Regeringens proposition 2020/21:224

Behandling av personuppgifter vid	Prop.
Försvarsmakten och Försvarets radioanstalt	2020/21:224

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 9 september 2021

Stefan Löfven

Peter Hultqvist (Försvarsdepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås två nya lagar om behandling av personuppgifter vid Försvarsmakten respektive Försvarets radioanstalt. De nya lagarna föreslås ersätta lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och lagen om

behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, som enligt förslaget upphävs. Det föreslås även följdändringar i vissa lagar. Vidare föreslås ändringar i lagen om signalspaning i försvarsunderrättelseverksamhet som bland annat rör Försvarets radioanstalts internationella samarbete.

Genom de nya lagarna skyddas fysiska personers grundläggande rättigheter och friheter samtidigt som det säkerställs att Försvarsmakten och Försvarets radioanstalt kan behandla och utbyta personuppgifter med andra aktörer på ett ändamålsenligt sätt. De nya lagarna ska tillämpas i stället för EU:s dataskyddsförordning och dataskyddslagen.

De nya lagarna och övriga lagändringar föreslås träda i kraft den

1 januari 2022.

1

Prop. 2020/21:224 Innehållsförteckning

1	Förslag till riksdagsbeslut .................................................................			7
2	Lagtext	..............................................................................................		8
	2.1	Förslag till lag om behandling av personuppgifter
		vid Försvarsmakten ............................................................		8
	2.2	Förslag till lag om behandling av personuppgifter
		vid Försvarets radioanstalt................................................		21
	2.3	Förslag till lag om ändring i lagen (2008:717) om
		signalspaning i försvarsunderrättelseverksamhet .............		33
	2.4	Förslag till lag om ändring i lagen (2018:218) med
		kompletterande bestämmelser till EU:s
		dataskyddsförordning .......................................................		36
	2.5	Förslag till lag om ändring i brottsdatalagen
		(2018:1177) ......................................................................		37
3	Ärendet och dess beredning ............................................................			38
4	Försvarsmakten och Försvarets radioanstalt ...................................			39
	4.1	Försvarsmakten ................................................................		39
		4.1.1	Försvarsmaktens uppgifter ..............................	39
		4.1.2	Försvarsmaktens militära säkerhetstjänst ........	40
		4.1.3	Internationellt samarbete .................................	41
	4.2	Försvarets radioanstalt......................................................		42
		4.2.1	Försvarets radioanstalts uppgifter....................	42
		4.2.2	Försvarets radioanstalts
			informationssäkerhetsverksamhet ...................	43
	4.3	Försvarsmaktens och Försvarets radioanstalts
		försvarsunderrättelseverksamhet ......................................		43
	4.4	Försvarets radioanstalts signalspaning i
		försvarsunderrättelse- och utvecklingsverksamhet...........		45
		4.4.1	Gällande reglering ...........................................	45
		4.4.2	Internationellt samarbete .................................	46
	4.5	Försvarsmaktens och Försvarets radioanstalts
		behandling av personuppgifter .........................................		47
		4.5.1	Gällande reglering ...........................................	47
		4.5.2	Exempel på annan reglering som gäller
			för Försvarsmakten..........................................	48
		4.5.3	Exempel på annan reglering som gäller
			för Försvarets radioanstalt ...............................	48
5	Det grundläggande skyddet för personuppgifter .............................			49
	5.1	Regeringsformen och Europakonventionen .....................		49
	5.2	Europarådets dataskyddskonvention ................................		50
	5.3	Europeiska unionen ..........................................................		51
		5.3.1	EU-stadgan ......................................................	51
		5.3.2	1995 års dataskyddsdirektiv ............................	52
		5.3.3	EU:s dataskyddsförordning .............................	52
		5.3.4	2016 års dataskyddsdirektiv ............................	53
6	Allmänna utgångspunkter för en ny reglering.................................			54
2	6.1	Två nya lagar införs..........................................................		54

	14.3.1	Det allmännas skadeståndsansvar.................	151	Prop. 2020/21:224
	14.3.2	Skadeståndsansvar för den
		personuppgiftsansvarige ...............................	152
14.4	Överklagande.................................................................		154
	14.4.1	Överklagande av Försvarsmaktens och
		Försvarets radioanstalts beslut ......................	154
	14.4.2	Överklagande av tillsynsmyndighetens
		beslut ............................................................	155
15 Ändringar i lagen om signalspaning i
försvarsunderrättelseverksamhet ..................................................			156
15.1	Signalspaning vid internationellt samarbete ..................		156

15.2Regeringen ska inrikta signalspaningen vid

		internationellt samarbete ...............................................	158
	15.3	Förstöringsskyldigheten preciseras................................	159
16	Följdändringar i andra författningar .............................................		162
17	Ikraftträdande- och övergångsbestämmelser................................		163
18	Konsekvenser ...............................................................................		165
19	Författningskommentar ................................................................		167

19.1Förslaget till lag om behandling av personuppgifter

vid Försvarsmakten .......................................................

167

19.2Förslaget till lag om behandling av personuppgifter

vid Försvarets radioanstalt.............................................

206

19.3Förslaget till lag om ändring i lagen (2008:717) om

signalspaning i försvarsunderrättelseverksamhet ..........

242

19.4Förslaget till lag om ändring i lagen (2018:218) med

kompletterande bestämmelser till EU:s
dataskyddsförordning ....................................................	245

19.5Förslaget till lag om ändring i brottsdatalagen

	(2018:1177) ...................................................................	245
Bilaga 1	Sammanfattning av betänkandet
	Personuppgiftsbehandlingen vid Försvarsmakten och
	Försvarets radioanstalt (SOU 2018:63) .........................	247
Bilaga 2	Lagförslagen i betänkandet SOU 2018:63.....................	252
Bilaga 3	Förteckning över remissinstanserna
	(betänkandet SOU 2018:63) ..........................................	279
Bilaga 4	Sammanfattning av betänkandet Försvarets
	radioanstalts internationella samarbete – en översyn
	av regelverket (SOU 2020:68).......................................	280
Bilaga 5	Lagförslagen i betänkandet SOU 2020:68.....................	283
Bilaga 6	Förteckning över remissinstanserna
	(betänkandet SOU 2020:68) ..........................................	287
Bilaga 7	Lagrådsremissens lagförslag..........................................	288
Bilaga 8	Lagrådets yttrande .........................................................	317

5

Prop. 2020/21:224 Utdrag ur protokoll vid regeringssammanträde den 9 september
2021 .....................................................................................	326

6

1	Förslag till riksdagsbeslut	Prop. 2020/21:224

Regeringens förslag:

1.Riksdagen antar regeringens förslag till lag om behandling av personuppgifter vid Försvarsmakten.

2.Riksdagen antar regeringens förslag till lag om behandling av personuppgifter vid Försvarets radioanstalt.

3.Riksdagen antar regeringens förslag till lag om ändring i lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet.

4.Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

5.Riksdagen antar regeringens förslag till lag om ändring i brottsdatalagen (2018:1177).

7

Prop. 2020/21:224 2

Lagtext

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om behandling av personuppgifter vid Försvarsmakten

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Syftet med lagen

1 § Syftet med denna lag är att säkerställa att Försvarsmakten kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid Försvarsmaktens behandling av personuppgifter i verksamhet som rör Sveriges försvar och säkerhet samt internationellt försvars- och säkerhetssamarbete.

3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Den gäller också personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

4 § Vid behandling av personuppgifter enligt denna lag gäller inte Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och inte heller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Ord och uttryck i lagen

5 § I denna lag används följande ord och uttryck.

Ord och uttryck	Betydelse
Behandling av personuppgifter	En åtgärd eller en kombination av
	åtgärder som vidtas i fråga om
	personuppgifter eller uppsättningar
	av personuppgifter, oavsett om det
	görs automatiserat eller inte, t.ex.
8	insamling, registrering, organise-

ring, strukturering, lagring, bear- Prop. 2020/21:224 betning eller ändring, framtagning,

läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, samman- föring, begränsning, radering eller förstöring.

Biometriska uppgifter	Personuppgifter som rör en persons
	fysiska, fysiologiska eller be-
	teendemässiga		kännetecken,				som
	tagits fram genom särskild teknisk
	behandling och som möjliggör eller
	bekräftar identifiering av personen
	i fråga.
Dataskyddsombud	En fysisk person som utses av den
	personuppgiftsansvarige					för	att
	självständigt kontrollera att person-
	uppgifter	behandlas			författnings-
	enligt och på ett korrekt sätt.
Genetiska uppgifter	Personuppgifter som rör en persons
	nedärvda eller förvärvade genetiska
	kännetecken och som framför allt
	härrör från analys av ett spår av
	eller ett biologiskt prov från
	personen i fråga.
Mottagare	Den till	vilken		personuppgifter
	lämnas ut, med undantag av en
	myndighet som med stöd av
	författning utövar			tillsyn,		kontroll
	eller revision.
Personuppgift	Varje	upplysning			om		en
	identifierad		eller		identifierbar
	fysisk person som är i livet.
Personuppgiftsansvarig	Den som ensam eller tillsammans
	med andra bestämmer ändamålen
	med och medlen för behandlingen
	av personuppgifter.
Personuppgiftsbiträde	Den som behandlar person-
	uppgifter för den personuppgifts-
	ansvariges räkning.
Registrerad	Den fysiska person som person-
	uppgiften gäller.

9

Prop. 2020/21:224 Tredje part	Någon annan än
	– den registrerade,
	– den personuppgiftsansvarige,
	– dataskyddsombudet,
	– personuppgiftsbiträdet, och
	– sådana personer som under den
	personuppgiftsansvariges	eller
	personuppgiftsbiträdets	direkta
	ansvar har rätt att behandla
	personuppgifter.
Uppgiftssamling	En samling med uppgifter som med
	hjälp av automatiserad behandling
	är gemensamt tillgängliga.

Personuppgiftsansvar

6 § Försvarsmakten är personuppgiftsansvarig för all behandling av personuppgifter som myndigheten utför, som utförs under myndighetens ledning eller på dess vägnar.

2 kap. Behandling av personuppgifter

Grundläggande krav på behandlingen

Krav på ändamål

1 § Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål som de ursprungligen behandlades för.

Försvar och säkerhet

2 § Försvarsmakten får behandla personuppgifter om det är nödvändigt för att planera, förbereda och genomföra verksamhet som rör

1.Sveriges försvar och säkerhet, eller

2.internationellt försvars- och säkerhetssamarbete.

Försvarsmaktens uppgift att bedriva sådan verksamhet som anges i första stycket ska följa av lag, förordning, kollektivavtal eller annat avtal, eller ett särskilt beslut där regeringen har gett myndigheten i uppdrag att utföra uppgiften.

För Försvarsmaktens behandling av personuppgifter i myndighetens försvarsunderrättelseverksamhet och militära säkerhetstjänst gäller i stället 3–8 §§.

Försvarsunderrättelseverksamhet

3 § Personuppgifter får behandlas i Försvarsmaktens försvarsunder- rättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet.

10

4 § De personuppgifter som Försvarsmakten har fått tillgång till i Prop. 2020/21:224 myndighetens försvarsunderrättelseverksamhet får fortsätta behandlas i

den verksamheten, om det behövs för att fullgöra den.

Första stycket gäller endast om inte något annat följer av denna lag eller en förordning som regeringen har meddelat i anslutning till lagen.

Militär säkerhetstjänst

5 § Personuppgifter får behandlas i Försvarsmaktens militära säkerhets- tjänst för att upptäcka, förebygga och avvärja säkerhetshotande verksam- het som riktas mot Försvarsmakten och dess säkerhetsintressen, om det är nödvändigt för att

1.klarlägga verksamhet som innefattar hot mot Sveriges säkerhet, eller

2.vidta åtgärder som hindrar eller försvårar säkerhetshotande verksam-

het.

6 § Personuppgifter får behandlas för de ändamål som anges i 5 § endast om

1.personuppgifterna är nödvändiga för att kartlägga verksamhet som innefattar brott som kan hota Sveriges säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller enligt motsvarande äldre föreskrifter,

2.personuppgifterna är nödvändiga för att kartlägga underrättelse- verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen,

3.personuppgifterna är nödvändiga för att kartlägga annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av skyldigheter i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften ska behandlas,

4.personuppgifterna är nödvändiga för att bedöma om en person som har lämnat uppgifter om säkerhetshotande verksamhet är trovärdig, eller

5.personuppgifterna är nödvändiga för att genomföra säkerhets- prövning enligt säkerhetsskyddslagen (2018:585) eller för att utföra en uppgift som rör säkerhetsskydd.

7 § Personuppgifter som behandlas enligt 6 § ska förses med upplysning om på vilken av de angivna grunderna uppgiften behandlas.

Om behandlingen av en personuppgift motiveras av något annat än ett antagande om att en person har utövat eller kommer att utöva brottslig verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att en sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet ska förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att ett sådant antagande inte finns.

Personuppgifter som behandlas enligt 6 § 1, 2 eller 3 ska i före- kommande fall förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

8 § Trots 6 § får personuppgifter som ingår i eller har uppkommit i samband med användning av totalförsvarets telekommunikations- och

informationssystem behandlas för att förhindra obehörig insyn i och

11

Prop. 2020/21:224 påverkan på dessa system. Det gäller även sådana uppgifter som avses i 15, 16, 18 och 19 §§. Behandling som särskilt syftar till att identifiera en person får dock endast utföras om bestämmelserna i 6 § 1, 2 eller 3 tillämpas.

Försvarsmakten ska föra en förteckning över de behandlingar som särskilt syftar till att identifiera en person och de uppgifter som har utgjort anledningen till behandlingen.

Övriga ändamål

9 § Försvarsmakten får behandla personuppgifter om det är nödvändigt för diarieföring, arkivering, handläggning av ett ärende eller för att utföra annan liknande uppgift som myndigheten har.

10 § Försvarsmakten får behandla personuppgifter som utgör allmänt tillgänglig information om det är nödvändigt för den verksamhet som anges i 2, 3 och 5 §§.

11 § Försvarsmakten får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.

12 § Försvarsmakten får behandla personuppgifter om lagöverträdelser om det är nödvändigt för myndighetens verksamhet.

Författningsenlig och korrekt behandling

13 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Personuppgifternas kvalitet

14 § Personuppgifter som behandlas ska vara riktiga och, om det är nödvändigt, uppdaterade. Personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Känsliga personuppgifter

15 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

När personuppgifter behandlas får de dock kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen.

16 § Biometriska uppgifter får behandlas om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen.

Genetiska uppgifter får inte behandlas.

12

17 § Vid sökning får personuppgifter som avslöjar ras, etniskt ursprung,	Prop. 2020/21:224
politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i

fackförening eller som rör hälsa, sexualliv eller sexuell läggning användas som sökbegrepp om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen. Detsamma gäller biometriska uppgifter.

Personnummer och samordningsnummer

18 § Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till

1.ändamålen med behandlingen,

2.vikten av en säker identifiering, eller

3.något annat beaktansvärt skäl.

Om den registrerade har lämnat sitt samtycke eller offentliggjort personuppgifterna

19 § Trots 15, 16 och 18 §§ får andra personuppgifter än genetiska uppgifter behandlas, om den registrerade har lämnat sitt uttryckliga samtycke eller på ett tydligt sätt har offentliggjort uppgifterna.

Behandling av personuppgifter i vissa fall

20 § Hantering av information som innebär behandling av person- uppgifter ska inte anses oförenlig med bestämmelserna i 1–3, 5, 6, 8, 10, 12–16 och 18 §§ i det skede av behandlingen då det inte har kunnat fastställas vilka personuppgifter som informationen innehåller.

Längsta tid som personuppgifter får behandlas

21 § Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålen med behandlingen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får behandlas under endast viss tid eller fortsätta behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål.

Regeringen eller den myndighet som regeringen bestämmer får också besluta om sådan behandling i ett enskilt fall.

Överföring av personuppgifter till en mottagare utomlands

22 § Personuppgifter som behandlas med stöd av denna lag får föras över till ett annat land eller en internationell organisation endast om sekretess inte hindrar det och det är nödvändigt för att Försvarsmakten ska kunna fullgöra sina uppgifter inom ramen för det internationella försvars- och säkerhetssamarbetet.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att överföring får ske även i andra fall om det är nödvändigt för verksamheten vid Försvarsmakten.

Regeringen får också besluta om sådan överföring i ett enskilt fall.

13

Prop. 2020/21:224 Utlämnande av personuppgifter

23 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

3 kap. Gemensamt tillgängliga personuppgifter

Personuppgifter som får göras gemensamt tillgängliga

1 § Personuppgifter får göras gemensamt tillgängliga om det behövs för något av de ändamål som anges i 2 kap. Med att göra personuppgifter gemensamt tillgängliga avses inte att endast ett fåtal personer får tillgång till uppgifterna.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifts- samlingar som får finnas och vilka uppgifter som får behandlas i respektive uppgiftssamling.

Regeringen eller den myndighet som regeringen bestämmer får också besluta om uppgiftssamlingar i ett enskilt fall.

Direktåtkomst

2 § Totalförsvarets plikt- och prövningsverk får medges direktåtkomst till personuppgifter som rör Försvarsmaktens personalförsörjning och krigsorganisation och som har gjorts gemensamt tillgängliga inom Försvarsmakten.

Totalförsvarets plikt- och prövningsverk har rätt att vid direktåtkomst ta del av de personuppgifter som omfattas av åtkomsten.

3 § Säkerhetspolisen och Försvarets radioanstalt får medges direkt- åtkomst till personuppgifter som utgör bearbetningsunderlag och analys- resultat inom försvarsunderrättelseverksamheten och som finns i uppgifts- samlingar.

Säkerhetspolisen och Försvarets radioanstalt har rätt att vid direkt- åtkomst ta del av de personuppgifter som omfattas av åtkomsten.

4 § Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrättelse- och säkerhetssamarbete, får en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 3 § och som finns i uppgiftssamlingar.

Första stycket gäller enbart i den utsträckning som sådan direktåtkomst följer av lag eller förordning eller om regeringen har beslutat om den i ett enskilt fall.

5 § Om det behövs för samarbetet mot säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen, får en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till

14

personuppgifter som behandlas med stöd av 2 kap. 5 § och som finns i Prop. 2020/21:224 uppgiftssamlingar.

Första stycket gäller enbart i den utsträckning som sådan direktåtkomst följer av lag eller förordning eller om regeringen har beslutat om den i ett enskilt fall.

Direktåtkomst i andra fall

6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om direktåtkomst till gemensamt tillgängliga uppgifter eller uppgiftssamlingar i andra fall än de som anges i 2–5 §§.

Regeringen får också besluta om detta i ett enskilt fall.

Omfattningen av direktåtkomsten

7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst.

Regeringen får också besluta om detta i ett enskilt fall.

4 kap. Skyldigheter som personuppgiftsansvarig

Åtgärder för att säkerställa författningsenlig behandling

1 § Försvarsmakten ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa att behandlingen av personuppgifter är författnings- enlig och att de registrerades rättigheter skyddas.

2 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Säkerheten för personuppgifter

3 § Försvarsmakten ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska särskilt avse skydd mot obehörig eller otillåten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.

Dataskyddsombud

4 § Försvarsmakten ska inom myndigheten utse ett eller flera data- skyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.

5 § Ett dataskyddsombud ska

1.självständigt kontrollera att Försvarsmakten behandlar person- uppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,

2.informera och ge råd till Försvarsmakten och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.vara kontaktpunkt för enskilda i frågor som rör Försvarsmaktens

behandling av personuppgifter, och	15

Prop. 2020/21:224 4. vid behov söka vägledning av tillsynsmyndigheten.

Personuppgiftsbiträden

6 § Försvarsmakten får, om det är lämpligt, anlita personuppgifts- biträden för behandling av personuppgifter på Försvarsmaktens vägnar. Innan ett personuppgiftsbiträde anlitas, ska Försvarsmakten försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.

7 § Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.

8 § Ett personuppgiftsbiträde får inte anlita ett annat personuppgifts- biträde utan skriftligt tillstånd av Försvarsmakten.

9 § Ett personuppgiftsbiträde eller den eller de personer som arbetar under biträdets eller Försvarsmaktens ledning ska behandla person- uppgifter i enlighet med instruktioner från Försvarsmakten.

Om ett personuppgiftsbiträde, i strid med Försvarsmaktens instruktioner, bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.

10 § Försvarsmaktens skyldigheter enligt 2 och 3 §§ gäller även för personuppgiftsbiträden som Försvarsmakten anlitar.

5 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 § Försvarsmakten ska göra följande information allmänt tillgänglig:

1.myndighetens identitet och kontaktuppgifter,

2.uppgifter om dataskyddsombudet,

3.kategorier av ändamål för behandlingen av personuppgifter,

4.rätten enligt 3 § att begära att få information om behandlingen av personuppgifter och att få del av dem, och

5.rätten att begära rättelse, radering eller begränsning av behandlingen enligt 6 §.

Information som ska lämnas om personuppgifterna samlas in från den som uppgifterna avser

2 § Om personuppgifter samlas in från den som uppgifterna avser ska Försvarsmakten, när myndigheten får personuppgifterna, på eget initiativ lämna följande information till den registrerade:

1.uppgift om att det är Försvarsmakten som är personuppgiftsansvarig för behandlingen,

2.uppgift om ändamålen med behandlingen, och

16

författning. Detsamma gäller om en pågående behandling riskerar att strida Prop. 2020/21:224 mot lag eller annan författning.

Korrigerande befogenheter

4 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Försvarsmakten eller ett personuppgiftsbiträde på annat sätt inte fullgör sina skyldigheter, får tillsynsmyndigheten

1.genom sådana åtgärder som anges i 3 § första stycket försöka förmå Försvarsmakten eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller för att fullgöra andra skyldigheter, eller

2.besluta att förelägga Försvarsmakten eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller för att fullgöra andra skyldigheter.

Av ett beslut om föreläggande ska det framgå när föreläggandet senast ska ha följts och, om det är lämpligt, vilka åtgärder som ska vidtas.

7 kap. Skadestånd och överklagande

Skadestånd

1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, föreskrifter som har meddelats i anslutning till lagen eller beslut med stöd av lagen.

Ersättningsskyldigheten kan, i den utsträckning det är skäligt, jämkas om den personuppgiftsansvarige visar att felet inte berodde på denne.

Överklagande

Överklagande av Försvarsmaktens beslut

2 § Försvarsmaktens beslut enligt 5 kap. 2 och 3 §§ att inte lämna information och beslut enligt 5 kap. 6 § i fråga om rättelse, radering, begränsning av behandlingen eller underrättelse till tredje part, får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av tillsynsmyndighetens beslut

3 § Tillsynsmyndighetens beslut om föreläggande enligt 6 kap. 4 § första stycket 2 får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndigheten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud

4 § Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte överklagas.

1. Denna lag träder i kraft den 1 januari 2022.	19

Prop. 2020/21:224 2. Genom lagen upphävs lagen (2007:258) om behandling av person- uppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst.

3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

20

2.2	Förslag till lag om behandling av	Prop. 2020/21:224
	personuppgifter vid Försvarets radioanstalt

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Syftet med lagen

1 § Syftet med denna lag är att säkerställa att Försvarets radioanstalt kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet samt informationssäkerhetsverksamhet.

3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Den gäller också personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

4 § Vid behandling av personuppgifter enligt denna lag gäller inte Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och inte heller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Ord och uttryck i lagen

5 § I denna lag används följande ord och uttryck.

Ord och uttryck	Betydelse
Behandling av personuppgifter	En åtgärd eller en kombination av
	åtgärder som vidtas i fråga om
	personuppgifter eller uppsättningar
	av personuppgifter, oavsett om det
	görs automatiserat eller inte, t.ex.
	insamling,		registrering,	organise-
	ring, strukturering, lagring, bear-
	betning eller ändring, framtagning,
	läsning,	användning, utlämnande,
	spridning eller tillhandahållande på
	annat	sätt,	justering,	samman-

21

Prop. 2020/21:224	föring, begränsning, radering eller
	förstöring.
Biometriska uppgifter	Personuppgifter som rör en persons
	fysiska, fysiologiska eller be-
	teendemässiga			kännetecken,				som
	tagits fram genom särskild teknisk
	behandling och som möjliggör eller
	bekräftar identifiering av personen
	i fråga.
Dataskyddsombud	En fysisk person som utses av den
	personuppgiftsansvarige						för	att
	självständigt kontrollera att person-
	uppgifter		behandlas			författnings-
	enligt och på ett korrekt sätt.
Genetiska uppgifter	Personuppgifter som rör en persons
	nedärvda eller förvärvade genetiska
	kännetecken och som framför allt
	härrör från analys av ett spår av
	eller ett biologiskt prov från
	personen i fråga.
Mottagare	Den	till	vilken		personuppgifter
	lämnas ut, med undantag av en
	myndighet som med stöd av
	författning		utövar		tillsyn,		kontroll
	eller revision.
Personuppgift	Varje	upplysning				om		en
	identifierad			eller		identifierbar
	fysisk person som är i livet.
Personuppgiftsansvarig	Den som ensam eller tillsammans
	med andra bestämmer ändamålen
	med och medlen för behandlingen
	av personuppgifter.
Personuppgiftsbiträde	Den som behandlar person-
	uppgifter för den personuppgifts-
	ansvariges räkning.
Registrerad	Den fysiska person som person-
	uppgiften gäller.
Tredje part	Någon annan än
	– den registrerade,
	– den personuppgiftsansvarige,
	– dataskyddsombudet,
22	– personuppgiftsbiträdet, och

Prop. 2020/21:224 5. för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall.

Utvecklingsverksamhet

5 § Om det är nödvändigt för försvarsunderrättelseverksamheten får Försvarets radioanstalt behandla personuppgifter för att

1.följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, och

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

6 § Personuppgifter som behandlas med stöd av 5 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs

1.med anledning av samverkan med annan i fråga om utvecklings- verksamhet,

2.med anledning av samarbete om utvecklingsverksamhet med andra länder eller internationella organisationer enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet,

3.i försvarsunderrättelseverksamheten för de ändamål som anges i 2 och 3 §§,

4.i informationssäkerhetsverksamheten för de ändamål som anges i 7 §,

eller

5.för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall.

Informationssäkerhetsverksamhet

7 § Personuppgifter får behandlas i Försvarets radioanstalts informationssäkerhetsverksamhet om det är nödvändigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller beslut av regeringen i ett enskilt fall.

8 § Personuppgifter som behandlas med stöd av 7 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs

1.i verksamhet hos den som tar emot uppgifter om informations- säkerhet,

2.med anledning av samverkan med andra som verkar på informations- säkerhetsområdet såväl inom som utom landet i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall,

3.i försvarsunderrättelseverksamheten för de ändamål som anges i 1 § andra stycket 5 och 7 lagen (2008:717) om signalspaning i försvarsunder- rättelseverksamhet, eller

4.i utvecklingsverksamheten för de ändamål som anges i 5 §.

24

Prop. 2020/21:224 Om den registrerade har offentliggjort personuppgifterna

17 § Trots 13, 14 och 16 §§ får andra personuppgifter än genetiska uppgifter behandlas, om den registrerade på ett tydligt sätt har offentliggjort uppgifterna.

Behandling av personuppgifter i vissa fall

18 § Hantering av information som innebär behandling av person- uppgifter ska inte anses oförenlig med bestämmelserna i 1, 2, 5, 7, 9, 11– 14 och 16 §§ i det skede av behandlingen då det inte har kunnat fastställas vilka personuppgifter som informationen innehåller.

Längsta tid som personuppgifter får behandlas

19 § Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålen med behandlingen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får behandlas under endast viss tid eller fortsätta behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål.

Regeringen eller den myndighet som regeringen bestämmer får också besluta om sådan behandling i ett enskilt fall.

Överföring av personuppgifter till en mottagare utomlands

20 § Personuppgifter som behandlas med stöd av denna lag får föras över till ett annat land eller en internationell organisation endast om det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhets- samarbetet och

1.överföringen riktas till en utländsk underrättelse- eller säkerhetstjänst, eller ett underrättelse- eller säkerhetsorgan i en internationell organisation,

2.sekretess inte hindrar en överföring, och

3.mottagaren garanterar tillräckligt skydd för personuppgifterna. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

föreskrifter om att överföring får ske även i andra fall än som anges i första stycket 1.

Regeringen får också besluta om sådan överföring i ett enskilt fall.

Utlämnande av personuppgifter

21 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om regeringen har meddelat föreskrifter om det eller beslutat om det i ett enskilt fall.

3 kap. Gemensamt tillgängliga personuppgifter

Personuppgifter som får göras gemensamt tillgängliga

1 § Personuppgifter får göras gemensamt tillgängliga och behandlas i

uppgiftssamlingar om det behövs för något av de ändamål som anges i

26

2 kap. Med att göra personuppgifter gemensamt tillgängliga avses inte att Prop. 2020/21:224 endast ett fåtal personer får tillgång till uppgifterna.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifts- samlingar som får finnas och vilka uppgifter som får behandlas i respektive uppgiftssamling.

Regeringen eller den myndighet som regeringen bestämmer får också besluta om uppgiftssamlingar i ett enskilt fall.

Direktåtkomst

Försvarsunderrättelseverksamhet

2 § Säkerhetspolisen och Försvarsmakten får medges direktåtkomst till personuppgifter som utgör analysresultat inom försvarsunderrättelse- verksamheten och som finns i uppgiftssamlingar.

Säkerhetspolisen och Försvarsmakten har rätt att vid direktåtkomst ta del av de personuppgifter som omfattas av åtkomsten.

3 § Om det behövs för samarbetet mot terrorism eller för annat internationellt säkerhetssamarbete, får en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § och som finns i uppgiftssamlingar.

Första stycket gäller enbart i den utsträckning som sådan direktåtkomst följer av lag eller förordning eller om regeringen har beslutat om den i ett enskilt fall.

Informationssäkerhetsverksamhet

4 § Om det behövs för samarbetet mot it-relaterade hot mot samhällsviktiga system, får en utländsk organisation inom informationssäkerhetsområdet medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 7 § och som finns i uppgiftssamlingar.

Första stycket gäller enbart i den utsträckning som sådan direktåtkomst följer av lag eller förordning eller om regeringen har beslutat om den i ett enskilt fall.

Direktåtkomst i andra fall

5 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om direktåtkomst till uppgiftssamlingar i andra fall än de som anges i 2–4 §§.

Regeringen får också besluta om detta i ett enskilt fall.

Omfattningen av direktåtkomsten

6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst.

Regeringen får också besluta om detta i ett enskilt fall.

27

Prop. 2020/21:224 4 kap. Skyldigheter som personuppgiftsansvarig

Åtgärder för att säkerställa författningsenlig behandling

1 § Försvarets radioanstalt ska, genom lämpliga tekniska och organisa- toriska åtgärder, säkerställa att behandlingen av personuppgifter är författningsenlig och att de registrerades rättigheter skyddas.

2 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Säkerheten för personuppgifter

3 § Försvarets radioanstalt ska vidta lämpliga tekniska och organisa- toriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska särskilt avse skydd mot obehörig eller otillåten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.

Dataskyddsombud

4 § Försvarets radioanstalt ska inom myndigheten utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när data- skyddsombud utses och entledigas.

5 § Ett dataskyddsombud ska

1.självständigt kontrollera att Försvarets radioanstalt behandlar person- uppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,

2.informera och ge råd till Försvarets radioanstalt och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldig- heter vid behandling av personuppgifter,

3.vara kontaktpunkt för enskilda i frågor som rör Försvarets radioanstalts behandling av personuppgifter, och

4.vid behov söka vägledning av tillsynsmyndigheten.

Personuppgiftsbiträden

6 § Försvarets radioanstalt får, om det är lämpligt, anlita personuppgifts- biträden för behandling av personuppgifter på Försvarets radioanstalts vägnar. Innan ett personuppgiftsbiträde anlitas, ska Försvarets radioanstalt försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av person- uppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.

7 § Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.

8 § Ett personuppgiftsbiträde får inte anlita ett annat personuppgifts- biträde utan skriftligt tillstånd av Försvarets radioanstalt.

28

9 § Ett personuppgiftsbiträde eller den eller de personer som arbetar Prop. 2020/21:224 under biträdets eller Försvarets radioanstalts ledning ska behandla person-

uppgifter i enlighet med instruktioner från Försvarets radioanstalt.

Om ett personuppgiftsbiträde, i strid med Försvarets radioanstalts instruktioner, bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.

10 § Försvarets radioanstalts skyldigheter enligt 2 och 3 §§ gäller även för personuppgiftsbiträden som Försvarets radioanstalt anlitar.

5 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 § Försvarets radioanstalt ska göra följande information allmänt tillgänglig:

1.myndighetens identitet och kontaktuppgifter,

2.uppgifter om dataskyddsombudet,

3.kategorier av ändamålen med behandlingen av personuppgifter,

4.rätten enligt 2 § att begära att få information om behandlingen av personuppgifter och att få del av dem, och

5.rätten att begära rättelse, radering eller begränsning av behandlingen enligt 5 §.

Information som ska lämnas efter begäran

2 § Försvarets radioanstalt är skyldig att en gång per kalenderår till den som begär det lämna skriftligt besked om huruvida personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas ska sökanden få del av dem och få följande skriftliga information:

1.vilka personuppgifter om den sökande som behandlas,

2.varifrån personuppgifterna kommer,

3.ändamålen med behandlingen,

4.mottagare eller kategorier av mottagare av personuppgifterna, även i annat land eller internationella organisationer,

5.hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det, och

6.rätten att begära rättelse, radering eller begränsning av behandlingen enligt 5 §.

Ett utlämnande av personuppgifter enligt första stycket behöver inte omfatta sådana personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.

En ansökan om information enligt första stycket ska göras skriftligen hos Försvarets radioanstalt och vara undertecknad av den sökande själv. Informationen ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

29

radioanstalts behandling av personuppgifter i försvarsunderrättelse- och Prop. 2020/21:224 utvecklingsverksamheten.

Tillsynsmyndighetens befogenheter

Undersökningsbefogenheter

3 § Tillsynsmyndigheten har rätt att av Försvarets radioanstalt eller av ett personuppgiftsbiträde på begäran få

1.tillgång till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till sådana lokaler som har anknytning till behandling av personuppgifter och tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.den hjälp och annan information som behövs för tillsynen.

Förebyggande befogenheter

4 § Om tillsynsmyndigheten bedömer att det finns risk för att person- uppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att motverka den risken.

Tillsynsmyndigheten får besluta om en skriftlig varning, om en planerad behandling av personuppgifter riskerar att strida mot lag eller annan författning. Detsamma gäller om en pågående behandling riskerar att strida mot lag eller annan författning.

Korrigerande befogenheter

5 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Försvarets radioanstalt eller ett personuppgiftsbiträde på annat sätt inte fullgör sina skyldigheter, får tillsynsmyndigheten

1.genom sådana åtgärder som anges i 4 § första stycket försöka förmå Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller för att fullgöra andra skyldigheter, eller

2.besluta att förelägga Försvarets radioanstalt eller personuppgifts- biträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller för att fullgöra andra skyldigheter.

Av ett beslut om föreläggande ska det framgå när föreläggandet senast ska ha följts och, om det är lämpligt, vilka åtgärder som ska vidtas.

7 kap. Skadestånd och överklagande

Skadestånd

1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, föreskrifter som har

meddelats i anslutning till lagen eller beslut med stöd av lagen.

31

Prop. 2020/21:224 Ersättningsskyldigheten kan, i den utsträckning det är skäligt, jämkas om den personuppgiftsansvarige visar att felet inte berodde på denne.

Överklagande

Överklagande av Försvarets radioanstalts beslut

2 § Försvarets radioanstalts beslut enligt 5 kap. 2 § att inte lämna information och beslut enligt 5 kap. 5 § i fråga om rättelse, radering, begränsning av behandlingen eller underrättelse till tredje part, får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av tillsynsmyndighetens beslut

3 § Tillsynsmyndighetens beslut om föreläggande enligt 6 kap. 5 § första stycket 2 får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndigheten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagandeförbud

4 § Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte överklagas.

1.Denna lag träder i kraft den 1 januari 2022.

2.Genom lagen upphävs lagen (2007:259) om behandling av person- uppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklings- verksamhet.

3.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.

32

2.3 Förslag till lag om ändring i lagen (2008:717) Prop. 2020/21:224 om signalspaning i

försvarsunderrättelseverksamhet

Härigenom föreskrivs att 1, 2 a, 4, 7 och 12 a §§ lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet ska ha följande lydelser.

Nuvarande lydelse

Föreslagen lydelse

1 §1

I försvarsunderrättelseverksamhet enligt lagen (2000:130) om försvars- underrättelseverksamhet får den myndighet som regeringen bestämmer (signalspaningsmyndigheten) inhämta signaler i elektronisk form vid signalspaning. Signalspaning i försvarsunderrättelseverksamhet får endast ske i de fall regeringen eller en myndighet som anges i 4 § närmare har bestämt inriktningen av signalspaningen.

Signalspaning i försvarsunderrättelseverksamhet får ske endast i syfte att kartlägga

1.yttre militära hot mot landet,

2.förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,

3.strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,

4.utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,

5.allvarliga yttre hot mot samhällets infrastrukturer,

6.konflikter utomlands med konsekvenser för internationell säkerhet,

7. främmande	underrättelse-	7. främmande		underrättelse-
verksamhet mot svenska intressen,		verksamhet mot svenska intressen,
eller
8. främmande	makts agerande	8. främmande		makts agerande
eller avsikter av väsentlig betydelse		eller avsikter av väsentlig betydelse
för svensk utrikes-, säkerhets- eller		för svensk utrikes-, säkerhets- eller
försvarspolitik.		försvarspolitik, eller
		9. sådana företeelser som avses i
		1–8, men som inte riktas mot
		Sverige eller rör svenska intressen,
		om det är nödvändigt för ett
		samarbete i underrättelsefrågor
		med	andra	länder	och
		internationella organisationer som
		signalspaningsmyndigheten			deltar
		i.
1 Senaste lydelse 2009:967.					33

Prop. 2020/21:224 Om det är nödvändigt för försvarsunderrättelseverksamheten får signaler i elektronisk form inhämtas vid signalspaning även för att

1.följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, samt

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamhet enligt denna lag.

2 a §2

Inhämtning får inte avse signaler mellan en avsändare och mottagare som båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämtningen, ska upptagningen eller upp- teckningen förstöras så snart det står klart att sådana signaler har inhämtats.

Första stycket tillämpas inte i fråga om signaler mellan sändare och mottagare på utländska statsfartyg, statsluftfartyg eller militära fordon.

4 §3

I lagen (2000:130) om försvarsunderrättelseverksamhet finns bestämmelser om regeringens och myndigheters inriktning av sådan verksamhet. Inriktning av signalspaning får anges endast av regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdelningen i Polismyndigheten.

Regeringen bestämmer inrikt-	Regeringen bestämmer inrikt-
ningen av den verksamhet som	ningen av sådan verksamhet som
bedrivs enligt 1 § tredje stycket.	bedrivs enligt 1 § andra stycket 9
	och tredje stycket.

En inriktning av signalspaningen får inte avse endast en viss fysisk person.

34	2	Senaste lydelse 2009:967.
	3	Senaste lydelse 2014:691.

7 §4					Prop. 2020/21:224
En upptagning eller uppteckning	En upptagning eller uppteckning
av uppgifter som har inhämtats	av uppgifter		som	har inhämtats
enligt denna lag ska omgående	enligt	denna	lag	eller	som
förstöras om innehållet	signalspaningsmyndigheten				har
	fått från ett annat land eller en
	internationell		organisation		inom
	ramen	för	ett	internationellt
	samarbete ska omgående förstöras
	om innehållet

1.berör en viss fysisk person och har bedömts sakna betydelse för verksamhet som avses i 1 §,

2.avser uppgifter för vilka tystnadsplikt gäller enligt 3 kap. 3 § tryckfrihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 5 § tryckfrihets- förordningen eller 2 kap. 5 § yttrandefrihetsgrundlagen,

3.omfattar uppgifter i sådana meddelanden mellan en person som är misstänkt för brott och hans eller hennes försvarare vilka skyddas enligt 27 kap. 22 § första stycket rättegångsbalken, eller

4.avser uppgifter lämnade under bikt eller enskild själavård, såvida det inte finns synnerliga skäl att behandla uppgifterna för syften som anges i 1 § andra stycket.

				12 a §5
I lagen (2007:259) om behand-					I lagen (2021:000) om behand-
ling	av	personuppgifter		i	ling av personuppgifter			vid
Försvarets		radioanstalts			Försvarets	radioanstalt		finns
försvarsunderrättelse-				och	ytterligare	bestämmelser		om
utvecklingsverksamhet			finns		behandlingen	av	inhämtade
ytterligare		bestämmelser		om	personuppgifter.
behandlingen		av	inhämtade

personuppgifter.

Denna lag träder i kraft den 1 januari 2022.

4Senaste lydelse 2018:1918.

5 Senaste lydelse 2009:967.

35

Prop. 2020/21:224 2.4	Förslag till lag om ändring i lagen (2018:218)
	med kompletterande bestämmelser till EU:s
	dataskyddsförordning

Härigenom föreskrivs i fråga om lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning1

dels att punkt 3 i ikraftträdande- och övergångsbestämmelserna ska upphöra att gälla,

dels att 1 kap. 3 § ska ha följande lydelse.

Nuvarande lydelse				Föreslagen lydelse
			1 kap.
			3 §2
Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av
1. lagen	(2007:258)		om	1. lagen	(2021:000)	om
behandling	av personuppgifter i			behandling av personuppgifter vid
Försvarsmaktens försvarsunder- Försvarsmakten,
rättelseverksamhet och			militära
säkerhetstjänst,
2. lagen	(2007:259)		om	2. lagen	(2021:000)	om
behandling	av personuppgifter i			behandling av personuppgifter vid
Försvarets	radioanstalts			Försvarets radioanstalt, eller
försvarsunderrättelse-			och
utvecklingsverksamhet, eller
3. lagen	(2019:1182)		om	Säkerhetspolisens	behandling	av
personuppgifter.

Denna lag träder i kraft den 1 januari 2022.

36	1	Senaste lydelse av punkt 3 i ikraftträdande- och övergångsbestämmelserna 2020:152.
	2	Senaste lydelse 2019:1186.

2.5	Förslag till lag om ändring i brottsdatalagen		Prop. 2020/21:224
	(2018:1177)
Härigenom föreskrivs att 1 kap. 4 § brottsdatalagen (2018:1177) ska ha
följande lydelse.
Nuvarande lydelse		Föreslagen lydelse

1 kap.

4 §

Lagen gäller inte vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.

Lagen gäller inte heller i sådan		Lagen gäller inte i verksamhet
verksamhet som omfattas av lagen		enligt lagen (2021:000) om
(2007:258) om behandling av		behandling av personuppgifter vid
personuppgifter i Försvarsmaktens		Försvarsmakten.
försvarsunderrättelseverksamhet
och militära säkerhetstjänst.

Denna lag träder i kraft den 1 januari 2022.

37

Prop. 2020/21:224 3

Ärendet och dess beredning

Med stöd av regeringens bemyndigande tillkallade chefen för Försvars- departementet den 27 april 2017 en särskild utredare med uppdrag att göra en översyn av den lagstiftning som gäller för personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt. Utredningen skulle bl.a. analysera huruvida nuvarande lagstiftning är ändamålsenlig för Försvarsmaktens och Försvarets radioanstalts verksamheter och om den är tillräcklig i fråga om skyddet för enskildas personliga integritet. Utredningen, som antog namnet Utredningen om behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt, överlämnade den 9 augusti 2018 betänkandet Behandlingen av person- uppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63).

Utredningens förslag behandlas i avsnitten 6–14 och 16–18. En sammanfattning av betänkandet finns i bilaga 1. Betänkandets lagförslag finns i bilaga 2.

Betänkandet har remissbehandlats. En förteckning över remissinstans- erna finns i bilaga 3. Remissvaren finns tillgängliga på regeringens

webbplats (www.regeringen.se) och i Försvarsdepartementet (Fö2018/00999).

Med stöd av regeringens bemyndigande tillkallade chefen för Försvars- departementet den 18 maj 2020 en särskild utredare med uppdrag att göra en översyn av regleringen av Försvarets radioanstalts internationella samarbete. Utredningen skulle bl.a. bedöma om regleringen av Försvarets radioanstalts internationella samarbete är effektiv och ändamålsenlig sett till myndighetens verksamhet och enskildas personliga integritet. Utredningen, som antog namnet Utredningen om regleringen av Försvarets radioanstalts internationella samarbete, överlämnade den 26 november 2020 betänkandet Försvarets radioanstalts internationella samarbete – en översyn av regelverket (SOU 2020:68).

Utredningens förslag behandlas i avsnitten 10.5 och 15, 17 och 18. En sammanfattning av betänkandet finns i bilaga 4. Betänkandets lagförslag finns i bilaga 5.

Betänkandet har remissbehandlats. En förteckning över remissinstans- erna finns i bilaga 6. Remissvaren finns tillgängliga på regeringens

webbplats (www.regeringen.se) och i Försvarsdepartementet (Fö2020/01191).

Lagrådet

Regeringen beslutade den 3 juni 2021 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8. Regeringen följer delvis Lagrådets förslag. Lagrådets synpunkter och förslag behandlas och bemöts i avsnitten 6.4.1, 7.2.1, 7.3.1, 7.3.3, 8.5, 9, 10.2, 11.1, 12.2 och i författningskommentaren.

I förhållande till lagrådsremissen har dessutom vissa språkliga och redaktionella ändringar gjorts.

38

4	Försvarsmakten och Försvarets	Prop. 2020/21:224

radioanstalt

4.1Försvarsmakten

4.1.1Försvarsmaktens uppgifter

Försvarsmaktens grundläggande uppgifter framgår av förordningen (2007:1266) med instruktion för Försvarsmakten. Försvarsmakten har ett brett uppdrag som övergripande innebär ansvar för att upprätthålla och utveckla ett militärt försvar som ytterst kan möta ett väpnat angrepp. Försvarsmaktens huvuduppgift är att försvara Sverige mot ett väpnat angrepp (1 §). Försvarsmakten ska främja Sveriges säkerhet och hävda Sveriges territoriella integritet. Myndigheten ska ha förmåga att värna Sveriges suveräna rättigheter och svenska intressen samt att förebygga och hantera konflikter och krig såväl nationellt som internationellt. Försvarsmakten ska kunna utföra sina uppgifter självständigt eller i samverkan med andra myndigheter, stater eller organisationer. Försvarsmakten ska med myndighetens befintliga förmåga och resurser kunna lämna stöd till civil verksamhet (2 §).

Försvarsmakten ska organisera krigsförband och vidta de förberedelser i övrigt som behövs för att kunna lösa myndighetens huvuduppgift. Försvarsmakten ska planera för att kunna genomföra påskyndad krigs- förbandsproduktion (2 a §). Försvarsmakten ska bedriva omvärlds- bevakning och upptäcka och identifiera yttre hot mot Sverige och svenska intressen samt ta fram underlag för beslut om höjd beredskap. Försvarsmakten ska kunna ge och ta emot militärt stöd. Försvarsmakten ska med myndighetens tillgängliga resurser kunna påbörja operativ verk- samhet omedelbart. Krigsorganisationen ska kunna mobiliseras. Försvarsmakten ska ha en aktuell försvarsplanering. Planeringen ska omfatta alla resurser som är nödvändiga för att genomföra Försvarsmaktens verksamhet. Försvarsmakten ska fortlöpande lämna upplysningar till berörda myndigheter om förhållanden i försvars- planeringen som har betydelse för deras verksamhet (3 §). Försvarsmakten har även till uppgift att samordna försvarsplaneringen inom myndigheten med motsvarande planering inom övriga delar av totalförsvaret (7 §).

Försvarsmakten ska kunna delta i såväl kortvariga som långvariga internationella militära insatser och ta fram underlag för beslut om sådana insatser. Försvarsmakten ska kunna stödja och genomföra insatser för säkerhetssektorreform och bidra till uppbyggnaden av andra länders försvarsförmåga samt med myndighetens befintliga förmåga och resurser bidra till stöd för humanitär verksamhet. Försvarsmakten ska kunna genomföra räddnings-, evakuerings- och förstärkningsinsatser (3 a §).

Försvarsmakten ska vidare bedriva verksamhet enligt 1 § lagen (2000:130) om försvarsunderrättelseverksamhet (se avsnitt 4.3), leda och bedriva militär säkerhetstjänst, leda och samordna signalskyddstjänsten, inklusive arbetet med säkra kryptografiska funktioner som är avsedda att skydda skyddsvärd information, samt biträda Regeringskansliet i frågor som rör kryptoverksamhet och annan signalskyddsverksamhet (3 b §).

39

Säkerhetsskyddstjänstens uppgift är att ta fram åtgärder som syftar till Prop. 2020/21:224 att hindra eller försvåra säkerhetshotande verksamhet såsom exempelvis

obehörigt röjande av hemliga uppgifter som rör Sveriges säkerhet, sabotage, stöld och terrorism. Säkerhetsskyddstjänsten ska, utifrån hotbild och säkerhetshotande verksamhet, ge säkerhetsintressena relevant skydd i form av informationssäkerhet, tillträdesbegränsning och säkerhets- prövning.

Signalskyddstjänsten syftar till att förhindra obehörig insyn i och påverkan av telekommunikations- och it-system med hjälp av krypto- grafiska metoder och övriga signalskyddsåtgärder. Signalskyddstjänsten är en säkerhetsskyddsangelägenhet där ansvaret omfattar hela total- försvaret och syftet är att säkerställa säker kommunikation.

En del av signalskyddstjänsten är kontroll av signalskyddet i telekommunikations- och it-system, s.k. signalkontroll. Signalkontroll syftar till att klarlägga riskerna för obehörig åtkomst till eller förvanskning av uppgifter eller störning av telekommunikation. Vidare kan signal- kontroll klarlägga att systemen används enligt gällande regelverk (Personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt, prop. 2006/07:46 s. 25).

Säkerhetsskyddstjänsten och signalskyddstjänsten syftar gemensamt till att förebygga, förhindra och motverka säkerhetshotande verksamhet. Tillsyn, utbildning, uppföljning och kontroll är nödvändiga beståndsdelar för att uppnå ett fullgott säkerhetsskydd.

Försvarsmakten bedriver även underrättelsetjänst för att kunna lösa militära uppgifter som inte utgör försvarsunderrättelseverksamhet eller militär säkerhetstjänst. Denna underrättelseverksamhet syftar främst till att skapa en lägesbild och ge beslutsunderlag för militära chefer för myndighetens lösande av militära uppgifter enligt Försvarsmaktens instruktion, regleringsbrev eller särskilda regeringsbeslut.

4.1.3Internationellt samarbete

Verksamhet inom totalförsvaret ska kunna bedrivas enskilt och tillsammans med andra, inom och utom landet (Totalförsvaret 2021–2025, prop. 2020/21:30 s. 86–87).

Svensk säkerhet är beroende av internationella samarbeten och Sverige är en aktiv medlem i FN och EU. Sverige ingår också i ett partnerskap med Nato och bedriver bilaterala och multilaterala samarbeten på försvars- området med de nordiska och baltiska länderna, liksom med andra länder, t.ex. Frankrike, Storbritannien, Tyskland och USA.

Sverige utvecklar ett särskilt fördjupat försvarssamarbete med Finland. Ett exempel är lagen (2020:782) om operativt militärt stöd mellan Sverige och Finland som trädde i kraft den 15 oktober 2020. Lagen möjliggör för regeringen att, efter begäran från Finland, besluta om att stödja Finland vid kränkningar av finskt territorium, samt att från Finland ta emot militärt stöd vid ett väpnat angrepp mot Sverige eller för att hindra kränkningar av svenskt territorium i fred eller under krig mellan främmande stater.

Försvarsmakten deltar i de internationella samarbeten som Sverige har på försvarsområdet, liksom i internationella fredsfrämjande och

humanitära insatser. Försvarsmakten bidrar också till ett förstärkt

41

Prop. 2020/21:224 underrättelsesamarbete inom ramen för EU:s gemensamma utrikes- och säkerhetspolitik och EU:s krishanteringsförmåga. Målsättningen för det internationella försvarssamarbetet är effektivare användning av resurser och att öka den operativa förmågan för det svenska försvaret.

4.2Försvarets radioanstalt

4.2.1Försvarets radioanstalts uppgifter

Försvarets radioanstalts uppgifter framgår av förordningen (2007:937) med instruktion för Försvarets radioanstalt. I förordningen anges bl.a. att Försvarets radioanstalt har till uppgift att bedriva signalspaning enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet och anslutande förordning (1 §).

Försvarets radioanstalt ska enligt förordningen med instruktion för Försvarets radioanstalt särskilt följa förändringen av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten och utföra matematiska bedömningar av kryptosystem för totalförsvaret (2 §).

Enligt samma förordning ska Försvarets radioanstalt därutöver upprätt- hålla kompetensen för de nationella behoven i fråga om kryptologi samt biträda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspaningssystem (3 §). Försvarets radioanstalt ska också stödja Försvarsmakten genom att utveckla metodik och utbilda personal inom signalspaningsområdet (3 a §), stödja Försvarsmaktens deltagande i internationella insatser med kompetens, personal och materiel (3 b §), vidmakthålla och utveckla signalreferensbibliotek för Försvarsmaktens behov (3 c §), samt stödja Försvarsmakten i verksamhet som avser utveckling och vidmakthållande av Försvarsmaktens cyberförsvars- förmåga (3 e §). På uppdrag av Försvarets materielverk får Försvarets radioanstalt utföra prov och utveckling inom teleteknikområdet (3 d §).

Försvarets radioanstalt ska ha hög teknisk kompetens inom informa- tionssäkerhetsområdet och får efter begäran stödja sådana statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvars- politiskt avseende. Försvarets radioanstalt ska särskilt kunna stödja insatser vid nationella kriser med it-inslag, medverka till identifieringen av inblandade aktörer vid it-relaterade hot mot samhällsviktiga system, genomföra it-säkerhetsanalyser och ge annat tekniskt stöd. Försvarets radioanstalt ska samverka med andra organisationer inom informations- säkerhetsområdet såväl inom som utom landet (4 §).

Inom ramen för myndighetens arbete på informationssäkerhetsområdet utvecklar och placerar Försvarets radioanstalt efter begäran ut tekniska detekterings- och varningssystem (TDV) vid de mest skyddsvärda verksamheterna bland statliga myndigheter och statligt ägda bolag, som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende.

42

4.2.2	Försvarets radioanstalts	Prop. 2020/21:224
	informationssäkerhetsverksamhet

Försvarets radioanstalt har, som beskrivs i avsnitt 4.2.1, ett särskilt uppdrag att lämna stöd så att informationssäkerheten kan upprätthållas vid de mest skyddsvärda verksamheterna i Sverige. Försvarets radioanstalt har även till uppgift att tilldela säkra kryptografiska funktioner till ett antal civila myndigheter och organisationer (17 § förordningen [2015:1053] om totalförsvar och höjd beredskap).

För att kunna hantera de allvarligaste it-angreppen mot de mest skydds- värda verksamheterna använder Försvarets radioanstalt uppgifter som myndigheten har inhämtat genom signalspaning i försvarsunderrättelse- verksamhet. Samma underrättelser kan inom Försvarets radioanstalts informationssäkerhetsverksamhet omsättas till indirekt och direkt skydd som omfattar såväl tekniska tjänster, exempelvis signalskydd, sensor- system och informationssäkerhetsanalyser, som rådgivning och utbildning. Ett tydligt exempel på detta ömsesidiga utbyte av information är Försvarets radioanstalts tekniska detekterings- och varningssystem (TDV). TDV erbjuds de mest skyddsvärda verksamheter som redan har uppnått en egen god informationssäkerhet, ofta med stöd av Försvarets radioanstalt.

4.3Försvarsmaktens och Försvarets radioanstalts försvarsunderrättelseverksamhet

Försvarsunderrättelseverksamhet bedrivs enligt särskild reglering i bl.a. lagen om försvarsunderrättelseverksamhet och förordningen (2000:131) om försvarsunderrättelseverksamhet, samt i lagen om signalspaning i försvarsunderrättelseverksamhet och förordningen (2008:923) om signalspaning i försvarsunderrättelseverksamhet.

Försvarsunderrättelseverksamhet ska bedrivas av Försvarsmakten, Försvarets radioanstalt, Försvarets materielverk och Totalförsvarets forskningsinstitut. Försvarsunderrättelseverksamheten ska bedrivas till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet. Försvarsunderrättelseverksamhet får endast avse utländska förhållanden. I verksamheten ingår att medverka i svenskt deltagande i internationellt säkerhetssamarbete. Regeringen ansvarar för att bestämma försvarsunderrättelseverksamhetens inriktning. Inom ramen för denna inriktning får de myndigheter som regeringen bestämmer ange en närmare inriktning av verksamheten. Inriktning av signalspaning i försvarsunderrättelseverksamhet regleras i lagen om signalspaning i försvarsunderrättelseverksamhet, se avsnitt 4.4.

Avgränsningen till utländska förhållanden innebär att försvars- underrättelseverksamheten typiskt sett ska inhämta, bearbeta, analysera och delge sådan information om företeelser och förhållanden i andra länder som ger svenska beslutsfattare ett förbättrat underlag för beslut och bedömningar i utrikes-, säkerhets- och försvarspolitiska frågor eller för att skydda svensk personal som deltar i internationella insatser.

Verksamheten kan under vissa förhållanden även avse företeelser inom

43

Prop. 2020/21:224 landet, exempelvis om en organisation med verksamhet som utgör ett hot mot landet har sitt ursprung i ett annat land, men verkar genom

	representanter i Sverige eller genom att på annat sätt utnyttja resurser i
	Sverige. Det handlar då om att följa upp utländska förhållandens koppling
	till Sverige för att kunna bedöma hotbilden mot landet.
	Information som behandlas inom försvarsunderrättelseverksamheten
	kan exempelvis avse pågående och tänkbara framtida konflikter,
	internationella terroristgrupper, cyberhot, massförstörelsevapen samt
	biografiska underrättelser som avser utländsk militär personal eller andra
	viktiga befattningshavare.
	Försvarsunderrättelseverksamheten tar sikte på att inom ramen för
	gällande inriktningar från uppdragsgivare upptäcka på förhand okända
	företeelser och uppgifter av relevans för dessa. Det kan exempelvis röra
	sig om uppgifter om nya hot mot svenska säkerhetsintressen, samhälls-
	viktiga funktioner, eller mot svensk hemlig information som inte får röjas
	för främmande makt. Verksamheten innebär även att kartlägga redan
	kända företeelser och följa förändringar i dessa för att tidigt få kunskap om
	aktörers nya ambitioner, avsikter och förmågor.
	Försvarsunderrättelseverksamhet är också ett centralt verktyg vid kart-
	läggning i efterhand av händelser som oförutsett har inträffat, i syfte att
	finna förklaringar till det inträffade samt för att kartlägga eventuella ännu
	inte identifierade inslag i en inträffad händelse. Genom sådan uppföljning
	kan ytterligare underrättelseinformation produceras som ger dels bättre
	förståelse för orsakerna bakom det inträffade, dels kompletterande
	information om inslag som ännu inte har identifierats, t.ex. kvarvarande
	oupptäckta hot.
	Försvarsunderrättelseverksamheten ska fullgöras genom inhämtning,
	bearbetning och analys av information samt rapportering till berörda
	myndigheter	(2 §	lagen	om	försvarsunderrättelseverksamhet).
	Inhämtningen kan vara såväl teknisk som personbaserad. De myndigheter
	som bedriver försvarsunderrättelseverksamhet får inte vidta åtgärder som
	syftar till att lösa uppgifter som enligt lagar eller andra föreskrifter ligger
	inom ramen för Polismyndighetens, Säkerhetspolisens och andra
	myndigheters brottsbekämpande och brottsförebyggande verksamheter
	(4 § första stycket lagen om försvarsunderrättelseverksamhet). Om det inte
	finns hinder enligt andra bestämmelser, får försvarsunderrättelse-
	myndigheterna emellertid lämna stöd till andra myndigheters brotts-
	bekämpande och brottsförebyggande verksamhet (4 § andra stycket lagen
	om försvarsunderrättelseverksamhet).				Försvarsunderrättelseverksamhet
	som består i att genom tekniska metoder, såsom signalspaning, inhämta
	kommunikation anses inte utgöra en sådan åtgärd som avses i 4 § första
	stycket lagen om försvarsunderrättelseverksamhet. Sådan verksamhet
	bedrivs nämligen inte på sådant sätt att den kan störa andra myndigheters
	verksamhet, och den syftar inte heller till att lösa en föreskriven uppgift
	för brottsbekämpande och brottsförebyggande verksamhet (En anpassad
	försvarsunderrättelseverksamhet, prop. 2006/07:63 s. 48).
	Försvarsunderrättelsemyndigheterna får etablera och upprätthålla sam-
	arbete i underrättelsefrågor med andra länder och internationella organisa-
	tioner enligt regeringens närmare bestämmande. Samarbetet får ske bara
	under förutsättning att syftet är att tjäna den svenska statsledningen och
44	det svenska totalförsvaret. De uppgifter som lämnas till andra länder och

internationella organisationer får inte vara till skada för svenska intressen Prop. 2020/21:224 (3 § lagen om försvarsunderrättelseverksamhet och 3 § förordningen om försvarsunderrättelseverksamhet). Myndigheterna ska anmäla frågor om

att etablera och upprätthålla samarbetet och om viktiga frågor som uppkommer i samarbetet till Regeringskansliet (Försvarsdepartementet) (4 § förordningen om försvarsunderrättelseverksamhet).

4.4Försvarets radioanstalts signalspaning i försvarsunderrättelse- och utvecklingsverksamhet

4.4.1Gällande reglering

Signalspaning, dvs. inhämtning av signaler i elektronisk form, är en inhämtningsmetod i försvarsunderrättelseverksamheten som regleras i lagen om signalspaning i försvarsunderrättelseverksamhet. Inriktning av signalspaning i försvarsunderrättelseverksamhet får endast anges av regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdelningen i Polismyndigheten (4 §). Signalspaning är en viktig del av Sveriges försvarsunderrättelseverksamhet och bidrar till att ge regeringen underlag för en självständig svensk utrikes-, säkerhets- och försvarspolitik och till att ge andra inriktande myndigheter kvalificerad underrättelseinformation om utländska förhållanden för att de i sin tur ska kunna fullgöra sina uppgifter.

Signalspaning i försvarsunderrättelseverksamhet får endast avse utländska förhållanden och ske i syfte att kartlägga vissa i lagen särskilt uppräknade företeelser:

1. yttre militära hot mot landet,

2. förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,

3. strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,

4. utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,

5. allvarliga yttre hot mot samhällets infrastrukturer,

6. konflikter utomlands med konsekvenser för internationell säkerhet,

7. främmande underrättelseverksamhet mot svenska intressen, eller

8. främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- eller försvarspolitik.

Försvarets radioanstalt ska ansöka om tillstånd hos Försvars- underrättelsedomstolen för den signalspaning som får utföras enligt lagen (4 a §), varefter domstolen meddelar tillstånd om vissa krav är uppfyllda, bl.a. att syftet med inhämtningen inte kan tillgodoses på ett mindre ingripande sätt och uppdraget beräknas ge information vars värde är klart större än det integritetsintrång som inhämtning i enlighet med ansökan kan

innebära (5 §).

45

utvecklingen och signalskyddet, samt teknik- och metodikfrågor					(9 § Prop. 2020/21:224
lagen om signalspaning i försvarsunderrättelseverksamhet).
En	utgångspunkt	för	internationellt	samarbete	inom

försvarsunderrättelse- och utvecklingsverksamheten är att det ska tjäna statsledningen och det svenska totalförsvaret respektive den nationella säkerheten, och att det inte är till skada för svenska intressen. Försvarets radioanstalt ska anmäla frågor om att etablera och upprätthålla internationellt samarbete till Regeringskansliet (Försvarsdepartementet). Myndigheten ska vidare informera Försvarsdepartementet om viktiga frågor som uppkommer i samarbetet (se 3 § och 4 § första stycket förordningen om försvarsunderrättelseverksamhet och 7 § förordningen om signalspaning i försvarsunderrättelseverksamhet).

4.5Försvarsmaktens och Försvarets radioanstalts behandling av personuppgifter

4.5.1Gällande reglering

Försvarsmaktens behandling av personuppgifter inom ramen för försvars- underrättelseverksamheten och den militära säkerhetstjänsten regleras i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och förordningen (2007:260) om behandling av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet och militära säkerhetstjänst (förkortade FM-PuL och FM-PuF). För Försvarets radioanstalts behandling av personuppgifter inom myndighetens försvarsunderrättelse- och utvecklingsverksamhet gäller lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet och förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (förkortade FRA-PuL och FRA-PuF).

FM-PuL och FRA-PuL gäller vid behandling av personuppgifter inom respektive lags tillämpningsområden om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Båda lagarna syftar också till att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter inom lagarnas respektive tillämpnings- områden (1 kap. 1 och 2 §§ FM-PuL och FRA-PuL).

FM-PuL och FRA-PuL är båda självständiga och heltäckande regleringar som ersätter personuppgiftslagen (1998:204) fullt ut inom sina respektive tillämpningsområden (1 kap. 1 § andra stycket FM-PuL och FRA-PuL). Den personuppgiftsbehandling som inte omfattas av FM-PuL och FRA-PuL har reglerats genom personuppgiftslagen. Sedan den 25 maj 2018 gäller personuppgiftslagen fortsatt under en övergångsperiod för Försvarsmakten och Försvarets radioanstalt i sådan verksamhet som inte omfattas av unionsrätten (Ny dataskyddslag, prop. 2017/18:105 s. 171– 172).

47

Prop. 2020/21:224 4.5.2	Exempel på annan reglering som gäller för
	Försvarsmakten

Patientdatalagen

Patientdatalagen (2008:355) gäller vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § patientdatalagen). Av 1 kap. 3 § patientdatalagen framgår att med vårdgivare avses även statlig myndighet i fråga om sådan hälso- och sjukvård som myndigheten har ansvar för. Typiskt för statliga vårdgivare är att hälso- och sjukvård inte utgör kärnverksamhet utan bedrivs parallellt med annan verksamhet. Patientdatalagen gäller i de fallen endast i den del av verksamheten som innefattar sådan hälso- och sjukvård som avses i patientdatalagen. Totalförsvarets plikt- och prövningsverk är exempel på en myndighet som bedriver sådan hälso- och sjukvård (Patientdatalag m.m., prop. 2007/08:126 s. 50). Även Försvarsmakten bedriver hälso- och sjukvård vid sina förband i Sverige och i insatser utomlands. Vid personuppgifts- behandling som Försvarsmakten utför i egenskap av vårdgivare inom hälso- och sjukvården tillämpar myndigheten således patientdatalagen.

Totalförsvarsdatalagen

Totalförsvarsdatalagen (2020:151) ger stöd för bl.a. Försvarsmakten att behandla känsliga personuppgifter om det är absolut nödvändigt vid en utredning om den totalförsvarspliktiges personliga förhållanden som görs enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt. Försvarsmakten får även med stöd av totalförsvarsdatalagen föra in och rätta person- uppgifter om totalförsvarspliktiga i Totalförsvarets plikt- och prövnings- verks informationssystem.

Brottsdatalagen

Brottsdatalagen (2018:1177) kan bli tillämplig i vissa delar av Försvarsmaktens verksamhet, t.ex. när militärpolisen och militära skyddsvakter utför uppgifter med polismans befogenhet. Motsvarande kan gälla i samband med att Försvarsmakten lämnar stöd till polisen vid terrorismbekämpning. Utförandet av sådana uppgifter kan dock också komma att aktualiseras inom ramen för Försvarsmaktens militära säkerhetstjänst. I 1 kap. 4 § brottsdatalagen anges därför att lagen inte är tillämplig i sådan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelse- verksamhet och militära säkerhetstjänst.

	4.5.3	Exempel på annan reglering som gäller för
		Försvarets radioanstalt
	Lagen om signalspaning i försvarsunderrättelseverksamhet innehåller
	vissa bestämmelser som har bäring på Försvarets radioanstalts behandling
	av personuppgifter, t.ex. användningen av sökbegrepp och förstörings-
	skyldighet. Av lagen framgår bl.a. att inhämtning av signaler i tråd ska ske
	automatiserat och att sådan inhämtning endast får avse signaler som
48	identifierats genom sökbegrepp. Upptagning eller uppteckning av

uppgifter som inhämtats enligt lagen om signalspaning i försvars- Prop. 2020/21:224 underrättelseverksamhet ska omgående förstöras om innehållet bl.a. berör

en viss fysisk person och har bedömts sakna betydelse för försvars- underrättelseverksamheten (1 och 7 §§).

5Det grundläggande skyddet för personuppgifter

5.1Regeringsformen och Europakonventionen

Enligt regeringsformen är var och en skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket regeringsformen, förkortad RF). Skyddet får begränsas genom lag men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En begränsning får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap.

20 och 21 §§ RF).

I propositionen En reformerad grundlag framhålls att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (prop. 2009/10:80 s. 183). Konstitutionsutskottet har i flera lagstiftnings- ärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43).

Den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) gäller som lag. Enligt artikel 8 i Europakonventionen har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till bl.a.

den nationella säkerheten och den allmänna säkerheten. Tillämpnings-

49

Prop. 2020/21:224 området för artikeln omfattar behandling av personuppgifter om privatliv, familjeliv, hem eller korrespondens. En inskränkning i en konventions- skyddad rättighet ska ha stöd i lag. Lagen ska vara så preciserad att inskränkningarna är förutsebara och att lagen är allmänt tillgänglig. Europadomstolen har i sin praxis slagit fast att intrånget ska vara nödvändigt, dvs. det ska finnas ett angeläget samhälleligt behov och inskränkningen ska stå i rimlig proportion till det syfte som ska tillgodoses genom den. En lag eller annan föreskrift får inte meddelas i strid med Sveriges åtaganden på grund av Europakonventionen (2 kap. 19 § RF).

5.2Europarådets dataskyddskonvention

De dataskyddsregler som har antagits inom ramen för Europarådet finns främst i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS 108), den s.k. dataskydds- konventionen. Konventionen, som Sverige har ratificerat och som trädde i kraft den 1 oktober 1985, kompletteras av ett antal av Europarådets ministerkommitté antagna icke-bindande rekommendationer om hur personuppgifter bör behandlas inom olika områden. Dataskydds- konventionen gäller för Europarådets 47 medlemsstater, men även Argentina, Kap Verde, Marocko, Mauritius, Mexiko, Senegal, Tunisien och Uruguay är parter till konventionen. Konventionen brukar ses som en precisering av artikel 8 i Europakonventionen och syftar till att säkerställa respekten för grundläggande fri- och rättigheter (artikel 1 i dataskydds- konventionen).

Dataskyddskonventionen tar sikte på behandling av personuppgifter i automatiserade personregister och automatiserad personuppgifts- behandling i allmän och enskild verksamhet. Personuppgifterna ska enligt konventionen inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet (artikel 5). Vissa kategorier av personuppgifter får inte behandlas genom automatiserad databehandling om inte den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott (artikel 6). Dataskyddskonventionen reglerar även enskildas rätt att veta att information lagras om honom eller henne och rätten att vid behov få den korrigerad (artikel 8). Restriktioner när det gäller rättigheterna i konventionen är endast möjliga när det handlar om ett överordnat intresse, såsom statens säkerhet eller försvar (artikel 9). Enligt artikel 10 i dataskyddskonventionen, som även omfattar personuppgifts- behandling som rör nationell säkerhet, åtar sig konventionsstaterna att införa lämpliga sanktioner och rättsmedel för överträdelser av sådana bestämmelser i den nationella lag genom vilka de grundläggande principer för dataskydd som har angetts i konventionen har genomförts. Konventionen anger dock inte vilka krav som ställs på sådana sanktioner.

Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till

dataskyddskonventionen (ETS 181). Tilläggsprotokollet innehåller bestämmelser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet, som

50

Sverige har ratificerat, trädde i kraft den 1 juli	2004.	Av	protokollet	Prop. 2020/21:224
framgår bl.a. att varje konventionsstat ska se	till att	en	eller flera

myndigheter ansvarar för att kontrollera att de åtgärder respekteras som inom dess nationella lagstiftning ger verkan åt de principer som anges i konventionen. Tilläggsprotokollet innehåller vidare bestämmelser som anger att konventionsstaterna ska vidta åtgärder för att säkerställa att överföring av personuppgifter till ett land som inte är konventionspart bara får ske om landet i fråga säkerställer en adekvat skyddsnivå för uppgifterna.

Det grundläggande skyddet vid automatiserad behandling av personuppgifter inom EU regleras numera främst genom dataskydds- förordningen (se avsnitt 5.3). Dataskyddskonventionen är dock alltjämt relevant, särskilt vid behandling av personuppgifter på områden som inte omfattas av EU:s kompetensområde, t.ex. allmän säkerhet och försvar.

Efter en genomförd översyn av dataskyddskonventionen antog Europarådets medlemsstater den 18 maj 2018 ett ändringsprotokoll till konventionen (CETS 223). Ändringsprotokollet träder i kraft när det har ratificerats av Europarådets samtliga 47 medlemsstater. Ändrings- protokollet tillåter också ett delvis ikraftträdande inom en mindre grupp och efter fem år från den dag då det öppnades för undertecknande. Sverige har undertecknat ändringsprotokollet, som den 1 september 2021 hade ratificerats av elva medlemsstater.

5.3Europeiska unionen

5.3.1EU-stadgan

Av Europeiska unionens stadga om de grundläggande rättigheterna, förkortad EU-stadgan, framgår att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs (artikel 8).

I artikel 52 i EU-stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att sådana inskränkningar endast får göras i lag och ska vara förenliga med det väsentliga innehållet i rättigheterna. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

EU-stadgan är rättsligt bindande för medlemsstaterna vid tillämpning av unionsrätten. Stadgan är således inte tillämplig på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens.

51

Prop. 2020/21:224 5.3.2

1995 års dataskyddsdirektiv

Den allmänna regleringen av personuppgiftsbehandling inom Europeiska unionen fanns till den 25 maj 2018 i 1995 års dataskyddsdirektiv. Direktivet syftade till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet gällde inte för behandling av personuppgifter utanför unionsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Personuppgiftslagen, genom vilken dataskyddsdirektivet huvudsakligen genomfördes i svensk rätt, gjordes emellertid generellt tillämplig och omfattade således även sådan verksamhet som faller utanför direktivets tillämpningsområde (Personuppgiftslag, prop. 1997/98:44 s. 40). Särreglering i lag eller förordning gällde framför bestämmelserna i personuppgiftslagen.

5.3.3EU:s dataskyddsförordning

Sedan den 25 maj 2018 utgör Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), hädanefter EU:s dataskyddsförordning eller dataskyddsförordningen, grunden för generell personuppgiftsbehandling inom EU. Det huvud- sakliga syftet med dataskyddsförordningen är bl.a. att säkerställa en enhetlig skyddsnivå över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Dataskyddsförordningen är direkt tillämplig i alla EU:s medlemsstater men förutsätter och möjliggör samtidigt kompletterande och specificerande nationella bestämmelser av olika slag. Behandling av personuppgifter som sker inom verksamhet som inte omfattas av EU- rätten, t.ex. försvar och nationell säkerhet, behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik, behandling som utförs av en fysisk person och som är av rent privat natur samt behandling som sker inom brottsbekämpande verksamhet, är uttryckligen undantagna från tillämpningsområdet (artikel 2).

Dataskyddsförordningen reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, person- uppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav. I förhållande till tidigare lagstiftning ställer dataskyddsförordningen högre krav på de personuppgiftsansvariga genom bestämmelser om bl.a. utökad informationsskyldighet och möjlighet att besluta om administrativa sanktionsavgifter (artikel 83). Dessutom inrättades Europeiska dataskyddsstyrelsen med representanter från samtliga EU-länders dataskyddsmyndigheter, däribland Integritets- skyddsmyndigheten (artikel 68). Styrelsen har befogenhet att fatta beslut i frågor där nationella tillsynsmyndigheter inte kan komma överens, ge råd

52

och vägledning om hur dataskyddsförordningen ska tillämpas och Prop. 2020/21:224 godkänna EU-omfattande uppförandekoder och certifieringar.

Utöver dataskyddsförordningen gäller sedan den 25 maj 2018 även lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning (dataskyddslagen). Bestämmelserna i EU:s dataskydds- förordning och dataskyddslagen gäller även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten (1 kap. 2 § dataskyddslagen). Europeiska dataskydds- styrelsen saknar emellertid behörighet inom detta utvidgade tillämpnings- område (prop. 2017/18:105 s. 184). Särskilda undantag från detta utvidgade tillämpningsområde har gjorts för bl.a. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelse- verksamhet och militära säkerhetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvars- underrättelse- och utvecklingsverksamhet (1 kap. 3 § dataskyddslagen).

Samtidigt som EU:s dataskyddsförordning och dataskyddslagen trädde i kraft upphävdes personuppgiftslagen. Enligt övergångsbestämmelserna till dataskyddslagen ska personuppgiftslagen dock fortsätta att gälla i sådan verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte omfattas av unionsrätten.

5.3.42016 års dataskyddsdirektiv

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (2016 års dataskyddsdirektiv) innehåller särregler för den personuppgiftsbehandling som behöriga myndigheter utför bl.a. i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott samt för att skydda mot, förebygga och förhindra hot mot den allmänna säkerheten.

Direktivet har i huvudsak genomförts genom en ny ramlag, brottsdatalagen. Lagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i andra författningar.

53

Prop. 2020/21:224 6	Allmänna utgångspunkter för en ny
	reglering
6.1	Två nya lagar införs

Regeringens förslag: Det införs en ny lag om behandling av personuppgifter vid Försvarsmakten som ersätter lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst.

Det införs en ny lag om behandling av personuppgifter vid Försvarets radioanstalt som ersätter lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklings- verksamhet.

Utredningens förslag överensstämmer med regeringens förslag.

Remissinstanserna: Majoriteten av remissinstanserna, däribland

Datainspektionen, Inspektionen för strategiska produkter, Migrations- verket, Försvarsmakten, Försvarets radioanstalt, Försvarets materiel- verk, Försvarsunderrättelsedomstolen, Totalförsvarets forskningsinstitut och Tullverket, tillstyrker eller invänder inte mot utredningens förslag.

Sveriges advokatsamfund anser att utredningens förslag inte i tillräcklig grad har beaktat den särskilda problematik som underrättelseverksamhet kan medföra för den personliga integriteten.

Skälen för regeringens förslag

Regeringsformen och krav på reglering i lag

	Försvarsmakten och Försvarets radioanstalt bedriver verksamheter som
	rör Sveriges försvar och säkerhet och har inom sina respektive
	verksamheter behov	av att	behandla personuppgifter.		Såväl
	Försvarsmakten som Försvarets radioanstalt behandlar ett stort antal
	personuppgifter där något samtycke av den registrerade, med hänsyn till
	karaktären av myndigheternas verksamheter, inte har inhämtats. Inom
	försvarsunderrättelseverksamheten		och Försvarsmaktens		militära
	säkerhetstjänst förekommer kartläggning av enskilda i den mening som
	avses enligt regeringsformens reglering om skyddet mot betydande intrång
	i den personliga integriteten (se		avsnitt 5.1).	Försvarsmaktens		och
	Försvarets radioanstalts försvarsunderrättelseverksamhet får dock endast
	avse utländska förhållanden. Rätten till skydd mot betydande intrång i den
	personliga integriteten enligt 2 kap. 6 § andra stycket RF gäller för var och
	en, dvs. både för svenska medborgare och utlänningar. Kartläggning av
	t.ex. utländska militära företrädare utanför Sverige omfattas emellertid
	inte av regeringsformens skydd för den personliga integriteten och krav på
	lagreglering. Det hindrar inte att lagstiftaren ändå väljer att i lag reglera
	delar av den personuppgiftsbehandling som ska vara möjlig att utföra i
	sådan verksamhet.	Försvarets	radioanstalts	utvecklings-		och
	informationssäkerhetsverksamhet är inte av sådant slag att det innebär
	någon övervakning eller kartläggning av enskilda i regeringsformens
	mening (se avsnitten 4.2.1 och 4.2.2). Försvarsmaktens behandling av
54	personuppgifter i myndighetens militära säkerhetstjänst får emellertid, i

den utsträckning det saknas samtycke från den registrerade, anses utgöra Prop. 2020/21:224 sådan kartläggning av enskilda.

Grundlagsskyddet mot betydande intrång i den personliga integriteten kan begränsas i lag under förutsättning att begränsningen görs för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap.

20 § första stycket 2 och 21 § RF). Det är av grundläggande betydelse i ett demokratiskt samhälle att kunna upprätthålla landets försvar och säkerhet. Försvarsmakten är en central myndighet i detta avseende. För att myndigheten ska kunna fullgöra sitt uppdrag i den militära säkerhets- tjänsten behöver den kunna behandla personuppgifter. Det är enligt regeringen därmed fråga om en sådan begränsning som får anses proportionerlig och nödvändig för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle.

Sammantaget anser regeringen att grundläggande bestämmelser för behandlingen av personuppgifter i Försvarsmaktens och Försvarets radioanstalts verksamheter, i likhet med nuvarande ordning, bör regleras i lag. Det är samtidigt olämpligt att tynga lagarna med alltför detaljerade bestämmelser. Lagarna bör därför i lämplig utsträckning kompletteras genom föreskrifter på förordningsnivå.

Två nya lagar bör införas

Utredningens förslag innebär ett flertal ändringar i förhållande till befintlig lagstiftning på området. Det föreslås såväl införande av nya bestämmelser i sak, inbegripet ett utvidgat tillämpningsområde, som redaktionella och språkliga ändringar. Det bör därför införas nya lagar som ersätter nuvarande FM-PuL och FRA-PuL (jfr även avsnitt 17). De nya lagarna bör benämnas lagen om behandling av personuppgifter vid Försvarsmakten och lagen om behandling av personuppgifter vid Försvarets radioanstalt.

De föreslagna nya lagarna bygger i stor utsträckning på FM-PuL och FRA-PuL och har utformats med utgångspunkt från Försvarsmaktens och Försvarets radioanstalts behov av att kunna bedriva sina verksamheter effektivt och med hänsyn till skyddet för enskildas integritet. Till skillnad från Sveriges advokatsamfund anser regeringen att även de nya lagarna beaktar skyddet för enskildas personliga integritet på ett väl avvägt sätt.

Lagförslagen och deras förhållande till nuvarande reglering behandlas närmare i det följande.

6.2Förhållandet till EU:s dataskyddsförordning

Regeringens förslag: De nya lagarna ska vara heltäckande och utformas så att de gäller exklusivt på de områden som anges i respektive lag.

Förhållandet till EU:s dataskyddsförordning och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning ska framgå av de nya lagarna.

Utredningens förslag överensstämmer delvis med regeringens. I utredningens lagförslag anges endast lagen med kompletterande

bestämmelser till EU:s dataskyddsförordning. Utredningens lagförslag

55

Prop. 2020/21:224 innehåller även en upplysningsbestämmelse om att de föreslagna lagarna inte inskränker myndigheternas skyldighet att lämna ut personuppgifter

	enligt offentlighetsprincipen.
	Remissinstanserna: Flertalet remissinstanser tillstyrker eller invänder
	inte mot utredningens förslag. Försvarsmakten föreslår att även EU:s
	dataskyddsförordning ska anges uttryckligen i lagarna. Sveriges advokat-
	samfund framhåller vikten av att det klart framgår när de föreslagna
	lagarna är tillämpliga i förhållande till EU:s dataskyddsförordning. TCO
	anser att de nya lagarnas förhållande till såväl tryckfrihetsförordningen
	som yttrandefrihetsgrundlagen bör anges i lagarna.
	Skälen för regeringens förslag: Försvarsmakten och Försvarets
	radioanstalt bedriver verksamhet som rör Sveriges försvar och säkerhet.
	Av fördraget om Europeiska unionen framgår att i synnerhet den nationella
	säkerheten ska vara varje medlemsstats eget ansvar (artikel 2.4). Uttrycket
	nationell säkerhet inbegriper bl.a. även försvar.
	I EU:s dataskyddsförordning anges att förordningen inte ska tillämpas
	på behandling av personuppgifter som utgör ett led i en verksamhet som
	inte omfattas av unionsrätten (artikel 2.2 a). Av skälen till dataskydds-
	förordningen framgår att förordningen inte är tillämplig på frågor som rör
	skyddet av grundläggande rättigheter eller friheter eller det fria flödet av
	personuppgifter på områden som inte omfattas av unionsrätten, såsom
	verksamhet rörande nationell säkerhet (skäl 16). Dataskyddsförordningen
	ska inte heller tillämpas på behandling av personuppgifter som
	medlemsstaterna utför när de bedriver verksamhet som omfattas av den
	gemensamma utrikes- och säkerhetspolitiken (artikel 2.2 b). Det framgår
	således direkt av dataskyddsförordningen att den inte är tillämplig på den
	behandling av personuppgifter som sker inom Försvarsmaktens och
	Försvarets radioanstalts verksamheter. Dataskyddsförordningen har dock
	kommit att få ett utvidgat tillämpningsområde i Sverige. I lagen med
	kompletterande bestämmelser till EU:s dataskyddsförordning (data-
	skyddslagen) utvidgas tillämpningen av bestämmelserna i dataskydds-
	förordningen till att även gälla vid behandling av personuppgifter som
	utgör led i verksamhet som inte omfattas av unionsrätten (1 kap. 2 §).
	Detta gäller dock inte verksamhet som omfattas av FM-PuL eller FRA-
	PuL (1 kap. 3 §).
	I propositionen Ny dataskyddslag anför regeringen att det med hänsyn
	till rikets säkerhet inte är lämpligt att dataskyddsförordningen blir
	tillämplig även inom de mest känsliga verksamhetsområdena innan den
	pågående översynen av författningarna på försvarsområdet har avslutats
	(prop. 2017/18:105 s. 31). Av övergångsbestämmelserna till dataskydds-
	lagen framgår bl.a. att personuppgiftslagen ska fortsätta att gälla i sådan
	verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte
	omfattas av unionsrätten och som inte heller omfattas av de särskilda
	lagarna om behandling av personuppgifter i Försvarsmaktens och
	Försvarets radioanstalts verksamheter. Regeringen återkommer	i
	avsnitten 7 och 8 om vilken personuppgiftsbehandling vid Försvarsmakten
	och Försvarets radioanstalt som bör omfattas av de nya lagarna.
	I sammanhanget bör det framhållas att EU:s dataskyddsförordning
	bygger på och vidareutvecklar Europarådets dataskyddskonvention som
	även omfattar nationell säkerhet och försvar. Sverige är folkrättsligt
56	bundet av konventionen med dess tilläggsprotokoll. Regleringen	av

Försvarsmaktens och Försvarets radioanstalts personuppgiftsbehandling Prop. 2020/21:224 får således inte strida mot bestämmelserna i dataskyddskonventionen,

vilket bl.a. innebär att personuppgifter som undergår automatisk databehandling ska lagras för särskilt angivna och lagliga ändamål och inte användas på ett sätt som är oförenligt med dessa ändamål (artikel 5 i dataskyddskonventionen). Avvikelser från konventionen får endast göras om sådana avvikelser medges i nationell lagstiftning och avvikelsen är nödvändig i ett demokratiskt samhälle för att bl.a. skydda statens säkerhet (artikel 9). Regeringen bedömer att förslagen i detta lagstiftningsärende är förenliga med dataskyddskonventionen och dess tilläggsprotokoll.

Med utgångspunkt från att de verksamheter Försvarsmakten och Försvarets radioanstalt bedriver till huvudsaklig del ligger utanför unionsrätten bör författningsregleringen i fråga om myndigheternas personuppgiftsbehandling vara heltäckande och utformas så att den gäller exklusivt på de områden som anges i respektive lag inom det aktuella området.

EU:s dataskyddsförordning är direkt tillämplig i Sverige och kompletteras av dataskyddslagen. Det bör, som Sveriges advokatsamfund efterfrågar, av de nya lagarna för Försvarsmaktens och Försvarets radioanstalts personuppgiftsbehandling tydligt framgå hur regleringen förhåller sig till EU:s dataskyddsförordning och dataskyddslagen.

Ibåde FM-PuL och FRA-PuL finns en upplysningsbestämmelse om att lagen inte tillämpas i den utsträckning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Regeringen anser, till skillnad från utredningen, att det inte finns något behov av att föra in motsvarande reglering i de nya lagarna.

6.3	Syftet med de nya lagarna
Regeringens förslag: Syftet med de nya lagarna är att säkerställa att
Försvarsmakten och Försvarets radioanstalt kan behandla person-
uppgifter på ett ändamålsenligt sätt och att skydda fysiska personers
grundläggande fri- och rättigheter i samband med sådan behandling.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Flertalet remissinstanser tillstyrker eller invänder
inte mot utredningens förslag.
Skälen för regeringens förslag: Syftet med nuvarande reglering är att
skydda människor mot att deras personliga integritet kränks genom
behandling av personuppgifter i Försvarsmaktens försvarsunderrättelse-
verksamhet och militära säkerhetstjänst och i Försvarets radioanstalts
försvarsunderrättelse- och utvecklingsverksamhet (1 kap. 2 § FM-PuL och
FRA-PuL). Personuppgiftsbehandlingen ska vara nödvändig (1 kap. 8 §)
och fler personuppgifter får inte behandlas än som är nödvändigt med
hänsyn till ändamålen med behandlingen (1 kap. 6 § 6).
Även de nya lagarna bör innehålla bestämmelser om syftet med lagarna
där såväl kravet på ändamålsenlighet som intresset att skydda fysiska
personers fri- och rättigheter framgår. Utredningen föreslår mot den
bakgrunden att syftet med de nya lagarna ska vara att säkerställa att
Försvarsmakten och Försvarets radioanstalt kan behandla personuppgifter		57

Prop. 2020/21:224 på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande

fri- och rättigheter i samband med sådan behandling.

Regeringen anser i likhet med majoriteten av remissinstanserna att utredningens förslag är väl avvägt och bör genomföras. Lagtexten bör utformas i enlighet med detta.

6.4De nya lagarnas tillämpningsområden

6.4.1Tillämpningsområdet för lagen om behandling av personuppgifter vid Försvarsmakten

Regeringens förslag: Lagen om behandling av personuppgifter vid Försvarsmakten ska gälla vid behandling av personuppgifter i myndighetens verksamhet som rör Sveriges försvar och säkerhet samt internationellt försvars- och säkerhetssamarbete.

Lagen ska gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Den ska också gälla personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda rutiner.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Försvarsmakten anser att en särskild författnings-

reglering för Försvarsmaktens personuppgiftsbehandling kommer att leda till bättre förutsättningar för att bedriva verksamhet och i förlängningen bidra till en ökning av den operativa förmågan, och att ett överskådligt och förenklat regelverk också bidrar till ett förbättrat skydd för den som personuppgiften rör. Sveriges advokatsamfund anser att utredningens förslag till utformning kan väcka frågor om lagens räckvidd i förhållande till Försvarsmaktens verksamhet.

Skälen för regeringens förslag: Frågor om försvar och nationell säkerhet omfattas som utgångspunkt inte av unionsrätten. Enligt ikraftträdande- och övergångsbestämmelserna till dataskyddslagen ska personuppgiftslagen under en övergångsperiod fortsätta att gälla i sådan verksamhet hos Försvarsmakten som inte omfattas av unionsrätten och som inte för närvarande regleras i FM-PuL.

Försvarsmakten har flera verksamhetsuppdrag, men det grundläggande uppdraget är att upprätthålla och utveckla ett militärt försvar som ytterst kan möta ett väpnat angrepp. Det grundläggande uppdraget, som ligger utanför EU-rätten, har en nära koppling till Försvarsmaktens försvars- underrättelseverksamhet och militära säkerhetstjänst. I dessa verksamheter är frågan om personuppgiftsbehandling enligt nuvarande ordning särreglerad genom FM-PuL. I propositionen Lag om försvars- underrättelseverksamhet som låg till grund för lagen om försvarsunder- rättelseverksamhet, anförs att det ligger i sakens natur att försvarsunderrättelseverksamheten ska ses som ett led i Försvarsmaktens uppgifter i fred, under beredskap och i krig. I propositionen anförs vidare att försvarsunderrättelseverksamheten ska ge underlag för Försvars- maktens beredskap, operativa verksamhet och förbandsproduktion samt

58

Prop. 2020/21:224 tillgängliga för sökning eller sammanställning enligt mer än ett kriterium. Som utredningen föreslår bör den nya lagen ha motsvarande tillämpnings- område.

6.4.2Tillämpningsområdet för lagen om behandling av personuppgifter vid Försvarets radioanstalt

Regeringens förslag: Lagen om behandling av personuppgifter vid Försvarets radioanstalt ska gälla behandling av personuppgifter i myndighetens försvarsunderrättelse- och utvecklingsverksamhet samt informationssäkerhetsverksamhet.

Lagen ska gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad. Den ska också gälla personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda rutiner.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Försvarets radioanstalt instämmer i utredningens

förslag. Datainspektionen delar utredningens bedömning att den nya lagen även bör omfatta informationssäkerhetsverksamhet.

Skälen för regeringens förslag: Försvarets radioanstalts försvars- underrättelse- och utvecklingsverksamhet syftar till att upprätthålla Sveriges försvar och säkerhet. Verksamheten omfattas inte av unionsrätten.

I Försvarets radioanstalts informationssäkerhetsverksamhet tillämpas. personuppgiftslagen vid behandling av personuppgifter (se avsnitt 4.5.1). Syftet med informationssäkerhetsverksamheten vid Försvarets radioanstalt är att stödja verksamheter som har betydelse för Sveriges säkerhet. Den omfattas därför inte av unionsrätten. Informationssäkerhets- verksamheten har vidare ett nära samband med signalspaning i försvars- underrättelseverksamhet. Enligt lagen om signalspaning i försvars- underrättelseverksamhet får signalspaning ske i syfte att kartlägga bl.a. allvarliga yttre hot mot samhällets infrastruktur (1 § andra stycket 5). Möjligheten till utbyte av information mellan signalspaningen och informationssäkerhetsverksamheten utgör ett viktigt verktyg för att kunna upprätthålla Sveriges säkerhet. Med hänsyn till att verksamhetsområdena till sin karaktär är nära sammanlänkade, anser regeringen att starka skäl talar för att behandlingen av personuppgifter bör regleras i ett gemensamt regelverk. Som utredningen, med instämmande av Försvarets radioanstalt och Datainspektionen, föreslår bör därför Försvarets radioanstalts behandling av personuppgifter i informationssäkerhetsverksamheten också regleras i den nya lagen.

Nuvarande särreglering är tillämplig vid personuppgiftsbehandling som är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Manuell behandling i t.ex. register omfattas alltså av regelverket om uppgifterna är tillgängliga för sökning eller sammanställning enligt mer än

60

ett kriterium. Den nya lagen bör, som utredningen föreslår, utformas på Prop. 2020/21:224 motsvarande sätt.

6.5Vissa ord och uttryck i lagarna ska definieras

Regeringens förslag: Vissa ord och uttryck som används i de nya lagarna ska definieras.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår inte någon definition av ordet registrerad.

Remissinstanserna: Försvarsmakten föreslår att definitionen av uppgiftssamling för myndighetens vidkommande avgränsas till att avse Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhets- tjänst. Datainspektionen anser att definitionen av dataskyddsombud även bör omfatta juridiska personer och att det för personuppgiftsbiträde inte ska finnas ett uttryckligt krav på skriftligt avtal. Forum för dataskydd ifrågasätter utredningens förslag när det gäller dataskyddsombudets uppgifter. Sveriges advokatsamfund anser att uttryck i de föreslagna lagarna bör definieras på samma sätt som i EU:s dataskyddsförordning.

Skälen för regeringens förslag

Behovet av definitioner

Sedan FM-PuL:s och FRA-PuL:s tillkomst 2007 har bl.a. den tekniska utvecklingen påverkat innebörden av vissa ord och uttryck som används i de lagarna. Utvecklingen innebär också att vissa ord och uttryck har tillkommit medan andra har tagits bort eller bytts ut. Med anledning av EU:s dataskyddsförordning och de lagar och lagändringar som är en följd av 2016 års dataskyddsdirektiv förekommer vissa ord och uttryck både i lagstiftning som omfattas av EU-rätten och i lagstiftning som inte gör det. I den utsträckning som samma ord och uttryck används, bör de i möjligaste mån ha samma betydelse i även sådan lagstiftning som reglerar verksamhet utanför EU-rättens tillämpningsområde. Om ord och uttryck har samma innebörd i lagarna på dataskyddsområdet kan missförstånd undvikas.

Enligt Sveriges advokatsamfund bör uttrycken i de nya lagarna definieras på samma sätt som i EU:s dataskyddsförordning.

Som behandlas i avsnitt 6.2 är de föreslagna lagarna fristående från dataskyddsförordningen. Regeringen anser därför inte att en sådan ordning är lämplig. Det är emellertid önskvärt att lagar om behandlingen av personuppgifter utformas på ett enhetligt sätt, bl.a. i fråga om definitioner av vissa förekommande ord och uttryck. I det följande behandlas vissa centrala definitioner i de nya lagarna.

Regeringen återkommer till definitionerna av personuppgiftsansvarig (avsnitt 11.1), dataskyddsombud (avsnitt 11.4) och personuppgiftsbiträde (avsnitt 11.5.1).

61

En tredje möjlighet att begränsa behandlingen är att inskränka tillgången Prop. 2020/21:224 till personuppgifterna.

Biometriska uppgifter

Biometri är en samlingsbeteckning för sådan automatiserad teknik som syftar till att identifiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på mätning av fysiska karaktärsdrag hos den som ska identifieras (Fingeravtryck i pass, prop. 2008/09:132 s. 6–7). När det gäller pass är det framför allt mönster av fingeravtryck, ansiktsgeometri och ögats iris som används, men även regnbågshinna, näthinna, röst, hand, blodkärl, dna eller gång går att använda. Gemensamt för teknikerna är att kroppen mäts elektroniskt. Biometriska uppgifter är den information som kan tas fram ur ett biometriskt underlag. Dessa uppgifter kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons identitet. I EU:s dataskyddsförordning anges ansiktsbilder som ett exempel på biometriska uppgifter i definitionen av sådana uppgifter. Det kan leda tanken till att vanliga fotografier och filmer skulle omfattas av definitionen. Om de inte bearbetas tekniskt genom en särskild metod som syftar till identifiering faller de utanför definitionen. Om de däremot bearbetas i exempelvis ett ansiktsigenkänningsprogram så att det går att identifiera personer på bilden eller filmen omfattas de av definitionen. Här kan även anmärkas att personuppgifter, t.ex. fingeravtryck, som förekommer i ett utlåtande som baseras på en teknisk bearbetning av biometriska uppgifter inte i sig utgör biometriska uppgifter.

FM-PuL och FRA-PuL saknar en definition av biometriska uppgifter. Uttrycket biometriska uppgifter bör, som utredningen föreslår, införas i de nya lagarna och definieras som personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar identifiering av personen i fråga.

Genetiska uppgifter

Genetiska uppgifter definieras inte i nuvarande FM-PuL och FRA-PuL. I de nya lagarna bör genetiska uppgifter definieras som personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som framför allt härrör från analys av ett spår av eller ett biologiskt prov från personen i fråga.

Genetiska uppgifter handlar framför allt om information som kan tas fram vid dna-analyser, men även motsvarande information som tas fram genom andra analyser omfattas. Genetiska uppgifter behandlas vid dna- analyser för att ta fram dna-profiler eller forensiska uppslag. Eftersom nedärvda eller förvärvade genetiska kännetecken för en fysisk person kan framgå av ett spår omfattas även analys av spåren, trots att de då inte går att härleda till en identifierad person. Själva dna-profilen är endast en sifferkombination och därmed ingen genetisk uppgift. Den är däremot en biometrisk uppgift, eftersom det är möjligt att med hjälp av den unikt identifiera en person.

63

Försvarsmakten anför att definitionen av uppgiftssamling för Prop. 2020/21:224 Försvarsmaktens vidkommande bör avse endast myndighetens försvars- underrättelseverksamhet och militära säkerhetstjänst.

Regeringen anser att definitionen av ordet uppgiftssamling lämpligen bör vara densamma i de nya lagarna. Det hindrar inte att regleringen kan skilja sig åt i fråga om i vilka fall personuppgifter som är gemensamt tillgängliga vid Försvarsmakten respektive Försvarets radioanstalt ska behandlas i uppgiftssamlingar (se avsnitt 9). Utredningens förslag till definition bör därför genomföras.

7Ändamål för behandlingen av personuppgifter

7.1Behandling får bara ske för särskilda, uttryckligt angivna och berättigade ändamål

Regeringens förslag: Försvarsmakten och Försvarets radioanstalt får behandla personuppgifter bara för särskilda, uttryckligt angivna och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna ursprungligen behandlades.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser tillstyrker eller invänder

inte mot utredningens förslag. Juridiska fakultetsstyrelsen vid Lunds universitet lyfter frågan om inte ändamålen bör preciseras närmare och dokumenteras innan insamlingen påbörjas. Sveriges advokatsamfund förordar en uttömmande uppräkning av de ytterligare ändamål som skulle kunna komma i fråga.

Skälen för regeringens förslag

Behandling för särskilda, uttryckligt angivna och berättigade ändamål

Den omständigheten att viss behandling är rättsligt grundad innebär inte att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt. Den personuppgiftsansvarige måste också iaktta övriga krav som gäller för behandling av personuppgifter.

Av FM-PuL och FRA-PuL framgår att Försvarsmakten respektive Försvarets radioanstalt ska se till att personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (1 kap. 6 § 3 och 4). Regeringen anser att liknande bestämmelser bör föras in i de nya lagarna.

Att ändamålen ska vara särskilda innebär att de måste vara tillräckligt specificerade för att ge ledning för bedömningen av vilka uppgifter som är

adekvata och relevanta för den aktuella behandlingen och för att det ska

65

Prop. 2020/21:224 kunna avgöras att inte fler uppgifter än nödvändigt behandlas. Något hinder mot att ange flera parallella ändamål för behandlingen finns inte. Ändamålen ska anges uttryckligen redan när personuppgifterna samlas in. Till skillnad från Juridiska fakultetsstyrelsen vid Lunds universitet ser regeringen inget behov av att i de nya lagarna ytterligare precisera de föreslagna ändamålen för Försvarsmaktens och Försvarets radioanstalts personuppgiftsbehandling.

Att ändamålen ska vara berättigade innebär att det ska finnas en koppling till myndighetens reglerade verksamhet som utgör den rättsliga grunden. Personuppgifter får således inte behandlas för ett ändamål som inte är berättigat i förhållande till verksamheten. Genom att det i stor utsträckning är reglerat vilken personuppgiftsbehandling som kan aktualiseras vid Försvarsmakten och Försvarets radioanstalt har lagstiftaren redan tagit ställning till att personuppgiftsbehandlingen är berättigad i de fallen. Det är dock inte bara när personuppgifter samlas in som det ska finnas ett särskilt, uttryckligt angivet och berättigat ändamål för behandlingen. Motsvarande krav gäller även för varje åtgärd som vidtas med de insamlade uppgifterna.

Juridiska fakultetsstyrelsen vid Lunds universitet lyfter frågan om det bör ställas krav på dokumentation innan en behandling av personuppgifter påbörjas.

Det är viktigt att kunna kontrollera för vilket eller vilka ändamål personuppgifter behandlas oavsett i vilken verksamhet behandlingen görs. Både av hänsyn till verksamheten och till den personliga integriteten är det därför enligt regeringens mening viktigt att det framgår för vilket ändamål en personuppgift behandlas. Från integritetssynpunkt har det betydelse bl.a. för möjligheterna att genom tekniska förfaranden eller administrativa bestämmelser kunna styra åtkomsten till vissa uppgifter.

Att ändamålet med behandlingen framgår är vidare en viktig faktor för att en tillsynsmyndighet ska kunna kontrollera om viss behandling är berättigad och utförs i enlighet med lagens bestämmelser. Information om ändamålet med behandlingen behövs också för att de tjänstemän som får tillgång till personuppgifterna ska kunna värdera personuppgifterna korrekt och använda sig av dem på ett effektivt och lagenligt sätt. Informationen behövs bl.a. för att kunna ta ställning till om uppgiften får och bör behandlas för ett nytt ändamål.

Med hänsyn till den verksamhet som Försvarsmakten och Försvarets radioanstalt bedriver bör det emellertid redan av sammanhanget typiskt sett framgå för vilka ändamål en viss personuppgift behandlas. Av detta följer att verksamhetens karaktär i sig innebär en avgränsning av vilka personuppgifter som behandlas. Regeringen anser att detta är en från integritetssynpunkt tillfredsställande ordning och ser därför inte behov av en sådan ordning som Juridiska fakultetsstyrelsen vid Lunds universitet efterfrågar.

Med anledning av Sveriges advokatsamfund tveksamhet till sekundära ändamål kan regeringen konstatera att sekundära ändamål och finalitetsprincipen är vedertagna inom dataskyddsområdet och de föreslagna bestämmelserna ger ett tydligt ändamålsstöd för sådan personuppgiftsbehandling. Reglering avseende sekundära ändamål finns t.ex. i totalförsvarsdatalagen och kustbevakningslagen (2019:429).

66

Advokatsamfundet förordar även att det i de nya lagarna införs en Prop. 2020/21:224 bestämmelse om när personuppgifter ska kunna behandlas för nya

ändamål som motsvarar brottsdatalagens reglering. Regeringen noterar att kraven på nödvändighet och proportionalitet i brottsdatalagen har sin grund i 2016 års dataskyddsdirektiv och att direktivets krav inte gäller för de verksamheter som är aktuella i det här lagstiftningsarbetet. Enligt regeringens mening saknas behov av sådan reglering i de nya lagarna.

7.2Försvarsmakten

7.2.1	Försvar och säkerhet
Regeringens förslag: Personuppgifter får behandlas i Försvarsmaktens
verksamhet om behandlingen är nödvändig för att planera, förbereda
och genomföra verksamhet som rör
1. Sveriges försvar och säkerhet, eller
2. internationellt försvars- och säkerhetssamarbete.
Försvarsmaktens uppgift att bedriva sådan verksamhet som anges i
första stycket ska följa av lag, förordning, kollektivavtal eller annat
avtal, eller ett särskilt beslut där regeringen har gett myndigheten i
uppdrag att utföra uppgiften.
Ändamål för Försvarsmaktens behandling av personuppgifter i
myndighetens försvarsunderrättelseverksamhet och militära säkerhets-
tjänst bör anges i särskilda bestämmelser.
Utredningens förslag överensstämmer i huvudsak med regeringens.
Utredningen använder uttrycket rättslig grund.
Remissinstanserna: Försvarsmakten framhåller vikten av en samlad
reglering av myndighetens personuppgiftsbehandling och att ordet
ändamål är vanligt förekommande i dataskyddslagstiftningar, till skillnad
från uttrycket rättslig grund som utredningen föreslår. Datainspektionen
anser att administrativ verksamhet bör antingen särregleras eller behandlas
i ett särskilt kapitel i den nya lagen. Statens inspektion för försvars-
underrättelseverksamheten efterfrågar ett klargörande om behandling av
personuppgifter i försvarsunderrättelseverksamheten och den militära
säkerhetstjänsten även ska kunna ske med stöd av bestämmelsen om
Sveriges försvar och säkerhet.
Skälen för regeringens förslag
Personuppgiftsbehandling i verksamhet som rör Sveriges försvar och
säkerhet
Regeringen föreslår att den nya lagen för Försvarsmaktens behandling av
personuppgifter ska få ett bredare tillämpningsområde jämfört med vad
som gäller enligt nuvarande ordning (avsnitt 6.4.1). Detta behöver ges stöd
genom tydliga ändamål i den nya lagen. I enlighet med utredningens
förslag bör således den nya lagen innehålla en ändamålsbestämmelse som
anger att personuppgifter få behandlas i Försvarsmaktens verksamhet om
behandlingen är nödvändig för att planera, förbereda och genomföra
verksamhet som rör Sveriges försvar och säkerhet. Försvarsmaktens		67

Prop. 2020/21:224 uppgift att bedriva sådan verksamhet ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen har gett myndigheten i uppdrag att ansvara för uppgiften.

I utredningens lagförslag anges inte kollektivavtal eller annat avtal som uttryckliga stöd för behandlingen av personuppgifter. Enligt dataskydds- lagen får personuppgifter behandlas med stöd av artikel 6.1 c i EU:s dataskyddsförordning om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som t.ex. följer av kollektivavtal (2 kap. 1 §). Av dataskyddsförordningen följer att personuppgifter också får behandlas om det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (artikel 6.1 b).

Med hänsyn till det bredare tillämpningsområde som den nya lagen för Försvarsmakten föreslås få kommer även personuppgifter inom myndighetens personaladministrativa verksamhet att behandlas med stöd av den nya lagen (se vidare nedan). Det bredare tillämpningsområdet inbegriper även Försvarsmaktens behandling av personuppgifter som föranleds av myndighetens kontakter med bl.a. leverantörer vid upphandling, markägare vid upplåtelse av mark i samband med Försvarsmaktens övningar och fodervärdar för Försvarsmaktens tjänstehundar. Regeringen anser att det i den nya lagen bör tydliggöras att Försvarsmakten får behandla personuppgifter med stöd av kollektivavtal eller annat avtal, om behandlingen är nödvändig för att planera, förbereda och genomföra verksamhet som rör Sveriges försvar och säkerhet (jfr prop. 2017/18:105 s. 51–52). Utredningens lagförslag bör justeras i enlighet med detta.

Regeringen noterar att utredningens förslag innehåller såväl uttrycken rättslig grund som ändamål för när behandling av personuppgifter ska vara tillåten. Rättslig grund är ett uttryck som företrädesvis används i den särskilda dataskyddsreglering som finns inom det brottsbekämpande området. FM-PuL och FRA-PuL, innehåller i stället bestämmelser om primära och sekundära ändamål. Detta gäller även för andra författningar, som t.ex. totalförsvarsdatalagen och kustbevakningsdatalagen.

Regeringen ser ett värde för tillämpningen att i den nya lagen behålla det vedertagna ordet ändamål och föreslår därför att det ordet ska användas i den nya lagen.

Lagrådet invänder inte mot den valda terminologin, men efterfrågar en ökad tydlighet när det gäller hur bestämmelserna om vissa ändamål förhåller sig till regleringen i fråga om andra ändamål enligt den nya lagen. Lagrådet föreslår även en annan författningsteknisk lösning.

De rättsliga grunderna för Försvarsmaktens behandling av person- uppgifter finns i de regelverk som ligger till grund för myndighetens verksamheter. Ur ett tillämpningsperspektiv är det väsentligt att den nya lagen innehåller tydliga ändamålsbestämmelser. Detta innebär enligt regeringen inte att det alltid är nödvändigt att i en ändamålsbestämmelse ange den eller de författningar som ligger till grund för den aktuella verksamheten eller att i en sådan bestämmelse ange att en viss verksamhet förutsätter stöd i lag, förordning eller en annan rättslig grund.

Ur ett rättstillämpningsperspektiv framstår Lagrådets förslag till författningsteknisk lösning, enligt regeringens mening, inte som mer

68

ändamålsenligt och tydligt. Regeringen väljer därför att behålla lagråds- Prop. 2020/21:224 remissens förslag.

Internationellt försvars- och säkerhetssamarbete

Internationellt samarbete på försvars- och säkerhetsområdet utgör en viktig del i upprätthållandet av Sveriges försvar och säkerhet. Försvarsmakten bedriver internationellt försvars- och säkerhetssamarbete enligt regeringens bestämmande. Samarbete sker t.ex. inom det nordiska försvarssamarbetet Nordefco, men också med Nato och inom EU och FN. Sverige har bilaterala försvarssamarbeten med bl.a. Frankrike, Storbritannien, Tyskland och USA, i vilka Försvarsmakten deltar. Försvarsmakten deltar även i internationella fredsfrämjande och humanitära insatser, samt i underrättelsesamarbeten inom ramen för exempelvis EU.

Försvarsmaktens personuppgiftsbehandling som aktualiseras inom det internationella samarbetet, är en del av Sveriges försvar och säkerhet och omfattas därmed av den nya lagen. Behandlingen bör stödjas av ett tydligt ändamål. I likhet med utredningen föreslår regeringen att Försvarsmakten bör få behandla personuppgifter om behandlingen är nödvändig för att planera, förbereda och genomföra verksamhet som avser internationellt försvars- och säkerhetssamarbete. Försvarsmaktens uppgift att bedriva sådan verksamhet ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften.

Även vid deltagande i internationella militära insatser eller vid andra uppdrag i utlandet som Försvarsmaktens personal deltar i, kan kollektivavtal eller avtal med t.ex. en leverantör utgöra grund för en nödvändig behandling av personuppgifter inom Försvarsmakten. Utredningens lagförslag bör justeras i enlighet med detta.

Som Statens inspektion för försvarsunderrättelseverksamheten framhåller utgör Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst en del i Sveriges försvar och säkerhet. Med hänsyn till dessa verksamheters särskilda karaktär och att de enligt nuvarande ordning regleras särskilt i FM-PuL bedömer regeringen, i likhet med utredningen, att Försvarsmaktens behandling av personuppgifter inom myndighetens försvarsunderrättelseverksamhet och militära säkerhets- tjänst även i den nya lagen bör regleras i särskilda ändamålsbestämmelser. Detta bör komma till uttryck i den nya lagen.

Ska regleringen även omfatta Försvarsmaktens personaladministrativa verksamhet?

Utredningen föreslår att den nya lagen även ska omfatta Försvarsmaktens
personaladministrativa	verksamhet.	Datainspektionen	anser	att
administrativ verksamhet bör antingen särregleras eller behandlas i ett
särskilt kapitel i den nya lagen.
Regeringen konstaterar, i likhet med Datainspektionen, att utredningens
förslag att inbegripa personaladministrativ verksamhet i tillämpnings-
området för den nya lagen skiljer sig från vad som gäller för övriga
myndigheter, vars verksamhet i och för sig ligger utanför unionsrätten. I
den lag som gäller för Säkerhetspolisens verksamhet har inte den
personaladministrativa	verksamheten	inkluderats (Ny	lag	om	69

Prop. 2020/21:224 Säkerhetspolisens behandling av personuppgifter, prop. 2018/19:163 s. 54). I fråga om Försvarets radioanstalt föreslås inte heller en sådan lösning som inbegriper den personaladministrativa verksamheten (se avsnitt 7.3.1). Försvarsmaktens militära förmåga och utvecklingen av densamma är beroende av myndighetens personalförsörjning. Med hänsyn till Försvarsmaktens huvuduppgift, som är att militärt försvara Sverige, och de tydliga kopplingar som finns mellan myndighetens krigs- organisation och personaladministrativa verksamhet anser regeringen att lagen här även behöver omfatta Försvarsmaktens personaladministrativa verksamhet. Någon praktisk åtskillnad mellan dessa uppgifter är nämligen inte möjlig att göra.

Utöver ändamålsbestämmelsen om Sveriges försvar och säkerhet och internationellt försvars- och säkerhetssamarbete föreslås även en ändamålsbestämmelse för behandling av personuppgifter om det är nödvändigt för bl.a. Försvarsmaktens ärendehandläggning (avsnitt 7.2.5). Även den nya lagens bestämmelser om t.ex. känsliga personuppgifter och författningsenlig och korrekt behandling och säkerhet för personuppgifter kommer att vara tillämpliga i myndighetens personaladministrativa verksamhet. Regeringen bedömer att ytterligare bestämmelser inte krävs. För denna verksamhet, liksom för myndighetens verksamhet i övrigt, gäller att en bedömning om hanteringen rör personuppgifter med koppling till verksamhet som rör försvar och säkerhet eller internationellt försvars- och säkerhetssamarbete krävs och styr tillämpningen.

7.2.2Försvarsmaktens

försvarsunderrättelseverksamhet

Regeringens förslag: Personuppgifter får behandlas i Försvarsmaktens försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen om försvarsunderrättelseverksamhet.

De personuppgifter som Försvarsmakten har fått tillgång till i sin försvarsunderrättelseverksamhet får fortsätta behandlas i den verksamheten, om det behövs för att fullfölja den. Detta gäller dock endast om inte något annat följer av den nya lagen eller en förordning som har meddelats i anslutning till den lagen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen ifrågasätter inte att det kan

finnas ett behov att ta bort det krav på preciserad inriktning som gäller enligt nuvarande lagstiftning för att kunna bedriva en effektiv underrättelseverksamhet, men anser att behovet behöver vägas mot vad lagstiftaren tidigare har framfört som skäl för att införa begränsningen. Enligt Statens inspektion för försvarsunderrättelseverksamheten kommer ett borttaget krav på anknytning till en preciserad inriktning vid personuppgiftsbehandling sannolikt att leda till att fler personuppgifter kommer att behandlas och därmed medföra en risk för ökat integritetsintrång för den enskilde.

Skälen för regeringens förslag: Försvarsmakten får enligt nuvarande ordning behandla personuppgifter om det är nödvändigt för att bedriva den

70

Prop. 2020/21:224 inte har inhämtats i enlighet med lagstiftningen. Med hänsyn till den tydliga ram som lagen om försvarsunderrättelseverksamhet ger, liksom den nu föreslagna lagen om Försvarsmaktens behandling av person- uppgifter, ser regeringen inte någon sådan risk.

Som Statens inspektion för försvarsunderrättelseverksamheten framhåller kan tidigare inhämtade personuppgifter väntas komma att fortsatt behandlas i större utsträckning jämfört med nuvarande ordning. Regeringen bedömer att de tydliga behov som föranleder en sådan ordning överväger det begränsade integritetsintrång som en fortsatt behandling innebär. Det är, på motsvarande sätt som enligt nuvarande ordning, den försvarsunderrättelseverksamhet som ska och får bedrivas med stöd av lagen om försvarsunderrättelseverksamhet som ytterst sätter gränserna.

	7.2.3	Militär säkerhetstjänst
	Regeringens förslag: Personuppgifter får behandlas i Försvarsmaktens
	militära säkerhetstjänst för att upptäcka, förebygga och avvärja
	säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess
	säkerhetsintressen, om det är nödvändigt för att klarlägga verksamhet
	som innefattar hot mot Sveriges säkerhet eller för att vidta åtgärder som
	hindrar eller försvårar säkerhetshotande verksamhet.
	Personuppgifter får behandlas för de angivna ändamålen endast om
	1. personuppgifterna är nödvändiga för att kartlägga verksamhet som
	innefattar brott som kan hota Sveriges säkerhet eller terroristbrott enligt
	2 § lagen (2003:148) om straff för terroristbrott eller enligt motsvarande
	äldre föreskrifter,
	2. personuppgifterna är nödvändiga för att kartlägga underrättelse-
	verksamhet riktad mot Försvarsmakten och dess säkerhetsintressen,
	3. personuppgifterna är nödvändiga för att kartlägga annan säkerhets-
	hotande verksamhet än som avses i 1 och som innefattar brott eller
	åsidosättande av skyldigheter i anställning hos Försvarsmakten, och det
	finns särskilda skäl till att uppgiften ska behandlas,
	4. personuppgifterna är nödvändiga för att bedöma om en person som
	har lämnat uppgifter om säkerhetshotande verksamhet är trovärdig,
	eller
	5. personuppgifterna är nödvändiga för att genomföra säkerhets-
	prövning enligt säkerhetsskyddslagen (2018:585) eller för att utföra en
	uppgift som rör säkerhetsskydd.
	Personuppgifter som behandlas för att upptäcka, förebygga och
	avvärja säkerhetshotande verksamhet som riktas mot Försvarsmakten
	och dess säkerhetsintressen ska förses med upplysning om på vilken av
	de angivna grunderna uppgiften behandlas.
	Om behandlingen av en personuppgift motiveras av något annat än
	ett antagande om att en person har utövat eller kommer att utöva
	brottslig verksamhet ska det särskilt anges att personen inte är misstänkt
	för brottslig verksamhet, om det inte på annat sätt klart framgår att en
	sådan misstanke inte finns. Uppgifter om en person som inte heller kan
	antas ha utövat eller komma att utöva annan säkerhetshotande
	verksamhet ska förses med en särskild upplysning om detta, om det inte
72	på annat sätt klart framgår att ett sådant antagande inte finns.

Prop. 2020/21:224 Utredningen föreslår att motsvarande bestämmelser, med vissa justeringar, bör införas i den nya lagen för Försvarsmakten. En skillnad är att uttrycken registerkontroll eller särskild personutredning ersätts med ordet säkerhetsprövning. På så sätt omfattas alla delar som ingår i en säkerhetsprövning enligt säkerhetsskyddslagen.

Utredningen föreslår vidare att personuppgifter ska få behandlas om uppgifterna är nödvändiga för att kartlägga verksamhet som kan hota rikets säkerhet eller terroristbrott enligt 2 § lagen om straff för terroristbrott eller enligt motsvarande äldre föreskrifter, underrättelseverksamhet riktad mot Försvarsmakten och dess säkerhetsintressen. Utredningen föreslår att detsamma ska gälla i fråga om annan säkerhetshotande verksamhet än brott som kan hota Sveriges säkerhet eller terroristbrott enligt 2 § lagen om straff för terroristbrott eller enligt motsvarande äldre föreskrifter och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften ska behandlas.

Datainspektionen ifrågasätter utredningens förslag i denna del som enligt myndigheten kan leda till att fler personuppgifter kan komma att behandlas inom ramen för den militära säkerhetstjänsten.

Regeringen anser att utredningens förslag på ett lämpligt sätt speglar Försvarsmaktens verksamhetsuppdrag för den militära säkerhetstjänsten. Någon ändring i sak i fråga om vilka personuppgifter som får behandlas är dock inte avsedd. I enlighet med vad som gäller enligt nuvarande ordning kommer det även fortsatt att krävas särskilda skäl för att Försvarsmakten ska få behandla vissa personuppgifter. Detta gäller för personuppgifter som är nödvändiga för att kartlägga annan säkerhetshotande verksamhet än sådan verksamhet som innefattar brott som kan hota Sveriges säkerhet eller terroristbrott enligt nuvarande eller tidigare lagstiftning, och som innefattar brott eller åsidosättande av skyldigheter i anställning hos Försvarsmakten. Det innebär att personuppgifter inte får behandlas vid en rent bagatellartad förseelse som inte ens om den upprepades eller sammantaget med annan verksamhet skulle föranleda någon åtgärd. Någon ytterligare omständighet krävs för att behandling ska få ske, t.ex. att det bedöms föreligga risk för upprepning eller att personen i fråga har en sådan position att uppföljning är nödvändig. Som en grundläggande förutsättning gäller att den säkerhetshotande verksamheten ska vara riktad mot Försvarsmakten och dess säkerhetsintressen (prop. 2006/07:46 s. 70– 71).

Regeringen föreslår en motsvarighet till nuvarande reglering om Försvarsmaktens behandling av personuppgifter inom myndighetens militära säkerhetstjänst, med utredningens föreslagna justeringar, ska föras in i den nya lagen.

74

7.2.4	Signalkontrollverksamhet	Prop. 2020/21:224
Regeringens förslag: Personuppgifter som ingår i eller har uppkommit
i samband med användning av totalförsvarets telekommunikations- och
informationssystem får behandlas i den militära säkerhetstjänsten för
att förhindra obehörig insyn i och påverkan av dessa system. Det gäller
även känsliga personuppgifter, personnummer och samordnings-
nummer samt personuppgifter, om den registrerade har lämnat sitt
uttryckliga samtycke till behandling eller på ett tydligt sätt har
offentliggjort uppgifterna.
Behandling som särskilt syftar till att identifiera en person får dock
endast utföras om det är nödvändigt för att kartlägga
– verksamhet som innefattar brott som kan hota Sveriges säkerhet
eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott
eller enligt motsvarande äldre föreskrifter,
– underrättelseverksamhet som riktas mot Försvarsmakten och dess
säkerhetsintressen, eller
– annan säkerhetshotande verksamhet än brott som kan hota Sveriges
säkerhet eller terroristbrott och som innefattar brott eller åsidosättande
av skyldigheter i anställning hos Försvarsmakten, och det finns
särskilda skäl till att uppgiften ska behandlas.
Försvarsmakten ska föra en förteckning över de behandlingar som
särskilt syftar till att identifiera en person och de uppgifter som har
utgjort anledningen till behandlingen.
Utredningens förslag överensstämmer delvis med regeringens.
Utredningen föreslår inte att Försvarsmakten ska föra en förteckning över
de behandlingar som särskilt syftar till att identifiera en person och de
uppgifter som utgjort anledningen till behandlingen.
Remissinstanserna yttrar sig inte särskilt över utredningens förslag.
Skälen för regeringens förslag: Enligt nuvarande ordning får
personuppgifter som ingår i eller har uppkommit i samband med
användning av totalförsvarets telekommunikations- och informations-
system behandlas för att förhindra obehörig insyn i och påverkan av dessa
system. Det gäller även känsliga personuppgifter och personnummer.
Försvarsmakten ska föra en förteckning över de behandlingar som särskilt
syftar till att identifiera en person och de uppgifter som utgjort anledningen
till behandlingen. En sådan förteckning har till syfte att möjliggöra
kontroll i efterhand av grunden för att en behandling utförts i syfte att
identifiera en person (1 kap. 11 § FM-PuL).
Utredningen föreslår att en motsvarande bestämmelse ska tas in i den
nya lagen med den skillnaden att behandling av personuppgifter för detta
ändamål även får avse sådana uppgifter som den enskilde har gjort
offentliga (se avsnitt 8.4). Enligt utredningens förslag ska det inte heller
ställas krav på en förteckning. Som skäl för detta anför utredningen att
Försvarsmakten är skyldig att spara sådana uppgifter redan på grund av
bl.a. lagens krav om rättslig grund och loggning. Enligt utredningens
förslag har även dataskyddsombudet till uppgift att föra förteckning över
myndighetens behandlingar.
Regeringen konstaterar att den förteckning som i vissa fall ska föras
inom ramen för signalkontrollverksamheten avser en specifik behandling		75

Prop. 2020/21:224 som syftar till att identifiera en person och de uppgifter som utgjort anledningen till behandlingen. Ifrågavarande förteckning skiljer sig därför från de förteckningar över myndighetens personuppgiftsbehandling som den personuppgiftsansvarige ska föra (se avsnitt 11.4). Med hänsyn till förteckningens värde ur ett integritetsskyddsperspektiv bör ett motsvarande krav även införas i den nya lagen. Med den justeringen bör utredningens förslag genomföras.

7.2.5Ärendehandläggning och liknande uppgifter

Regeringens förslag: Försvarsmakten får behandla personuppgifter om det är nödvändigt för diarieföring, arkivering eller handläggning av ett ärende eller för att utföra andra liknande uppgifter som myndigheten har.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen använder uttrycket rättslig grund.

Remissinstanserna yttrar sig inte särskilt över utredningens förslag. Skälen för regeringens förslag: Tillämpningsområdet för den nya

lagen inbegriper även administrativ verksamhet hos Försvarsmakten. Enligt nuvarande ordning regleras detta i personuppgiftslagen och FM- PuL saknar därför bestämmelser om diarieföring, arkivering eller handläggning av ärenden eller andra liknande uppgifter som Försvarsmakten har. Regeringen anser, i likhet med utredningen, att det av den nya lagen bör framgå att myndigheten även får behandla personuppgifter kopplade till sådana åtgärder.

Försvarsmakten har elektroniska ärendehanteringssystem i vilka person- uppgifter är sökbara enligt särskilda kriterier och behörigheter. Diarie- föringen vid Försvarsmakten avser handlingar som rör Sveriges försvar och säkerhet. Detsamma gäller de arkiverade handlingarna. Ärende- handläggningen vid myndigheten kan t.ex. avse skadeståndsärenden, tillträdesärenden där en annan stat begär att få tillträde till svenskt territorium, ärenden inom Försvarsmaktens tillsyns- och inspektions- verksamhet, ärenden då Försvarsmakten ansöker om miljötillstånd, ärenden enligt förfogandelagstiftningen, ärenden om kvalificerade skyddsidentiteter och ärenden om utlämnande av allmän handling. Myndigheten är också skyldig att t.ex. besvara frågor rörande Sveriges försvar och att kommunicera med anställda eller värnpliktiga i frågor som rör deras tjänst. Det förekommer också ärenden om utvärdering av den egna verksamheten såsom tidredovisning, lönesättning och sjuktal.

Som utredningen föreslår bör den behandling av personuppgifter som uppkommer i bl.a. dessa verksamheter omfattas av den nya lagen. I avsnitt

7.2.1behandlas även vissa bestämmelser i övrigt som kommer att bli tillämpliga i Försvarsmaktens administrativa verksamhet.

76

7.3

Försvarets radioanstalt

Prop. 2020/21:224

7.3.1Försvarets radioanstalts försvarsunderrättelseverksamhet

Regeringens förslag: Personuppgifter får behandlas i Försvarets radioanstalts försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen om försvarsunder- rättelseverksamhet och lagen om signalspaning i försvarsunderrättelse- verksamhet.

De personuppgifter som Försvarets radioanstalt har fått tillgång till i sin försvarsunderrättelseverksamhet får även fortsätta behandlas i den verksamheten, om det behövs för att fullgöra den. Detta gäller dock endast om inte något annat följer av den nya lagen eller en förordning som har meddelats i anslutning till lagen.

Personuppgifter som Försvarets radioanstalt behandlar i försvars- underrättelseverksamheten får myndigheten även behandla om det är nödvändigt för att tillhandahålla information som behövs

1.i verksamhet hos berörda myndigheter som avses i 2 § lagen (2000:130) om försvarsunderrättelseverksamhet,

2.med anledning av samarbete med andra länder och internationella organisationer enligt lagen om försvarsunderrättelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet,

3.i Försvarets radioanstalts utvecklingsverksamhet för det ändamål som gäller för den verksamheten,

4.i Försvarets radioanstalts informationssäkerhetsverksamhet för det ändamål som gäller för den verksamheten, eller

5.för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Datainspektionen anser att behovet av att ta bort

nuvarande krav på preciserad inriktning för att kunna bedriva en effektiv underrättelseverksamhet bör vägas mot lagstiftarens skäl för att införa begränsningen. Datainspektionen ställer sig vidare tveksam till utredningens bedömning att förslaget till sekundära ändamåls- bestämmelser utgör en kodifiering av gällande finalitetsprincip. Statens inspektion för försvarsunderrättelseverksamheten anser att det är sannolikt att ett borttaget krav på en anknytning till en preciserad inriktning vid personuppgiftsbehandling leder till att fler personuppgifter behandlas och därmed medför en risk för ökat integritetsintrång för den enskilde. Myndigheten pekar vidare på risken för ett ökat integritetsintrång för den enskilde då utbyten av personuppgifter mellan försvarsunderrättelse- verksamheten och informationssäkerhetsverksamheten innebär att uppgifterna kommer fler till del.

77

Prop. 2020/21:224 för att som tidigare enbart grundas på den lagstadgade finalitetsprincipen. Finalitetsprincipen, som även föreslås komma till uttryck i den nya lagen, gäller därutöver.

Förslaget i denna del är enligt regeringen att betrakta som ett tydliggörande i förhållande till befintlig bestämmelse i FRA-PuL om finalitetsprincipen. Med hänsyn till de behov av skyddsåtgärder som finns på försvarsunderrättelse- och informationssäkerhetsområdet kan det, som Statens inspektion försvarsunderrättelseverksamheten påpekar, förväntas att utbytet av personuppgifter inom Försvarets radioanstalt kan komma att öka. Som behandlas i avsnitt 11.3.2 ska det även fortsatt framgå av lag att tillgången till personuppgifter ska begränsas till vad var och en behöver för att fullgöra sina arbetsuppgifter. Det begränsade intrång i den personliga integriteten som förslaget innebär får anses vara acceptabelt i förhållande till verksamheternas syfte.

Försvarets radioanstalts personaladministrativa verksamhet omfattas inte av den nya lagen

Utredningen föreslår inte att den nya lagen ska omfatta även personal- administrativ verksamhet hos Försvarets radioanstalt. Regeringen anser att en sådan ordning i och för sig skulle kunna övervägas. Det saknas dock beredningsunderlag för att göra detta inom ramen för nu aktuellt lagstiftningsprojekt.

7.3.2Utvecklingsverksamhet

Regeringens förslag: Försvarets radioanstalt får i utvecklings- verksamheten behandla personuppgifter om det är nödvändigt för försvarsunderrättelseverksamheten för att

1.följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, och

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Personuppgifter som behandlas i Försvarets radioanstalts utvecklingsverksamhet får myndigheten även behandla om det är nödvändigt för att tillhandahålla information som behövs

1.med anledning av samverkan med annan i fråga om utvecklings- verksamhet,

2.med anledning av samarbete om utvecklingsverksamhet med utländsk underrättelse- eller säkerhetstjänst enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet,

3.i Försvarets radioanstalts försvarsunderrättelseverksamhet för det ändamål som gäller för den verksamheten,

4.i Försvarets radioanstalts informationssäkerhetsverksamhet för det ändamål som gäller för den verksamheten, eller

5.för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall.

Utredningens förslag överensstämmer i huvudsak med regeringens.

80

Remissinstanserna: Försvarets radioanstalt tillstyrker utredningens Prop. 2020/21:224 förslag. Övriga remissinstanser yttrar sig inte över utredningens förslag.

Skälen för regeringens förslag

Behandling av personuppgifter i utvecklingsverksamheten

Försvarets radioanstalt ska enligt sin instruktion särskilt följa förändringen av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet. Myndigheten ska också fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten enligt lagen om signalspaning i försvarsunderrättelseverksamhet, som anger att signaler i elektronisk form får inhämtas vid signalspaning för dessa syften. Myndigheten ska enligt sin instruktion även utföra matematiska bedömningar av kryptosystem för totalförsvaret samt biträda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspaningssystem.

När teknik utvecklas och när nya metoder för forcering av krypterad information arbetas fram används oftast autentiskt signalspaningsmaterial för att man ska kunna vara säker på teknikens riktighet. Det autentiska materialet kan innehålla personuppgifter. Stöd för denna personuppgifts- behandling finns för närvarande i 1 kap. 9 § FRA-PuL. Enligt bestämmelsen får personuppgifter behandlas av Försvarets radioanstalt om det är nödvändigt för att följa förändringar av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, och fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten. I enlighet med utredningens förslag bör en motsvarande bestämmelse införas i den nya lagen.

Behandling av personuppgifter för sekundära ändamål

Från integritetsskyddssynpunkt är det en fördel att så långt som möjligt precisera i vilka fall personuppgiftsbehandling får ske för annat ändamål än det ändamål enligt vilket uppgifterna har samlats in (jfr avsnitt 7.3.1).

Den information som Försvarets radioanstalt strävar efter att finna och rapportera, i syfte att tillgodose uttryckta underrättelsebehov, är ofta konfidentiell och således skyddsvärd för den källa som hanterar informationen. Informationen är därför ofta försedd med någon form av åtkomstskydd för att förhindra obehörig åtkomst. För att framgångsrikt kunna bedriva försvarsunderrättelseverksamhet krävs därför aktuell och ingående kunskap dels om hur signaler förmedlas och hanteras i elektronisk form, dels om de mekanismer som används för att skydda informationen. Personuppgifter som behandlas i Försvarets radioanstalts utvecklingsverksamhet bör därför även få behandlas om det är nödvändigt för att tillhandahålla information som behövs i samverkan med annan avseende utvecklingsverksamhet eller med anledning av samarbete om utvecklingsverksamhet med utländsk underrättelse- eller säkerhetstjänst enligt lagen om signalspaning i försvarsunderrättelseverksamhet.

Eftersom utvecklingsverksamheten syftar till att främja försvarsunder- rättelseverksamheten är det inte oförenligt med det ändamål för vilket uppgifterna samlas in att uppgifterna också behandlas för att tillhandahålla information som behövs i försvarsunderrättelseverksamheten. Detta bör

som utredningen föreslår komma till uttryck i den nya lagen.

81

Prop. 2020/21:224 Försvarets radioanstalts utvecklingsverksamhet har också betydelse för myndighetens informationssäkerhetsverksamhet. Även i detta fall är det inte oförenligt med det ändamål för vilket uppgifterna samlats in att de också behandlas för att tillhandahålla information i den verksamheten.

Den föreslagna regleringen innebär således att personuppgifts- behandling för vissa sekundära ändamål uttryckligen anges i lagen i stället för att som tidigare enbart grundas på den lagstadgade finalitetsprincipen. Finalitetsprincipen, som även föreslås komma till uttryck i den nya lagen, gäller därutöver.

7.3.3Informationssäkerhetsverksamhet

Regeringens förslag: Personuppgifter får behandlas i Försvarets radioanstalts informationssäkerhetsverksamhet om det är nödvändigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller beslut av regeringen i ett enskilt fall.

Personuppgifter som behandlas i Försvarets radioanstalts informationssäkerhetsverksamhet får myndigheten även behandla om det är nödvändigt för att tillhandahålla information som behövs

1.i verksamhet hos den som tar emot informationssäkerhetsuppgifter,

2.med anledning av samverkan med andra som verkar på informationssäkerhetsområdet såväl inom som utom landet i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall,

3.i Försvarets radioanstalts försvarsunderrättelseverksamhet när det gäller att kartlägga allvarliga yttre hot mot samhällets infrastruktur och främmande underrättelseverksamhet mot svenska intressen, samt

4.i Försvarets radioanstalts utvecklingsverksamhet för det ändamål som gäller för den verksamheten.

Utredningens förslag överensstämmer i huvudsak med regeringens Remissinstanserna: Försvarets radioanstalt tillstyrker utredningens

förslag. Statens inspektion för försvarsunderrättelseverksamheten påminner om att myndigheten inte har fått till uppgift att granska Försvarets radioanstalts informationssäkerhetsverksamhet.

Skälen för regeringens förslag

Behandling av personuppgifter i informationssäkerhetsverksamheten

Försvarets radioanstalt har i uppdrag att vara statens resurs för teknisk informationssäkerhet och ska ha hög kompetens inom informations- säkerhetsområdet. Myndigheten får efter begäran stödja myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende samt tilldela säkra kryptografiska funktioner till ett antal civila myndigheter och organisationer (4 § förordningen med instruktion för Försvarets radioanstalt och 17 § förordningen om totalförsvar och höjd

beredskap). Försvarets radioanstalts stöd innebär bl.a. att Försvarets

82

Prop. 2020/21:224 myndighet eller en annan aktör för vars räkning Försvarets radioanstalt har utfört aktiva it-kontroller eller installerat ett tekniskt detekterings- och varningssystem. Försvarets radioanstalts stöd till vissa skyddsvärda aktörer på informationssäkerhetsområdet är av stor betydelse för Sveriges säkerhet, men är också av avgränsad omfattning.

Med hänsyn till detta anser regeringen att lagrådsremissens lagförslag är både ändamålsenligt och tillräckligt tydligt. Det bör därför stå kvar.

Vidare bör behandling få ske om det är nödvändigt för att tillhandahålla information som behövs med anledning av samverkan med andra som verkar på informationssäkerhetsområdet såväl inom som utom landet. Som utredningen föreslår bör behandling av personuppgifter i dessa fall få ske enbart i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall.

En nära samverkan mellan försvarsunderrättelseverksamheten och informationssäkerhetsverksamheten är av stor betydelse. För försvars- underrättelseverksamheten är det angeläget att kunna ta del av uppgifter från informationssäkerhetsverksamheten när det gäller att kartlägga allvarliga yttre hot mot samhällets infrastruktur och främmande underrättelseverksamhet. Regeringen anser att personuppgifter därför även bör få behandlas om det är nödvändigt för att tillhandahålla information av detta slag. Försvarets radioanstalt har därvid att förhålla sig till de bestämmelser som gäller för försvarsunderrättelseverksamheten.

Försvarets radioanstalts informationssäkerhetsverksamhet är även av betydelse för myndighetens utvecklingsverksamhet. Personuppgifter som Försvarets radioanstalt får behandla i myndighetens informations- säkerhetsverksamhet bör därför även få behandlas om det är nödvändigt för att tillhandahålla information som behövs i utvecklingsverksamheten.

Den föreslagna regleringen innebär således att personuppgifts- behandling för vissa sekundära ändamål uttryckligen regleras i lag, i stället för att, som hittills, hanteras i enlighet med finalitetsprincipen. Avsikten är att skapa ökad tydlighet. Finalitetsprincipen gäller därutöver.

	7.4	Behandling av allmänt tillgänglig information
	Regeringens förslag: Försvarsmakten får behandla personuppgifter
	som utgör allmänt tillgänglig information om det är nödvändigt för
	myndighetens försvarsunderrättelseverksamhet eller militära säkerhets-
	tjänst, eller vid planering, förberedelse och genomförande av annan
	verksamhet som rör Sveriges försvar och säkerhet eller internationellt
	försvars- och säkerhetssamarbete.
	Försvarets radioanstalt får behandla personuppgifter som utgör
	allmänt tillgänglig information om det är nödvändigt för de ändamål
	som anges för försvarsunderrättelse- och utvecklingsverksamheten och
	informationssäkerhetsverksamheten.
	Utredningens förslag överensstämmer i sak med regeringens.
	Remissinstanserna: Försvarets radioanstalt välkomnar utredningens
	förslag.
	Skälen för regeringens förslag: För att kunna bedriva en effektiv
84	försvarsunderrättelseverksamhet behöver Försvarsmakten och Försvarets

Prop. 2020/21:224 behoven finns möjligheter att identifiera ursprunget till skadlig kod och att löpande kunna bevaka vad som redan är känt avseende sårbarheter i mjuk- och hårdvaror.

Antalet personuppgifter i Försvarsmaktens och Försvarets radioanstalts referensdatabaser kan bli mycket stort. Även om personuppgifterna är allmänt tillgängliga innebär det stora antalet personuppgifter en form av integritetsintrång. De föreslagna ändamål som behandlas i avsnitten 7.2 och 7.3 omfattas i och för sig av den ovan beskrivna behandlingen av personuppgifter. För att undvika oklarheter i rättstillämpningen bör stödet för sådan behandling dock komma till tydligt uttryck i lagtexten i linje med utredningens förslag.

7.5Behandling för vetenskapliga, statistiska eller historiska ändamål

Regeringens förslag: Försvarsmakten och Försvarets radioanstalt får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom de föreslagna lagarnas tillämpningsområden.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår även en ändamålsbestämmelse för behandling av personuppgifter vid begäran om information av enskilda eller vid tillsyn.

Remissinstanserna: Försvarets radioanstalt välkomnar utredningens förslag om ett särskilt ändamål för behandling av personuppgifter vid begäran om information av enskilda eller vid tillsyn. Datainspektionen anser att det inte är nödvändigt att i de nya lagarna ange att Försvarsmakten och Försvarets radioanstalt ska kunna behandla personuppgifter för att kunna tillgodose enskildas behov av information och för att kunna lämna information vid tillsyn och kontroll.

Skälen för regeringens förslag

Behandling ska få ske för vetenskapliga, statistiska eller historiska ändamål

Möjligheten att bevara personuppgifter som behandlas automatiserat för vetenskapliga, statistiska eller historiska ändamål är enligt FM-PuL och FRA-PuL kopplad till regler om gallring. Enligt lagarna ska personuppgifter gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i enskilt fall beslutat att gallring ska ske senast vid viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål (6 kap. 1 §). Riksarkivet har rätt att besluta om bevarande. Ett sådant beslut får till följd att uppgifterna inte gallras (12 § FM-PuF och FRA-PuF).

Regeringen konstaterar att vikten av att kunna behandla personuppgifter för vetenskapliga, statistiska eller historiska syften gör sig gällande även för den verksamhet som regleras i de nya lagarna. Som utredningen föreslår bör det i de nya lagarna därför anges att personuppgifter får

behandlas för vetenskapliga, statistiska och historiska ändamål.

86

Det behövs inget särskilt ändamål för informationsgivning eller tillsyn Prop. 2020/21:224

Enligt utredningen och Försvarets radioanstalt bör det i de nya lagarna även införas en bestämmelse om att respektive myndighet får behandla personuppgifter för att kunna tillgodose enskildas behov av information och behovet av information vid tillsyn och kontroll. Som Datainspektionen uppmärksammar saknar utredningens förslag motsvarighet i annan dataskyddslagstiftning och behovet av en sådan bestämmelse kan ifrågasättas. De aktuella situationerna medför en nödvändig behandling av personuppgifter, på motsvarande sätt som vid myndigheternas planering, uppföljning och utvärdering av verksamheten, dvs. behandling som får ske utan att det finns behov av en särskild ändamålsbestämmelse (se Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, prop. 2004/05:164 s. 179 och Åklagardatalag, prop. 2014/15:63 s. 63).

Regeringen anser att utredningens förslag i denna del inte bör genomföras.

7.6 Behandling av uppgifter om lagöverträdelser

Regeringens förslag: Försvarsmakten får behandla personuppgifter som rör lagöverträdelser om det är nödvändigt för myndighetens verksamhet.

Utredningen lämnar inte något förslag i denna del. Remissinstanserna: Försvarsmakten anför att myndigheten i sin

verksamhet har behov av att behandla personuppgifter som rör lagöverträdelser.

Skälen för regeringens förslag: Myndigheter får enligt dataskydds- lagen behandla uppgifter om lagöverträdelser (3 kap. 8 §). Motsvarande reglering fanns tidigare i den numera upphävda personuppgiftslagen (21 §).

Försvarsmakten behandlar för närvarande personuppgifter som rör lagöverträdelser inom ramen för exempelvis militär säkerhetstjänst vilket framgår av de tillåtna ändamålen för personuppgiftsbehandling (1 kap.

10 § FM-PuL). Att uppgifter rörande lagöverträdelser kommer att behandlas även framöver framgår av de föreslagna ändamålen för personuppgiftsbehandling för militär säkerhetstjänst (se avsnitt 7.2.3). Ändamålen omfattar exempelvis kartläggning av verksamhet som kan innefatta brott samt uppgifter som framkommit inom ramen för säkerhetsprövning enligt säkerhetsskyddslagen. I en säkerhetsprövning görs en registerkontroll, vilket innebär att uppgifter som rör lagöverträdelser behandlas avseende de individer som får utfall i registerkontrollen. Misstankar om brott som Försvarsmakten behandlar inom ramen för dessa ändamål utgör uppgifter om lagöverträdelser (prop. 2017/18:105 s. 98–99).

Försvarsmakten kan även inom ramen för sin personaladministrativa verksamhet behöva behandla personuppgifter som rör lagöverträdelser. Som Försvarsmakten anför bör den nya lagen därför innehålla en

bestämmelse som innebär att Försvarsmakten får behandla person-

87

Prop. 2020/21:224 uppgifter som rör lagöverträdelser om det är nödvändigt för myndighetens verksamhet. Regeringen föreslår att lagtexten utformas i enlighet med detta.

8Behandlingen av personuppgifter

8.1Personuppgifter ska behandlas enligt vissa villkor

8.1.1Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt

Regeringens förslag: Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans invänder mot utredningens

förslag.

Skälen för regeringens förslag: Försvarsmakten respektive Försvarets radioanstalt ska enligt nuvarande ordning se till att personuppgifter behandlas bara om det är lagligt och att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed (1 kap. 6 § 1 och 2 FM-PuL och FRA-PuL, jfr 1 kap. 9 § RF och 5 § förvaltningslagen [2017:900]). Som utredningen föreslår bör detta, med vissa språkliga justeringar, komma till uttryck även i de nya lagarna.

8.1.2Personuppgifter ska vara riktiga, adekvata och relevanta

Regeringens förslag: De personuppgifter som behandlas ska vara riktiga och, om det är nödvändigt, uppdaterade. Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Ingen remissinstans invänder mot utredningens

förslag.

Skälen för regeringens förslag

Personuppgifter ska vara riktiga och – om nödvändigt – uppdaterade

Enligt gällande rätt ska Försvarsmakten respektive Försvarets radioanstalt

se till att de personuppgifter som behandlas är riktiga och, om det är

88

nödvändigt, aktuella (1 kap. 6 § 7 FM-PuL och FRA-PuL). Detta bör, som Prop. 2020/21:224 utredningen föreslår, gälla även fortsättningsvis. I linje med annan dataskyddslagstiftning bör ordet aktuella ersättas med uppdaterade.

En uppgift är riktig om den stämmer överens med de verkliga förhållandena. För att bestämma vilka verkliga förhållanden som person- uppgifterna ska spegla får ledning sökas i ändamålen med behandlingen. Bedömningen av om en personuppgift är riktig ska emellertid inte utgå från enbart ändamålen med behandlingen. Att uppgifter som förekommer bl.a. i försvarsunderrättelseverksamheten har en särskild karaktär måste också beaktas. Frågan om en uppgift är riktig måste därför även ses mot bakgrund av vad uppgiften rör, när den lämnas och vem som lämnar den.

Kravet på att de behandlade uppgifterna ska vara uppdaterade bör enbart gälla om det är nödvändigt. Frågan om det är nödvändigt att uppgifterna är uppdaterade får avgöras med hänsyn till ändamålen med behandlingen. Ett tänkbart exempel kan vara adressuppgifter som ändras under handläggningen av ett ärende och därmed behöver uppdateras. Som utredningen föreslår bör de nya lagarna innehålla bestämmelser om detta.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt

En bestämmelse om att uppgifter som beskriver en persons utseende alltid ska utformas på ett objektivt sätt och med respekt för människovärdet finns

iFM-PuL (1 kap. 12 § andra stycket andra meningen) och i FRA-PuL (1 kap. 11 § andra stycket andra meningen). Regeringen anser i likhet med utredningen att motsvarande innehåll bör tas in i de nya lagarna.

Personuppgifter ska vara adekvata och relevanta

Försvarsmakten respektive Försvarets radioanstalt ska enligt nuvarande ordning se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (1 kap. 6 § 5 och 6 FM-PuL och FRA-PuL). Att personuppgifter ska vara adekvata och relevanta innebär bl.a. att ovidkommande personuppgifter inte får behandlas. Vilka uppgifter som är adekvata och relevanta måste enligt regeringens mening bedömas i förhållande till ändamålen med behandlingen. Detsamma gäller hur många personuppgifter det finns behov av att behandla.

Som utredningen föreslår bör motsvarande bestämmelser föras in i de nya lagarna.

89

Prop. 2020/21:224 8.2		Behandling av känsliga personuppgifter
	Regeringens förslag: Personuppgifter som avslöjar ras, etniskt
	ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller
	medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell
	läggning får inte behandlas. Om personuppgifter behandlas får de dock
	kompletteras med sådana uppgifter när det är absolut nödvändigt för
	ändamålen med behandlingen.
	Biometriska uppgifter får behandlas om det är absolut nödvändigt för
	ändamålen med behandlingen.
	Genetiska uppgifter får inte behandlas.
	Vid sökning får personuppgifter som avslöjar ras, etniskt ursprung,
	politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap
	i fackförening eller som rör hälsa, sexualliv eller sexuell läggning
	användas som sökbegrepp om det är absolut nödvändigt för ändamålen
	med behandlingen. Detsamma gäller biometriska uppgifter.
	Utredningens förslag överensstämmer i sak med regeringens.
	Remissinstanserna: Datainspektionen anser att sökförbudet avseende
	känsliga personuppgifter bör utformas enligt samma modell som har
	föreslagits	i fråga om Säkerhetspolisen (SOU 2017:74). Enligt

Datainspektionen bör det även övervägas om sökningar på känsliga personuppgifter bör dokumenteras särskilt.

	Skälen för regeringens förslag
	Uppgifter om ras, politiska åsikter, religiös eller filosofisk övertygelse,
	medlemskap i fackförening, hälsa eller sexualliv
	Uppgifter om en persons ras eller etniska ursprung, politiska åsikter,
	religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa
	eller sexualliv får enligt gällande rätt behandlas endast som komplement
	till personuppgifter som behandlas på annan grund. Detta förutsätter att
	behandlingen är absolut nödvändig med hänsyn till syftet med
	behandlingen. Vid sökning ska sådana känsliga personuppgifter få
	användas som sökbegrepp endast om det är absolut nödvändigt med
	hänsyn till syftet med behandlingen (1 kap. 12 § FM-PuL och 1 kap. 11 §
	FRA-PuL).
	I samband med tillkomsten av FM-PuL och FRA-PuL framhölls i
	förarbetena till lagarna att Försvarsmakten och Försvarets radioanstalt
	många gånger har ett befogat intresse av att kunna registrera och på annat
	sätt behandla känsliga personuppgifter i de verksamheter som omfattas av
	förslagen. Det kan t.ex. vara nödvändigt inom ramen för Sveriges
	deltagande i internationella fredsbevarande och humanitära insatser. I
	dessa uppdrag ingår ofta att skydda en viss minoritet. För att de svenska
	enheterna inom en sådan mission ska kunna utföra sina uppgifter kan det
	därför vara nödvändigt att uppgifter behandlas rörande t.ex. etnisk
	härkomst eller religiös övertygelse. Här bidrar såväl den militära
	underrättelse- och säkerhetstjänsten som Försvarets radioanstalt med
	underrättelser. Även i övrigt finns det ett behov av att kunna behandla
	känsliga personuppgifter. Ofta är just det faktum att en person tillhör ett
90	politiskt parti eller annan organisation av grundläggande betydelse från

försvarsunderrättelse- eller säkerhetstjänstsynpunkt. En sådan Prop. 2020/21:224 omständighet får dock aldrig utgöra ensam grund för behandlingen. Det

ligger således i verksamhetens natur att denna typ av uppgifter kan ha en betydelse för resultatet av den slutliga analysen (prop. 2006/07:46 s. 74– 75).

I den verksamhet som omfattas av detta lagstiftningsärende är fortsatt uppgifter om etniskt ursprung, politiska åsikter och religiös övertygelse sådana faktorer som är av stor betydelse när det gäller att bedöma personers eller gruppers agerande i ett ur försvarsunderrättelseperspektiv relevant avseende. Allmänt gäller att stor försiktighet måste iakttas vid all behandling av känsliga personuppgifter. Regeringen anser, i likhet med utredningen, att det i de nya lagarna därför bör anges att sådan behandling endast får äga rum då det är absolut nödvändigt för verksamheten. Detta för att markera att denna möjlighet ska användas mycket restriktivt. Försvarsmakten respektive Försvarets radioanstalt bör vidare, på samma sätt som hittills, få behandla känsliga personuppgifter om en person endast om uppgifterna kompletterar personuppgifter som behandlas på annan grund.

Biometriska och genetiska uppgifter

Med biometriska uppgifter avses enligt förslaget personuppgifter som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar identifiering av personen i fråga (se avsnitt 6.5). Försvarsmakten och Försvarets radioanstalt behandlar biometriska uppgifter i sina försvarsunderrättelseverksamheter, och Försvarsmakten behandlar även sådana uppgifter inom ramen för den militära säkerhetstjänsten. Inom signalspaningen får det betraktas som självklart att t.ex. en persons röstprofil, vilket är en biometrisk uppgift, behöver kunna behandlas i identifieringssyfte. Att kunna göra korrekta identifieringar är av avgörande betydelse vid bedömning av källors trovärdighet och informations sakriktighet.

Bestämmelsen om att känsliga personuppgifter endast får behandlas såsom komplement till personuppgifter som behandlas på annan grund är inte tillämplig när det gäller biometriska personuppgifter, t.ex. oidentifierade avtryck eller spår. Som utredningen anför finns det därför skäl att reglera behandlingen av biometriska uppgifter särskilt. Försvarsmakten och Försvarets radioanstalt bör få behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Biometriska uppgifter bör också få behandlas vid sökning om det är absolut nödvändigt för ändamålen med behandlingen.

Med genetiska uppgifter avses personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som framför allt härrör från analys av ett spår av eller ett biologiskt prov från personen i fråga (se avsnitt 6.5). Det innebär att ett dna-spår eller ett dna-prov som sådant inte utgör genetiska uppgifter, utan det är enbart den information som kan tas fram ur spåret eller provet som utgör sådana uppgifter (prop. 2018/19:163 s. 77).

91

absolut nödvändighet är en grundförutsättning för sådana sökningar. Prop. 2020/21:224 Skyddet för den enskildes integritet ges på så sätt ett starkt och nödvändigt

skydd. Regeringen anser att detta utgör en väl avvägd balans mellan verksamhetens krav och integritetsskyddet för enskilda. Någon justering i förhållande till utredningens förslag bör därför inte göras.

8.3Behandling av personnummer och samordningsnummer

Regeringens förslag: Uppgifter om personnummer eller samordnings- nummer får behandlas bara när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Utredningens förslag överensstämmer delvis med regeringens förslag. Utredningen föreslår inte att regleringen ska gälla för Försvarets radioanstalt.

Remissinstanserna: Försvarets radioanstalt instämmer i utredningens bedömning att myndigheten i liten omfattning behandlar personnummer och samordningsnummer. Datainspektionen ifrågasätter utredningens ställningstagande i fråga om Försvarets radioanstalt.

Skälen för regeringens förslag: Enligt nuvarande reglering får uppgifter om personnummer eller samordningsnummer bara behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl (1 kap. 13 § FM-PuL och 1 kap. 12 § FRA-PuL).

Försvarsmaktens försvarsunderrättelseverksamhet och militära säker- hetstjänst respektive Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet grundas inte på samtycke från den enskilde. Försvarsunderrättelseverksamheten är inriktad på utländska förhållanden och det är inte vanligt förekommande att personnummer och samordnings- nummer behandlas inom denna verksamhet. Detsamma gäller i fråga om Försvarets radioanstalts informationssäkerhetsverksamhet.

För Försvarsmaktens verksamhet innebär den nya lagen ett utökat tillämpningsområde i förhållande till FM-PuL, vilket medför att myndigheten kommer att behandla personnummer och samordnings- nummer i stor utsträckning, bl.a. när det gäller egen personal. En bestämmelse som motsvarar nuvarande ordning bör, som utredningen föreslår, införas i den nya lagen om behandling av personuppgifter vid Försvarsmakten.

Utredningen föreslår inte någon bestämmelse om behandling av personnummer och samordningsnummer för Försvarets radioanstalt. Till skillnad från utredningen och Försvarets radioanstalt anser regeringen dock inte att det faktum att Försvarets radioanstalt i endast begränsad utsträckning behandlar personnummer och samordningsnummer innebär att det saknas skäl att reglera detta. I den mån sådan behandling aktualiseras bör motsvarande regelverk gälla även för Försvarets radioanstalt. Regeringen föreslår att en sådan bestämmelse införs i den nya

lagen om behandling av personuppgifter vid Försvarets radioanstalt.

93

Prop. 2020/21:224 8.4

Behandling av offentliggjorda personuppgifter

Regeringens förslag: Försvarsmakten får behandla andra känsliga personuppgifter än genetiska uppgifter samt personnummer och samordningsnummer, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller har offentliggjort personuppgifterna på ett tydligt sätt.

Försvarets radioanstalt får behandla andra känsliga personuppgifter än genetiska uppgifter samt personnummer och samordningsnummer, om den registrerade har offentliggjort personuppgifterna på ett tydligt sätt.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens förslag. Skälen för regeringens förslag: FM-PuL och FRA-PuL saknar

bestämmelser om att bl.a. känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt har offentliggjort uppgifterna. Som utredningen föreslår bör en sådan reglering, med undantag för genetiska uppgifter, på ett för Försvarsmakten och Försvarets radioanstalt anpassat sätt införas i de nya lagarna.

IFörsvarets radioanstalts försvarsunderrättelse- och utvecklings- verksamhet och informationssäkerhetsverksamhet och Försvarsmaktens försvarsunderrättelseverksamhet aktualiseras inte några samtyckes- situationer. Sådana situationer kan emellertid förekomma i Försvars- maktens övriga verksamhet, exempelvis i Försvarsmaktens militära säkerhetstjänst vid säkerhetsprövningar. Regeringen föreslår, i likhet med utredningen, att Försvarsmakten ska få behandla andra känsliga personuppgifter än genetiska uppgifter samt personnummer och samordningsnummer, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen.

I enlighet med utredningens förslag bör Försvarsmakten och Försvarets radioanstalt också få behandla andra känsliga personuppgifter än genetiska uppgifter samt personnummer och samordningsnummer, om den registrerade på ett tydligt sätt har offentliggjort uppgifterna. Ett tydligt offentliggörande kan ske t.ex. genom att den registrerade gör uppgifterna tillgängliga på internet. Enligt utredningens förslag får enbart Försvars- makten behandla personnummer och samordningsnummer i en sådan situation. Regeringen anser inte att denna skillnad är sakligt motiverad och föreslår därför att detsamma även ska gälla för Försvarets radioanstalt.

8.5Behandling av personuppgifter i vissa fall

Regeringens förslag: Försvarets radioanstalts och Försvarsmaktens hantering av information som innebär behandling av personuppgifter ska inte anses oförenlig med bestämmelserna om tillåtlighet, grundläggande krav, känsliga personuppgifter, personnummer och samordningsnummer, i det skede av behandlingen då det ännu inte har

kunnat fastställas vilka personuppgifter som informationen innehåller.

94

Prop. 2020/21:224 regeringen, eller den myndighet som regeringen bestämmer, meddela föreskrifter eller beslut i ett enskilt fall om att personuppgifter får behandlas under endast viss tid. En sådan ordning gäller enligt nuvarande ordning och bör lämpligen gälla även enligt de nya lagarna.

I de nya lagarna bör det även föras in upplysningsbestämmelser om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter eller beslut i ett enskilt fall om att personuppgifter får fortsätta behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. Förslaget påverkar inte Försvars- maktens och Försvarets radioanstalts möjligheter att arkivera och bevara allmänna handlingar, eller att lämna arkivmaterial till en arkivmyndighet.

9Gemensamt tillgängliga personuppgifter

Regeringens förslag: Personuppgifter får göras gemensamt tillgängliga vid Försvarsmakten om det behövs för något av de ändamål för vilka myndigheten får behandla personuppgifter.

Personuppgifter som görs gemensamt tillgängliga inom Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst ska även fortsättningsvis behandlas i uppgiftssamlingar.

Personuppgifter får göras gemensamt tillgängliga vid Försvarets radioanstalt och behandlas i uppgiftssamlingar om det behövs för de ändamål som anges i den nya lagen.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Försvarsmakten anser att utredningens lagförslag

bör gälla generellt för myndigheten. Myndigheten förordar vidare att uppgiftssamlingar endast ska användas för gemensamt tillgängliga uppgifter i myndighetens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Övriga remissinstanser yttrar sig inte särskilt över utredningens förslag.

Skälen för regeringens förslag

Nuvarande reglering om gemensamt tillgängliga uppgifter

	Enligt FM-PuL och FRA-PuL är en uppgiftssamling en samling med
	uppgifter som med hjälp av automatiserad behandling används gemensamt
	(1 kap. 4 §). Personuppgifter får, under de förutsättningar som anges i
	lagarna, behandlas i uppgiftssamlingar för Försvarsmaktens försvars-
	underrättelseverksamhet och militära säkerhetstjänst samt för Försvarets
	radioanstalts	försvarsunderrättelse-	och	utvecklingsverksamhet.
	Regeringen kan också meddela föreskrifter eller beslut i enskilda fall om
	vilka uppgiftssamlingar som får finnas och vilka uppgifter som får
	behandlas i respektive samling (1 kap. 7 § FM-PuL och FRA-PuL).
	Ordet uppgiftssamling är avsett att vara teknikneutralt. Avgörande för
	när automatiserat behandlade uppgifter ska anses ingå i en uppgiftssamling
	är att uppgifterna används gemensamt av Försvarsmakten eller Försvarets
98	radioanstalt i	en viss verksamhet för	de	ändamål som ska styra

behandlingen av uppgifter inom verksamheten. När en handläggare arbetar Prop. 2020/21:224 med ordbehandling lagras uppgifter elektroniskt på hårddisken i en dator

eller i en server hos Försvarsmakten eller Försvarets radioanstalt. Uppgiften är då typiskt sett åtkomlig endast för handläggaren själv och systemadministratören vid myndigheten. En sådan uppgift bör därför inte anses vara gemensamt tillgänglig. Syftet med sådan tillfällig behandling är inte att uppgifterna som lagras i datorn ska användas av andra än den som utför behandlingen. När en uppgift behandlas tillfälligt i en dator för att senare tillföras en uppgiftssamling och göras gemensam utgör den inte heller en del av uppgiftssamlingen.

En tydligare reglering för gemensamt tillgängliga uppgifter och direktåtkomst

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga är att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av är inte att anse som gemensamt tillgängliga.

Försvarsmakten invänder mot utredningens förslag att införa särskilda bestämmelser om gemensamt tillgängliga uppgifter och hänvisar till betänkandet SOU 2017:97 Totalförsvarsdatalag – Rekryteringsmyndig- hetens personuppgiftsbehandling. Regeringen anser inte att jämförelsen med totalförsvarsdatalagen är relevant då den lagen är avgränsad till behandlingen av personuppgifter om totalförsvarspliktiga och annan personal som har en uppgift inom totalförsvaret vid höjd beredskap.

Uppgiftssamlingar används för närvarande i FM-PuL och FRA-PuL som beteckning för gemensamt tillgängliga uppgifter. Utredningen föreslår att ordet även ska användas i de nya lagarna, men för Försvarsmakten endast i fråga om försvarsunderrättelseverksamheten och den militära säkerhets- tjänsten. Enligt utredningen fyller ordet uppgiftssamling även fortsatt en funktion i regleringen om behandlingen av personuppgifter i dessa verksamheter. Regeringen, som instämmer i detta, anser att utredningens förslag att de nya lagarna ska innehålla särskilda bestämmelser om gemensamt tillgängliga uppgifter bör genomföras.

Försvarsmakten och Försvarets radioanstalt förutsätts kunna samarbeta med andra, företrädesvis myndigheter. Inom ramen för sådant samarbete kan personuppgifter i gemensamma projekt komma att behandlas. För att bl.a. möjliggöra ett sådant samarbete gör regeringen bedömningen att vissa myndigheter bör kunna medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga inom Försvarsmakten och Försvarets radioanstalt (jfr avsnitt 10.3.1). Syftet med att begränsa åtkomsten till gemensamt tillgängliga uppgifter är att personuppgifter – och behandlingen av sådana uppgifter – bör kringgärdas av ett extra skydd när de sprids till andra myndigheter än Försvarsmakten och Försvarets radioanstalt. Konsekvensen av begränsningen blir att bestämmelserna om gemensamt tillgängliga uppgifter alltid blir tillämpliga i projekt med deltagare från andra myndigheter, oavsett antalet deltagare i projektet.

På samma sätt som enligt nuvarande ordning är det inte möjligt att i författning ange någon exakt gräns för när en viss behandling ska anses

ske i en uppgiftssamling och därmed omfattas av de bestämmelser som

99

Prop. 2020/21:224 reglerar sådana samlingar. Myndigheterna måste i det enskilda fallet avgöra om uppgifter som behandlas automatiserat är gemensamt tillgängliga eller inte. En handläggare inom Försvarsmakten eller Försvarets radioanstalt bör enligt regeringen i regel utan svårigheter kunna avgöra om han eller hon för tillfället arbetar med en uppgift direkt i en uppgiftssamling eller i ett ordbehandlingsdokument eller annat program där han eller hon ensam behandlar personuppgiften. Den personuppgifts- ansvarige har emellertid ett ansvar för att gränsdragningsproblem inte uppstår på grund av brister i den tekniska utformningen av ett datorsystem. Genom de höga säkerhetskrav som omgärdar Försvarsmaktens och Försvarets radioanstalts informationssystem är det också nödvändigt att inom verksamheten ha klart för sig huruvida en viss uppgift ingår i en uppgiftssamling eller inte.

Den närmare regleringen av vilka kategorier av uppgifter som ska få behandlas bör även fortsättningsvis huvudsakligen regleras i förordning eller genom regeringsbeslut. För att undvika onödig detaljreglering i lag bör därför regeringen, eller den myndighet som regeringen bestämmer, även fortsättningsvis kunna meddela närmare föreskrifter eller beslut i enskilda fall om vilka uppgiftssamlingar som får finnas och vilka personuppgifter som får behandlas i respektive samling. Regeringen föreslår att en upplysningsbestämmelse om detta förs in i de nya lagarna.

Enligt förslaget till ny lag för Försvarets radioanstalt ska personuppgifter få göras gemensamt tillgängliga och behandlas i uppgiftssamlingar under vissa förutsättningar. Lagrådet anser att förslaget enligt sin lydelse förutsätter att det även ska få finnas gemensamt tillgängliga uppgifter som inte är en uppgiftssamling. Regeringen delar inte Lagrådets tolkning av förslaget. Försvarets radioanstalts behandling av gemensamt tillgängliga uppgifter kommer endast att ske i uppgiftssamlingar och regeringen bedömer att förslaget är ändamålsenligt.

Som Lagrådet uppmärksammar är det väsentligt att uttrycket gemen- samt tillgängliga uppgifter genomgående ges samma innebörd i de nya lagarna. Regeringen ser dock inte något behov av att införa särskilda definitionsbestämmelser för att säkerställa detta.

Närmare om Försvarsmaktens behandling av gemensamt tillgängliga uppgifter

När det gäller Försvarsmaktens behandling av gemensamt tillgängliga uppgifter i annan verksamhet än försvarsunderrättelseverksamhet och militär säkerhetstjänst ser utredningen, med hänvisning till bl.a. befintliga användningsbegränsningar för myndighetens personal, inte behov av att uppställa krav på särskilda uppgiftssamlingar. Utredningen föreslår dock att Försvarsmakten ska få bestämma vilka uppgiftssamlingar som ska införas vid myndigheten när det gäller behandling av personuppgifter utanför försvarsunderrättelseverksamheten och den militära säkerhets- tjänsten.

Regeringen instämmer i Försvarsmaktens uppfattning att uppgifts- samlingar endast ska användas inom de verksamheter som gäller enligt nuvarande lagstiftning för Försvarsmakten. Personuppgiftslagen, som för närvarande gäller för sådan behandling av personuppgifter för övrig

verksamhet hos Försvarsmakten där den nya lagen ska tillämpas,

100

innehåller inte något krav på uppgiftssamlingar. Detsamma gäller för EU:s Prop. 2020/21:224 dataskyddsförordning och dataskyddslagen. Det regelverk för

behandlingen av personuppgifter som den nya lagen i övrigt innehåller ger enligt regeringen ett fullgott skydd för enskildas integritet. Mot denna bakgrund saknas skäl att införa en ordning som innebär ett obligatoriskt krav på uppgiftssamlingar för den uppgiftsbehandling som sker utanför Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhets- tjänst.

10Informationsutbyte

10.1 Olika former av elektroniskt utlämnande

Utlämnande på medium för automatiserad behandling

I princip anses allt elektroniskt utlämnande som inte görs genom direktåtkomst utlämnat på medium för automatiserad behandling. Högsta förvaltningsdomstolen har ansett att gränsdragningen mellan vad som är direktåtkomst och annat utlämnande på medium för automatiserad behandling beror på om den aktuella uppgiften kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § andra stycket tryckfrihets- förordningen (HFD 2015 ref. 61).

Utlämnande på medium för automatiserad behandling kan göras på många olika sätt. Det kan vara fråga om att personuppgifter lämnas t.ex. via e-post eller dvd-skiva eller genom direkt överföring från ett datasystem till ett annat via elektroniska kommunikationsnät.

Utlämnande på medium för automatiserad behandling innebär som regel att informationen lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan bearbeta informationen. Detta innebär effektivitetsvinster för mottagaren, samtidigt som det kan innebära risker för den personliga integriteten.

Direktåtkomst

Det finns inte någon legaldefinition av ordet direktåtkomst. Det som typiskt sett avses är att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Enligt Informations- hanteringsutredningen bör direktåtkomst anses föreligga om en myndighet hos en annan myndighet har sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas,

avlyssnas eller på annat sätt uppfattas (Myndighetsdatalag, SOU 2015:39
s. 390–393). Högsta förvaltningsdomstolen har använt samma definition
av direktåtkomst (HFD 2015 ref. 61). I begreppet direktåtkomst ligger
också att den som är personuppgiftsansvarig för registret eller databasen
saknar kontroll över vilka uppgifter som den som har direktåtkomst vid ett	101