]

God och nÀra vÄrd. En primÀrvÄrdsreform­. [39]

Behandling av personuppgifter vid Myndigheten för vÄrd- och omsorgsanalys. [52]

Översyn av maskinell dos, extempore, prövningslĂ€kemedel m.m. [53]

Styrning och vÄrdkonsumtion ur ett jÀmlikhetsperspektiv. KartlÀggning av socioekonomiska skillnader i vÄrdutnyttjande och utgÄngspunkter för bÀttre styrning. [55]

Utbildningsdepartementet

En strategisk agenda

för internationalisering. [3]

Ökad trygghet för studerande som blir sjuka. [9]

VĂ„rt gemensamma ansvar

–för unga som varken arbetar eller studerar. [11]

Med undervisningsskicklighet

i centrum – ett ramverk för lĂ€rares och rektorers professionella utveckling. [17]

Forska tillsammans – samverkan för lĂ€rande och förbĂ€ttring. [19]

Validering i högskolan – för tillgodo- rĂ€knande och livslĂ„ngt lĂ€rande. [29]

RĂ€tt att forska. LĂ„ngsiktig reglering av forskningsdatabaser. [36]

Statliga skolmyndigheter.

–för elever och barn i en bĂ€ttre skola. [41]

Utrikesdepartementet

Ekonomiska sanktioner mot terrorism. [27]

BÀttre kommunikation för fler investeringar. [56]