Försvarets radioanstalts internationella samarbete

– en översyn av regelverket

Betänkande av Utredningen om regleringen av Försvarets radioanstalts internationella samarbete

Stockholm 2020

SOU 2020:68

SOU och Ds kan köpas från Norstedts Juridiks kundservice. Beställningsadress: Norstedts Juridik, Kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@nj.se

Webbadress: www.nj.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Norstedts Juridik AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2020

ISBN 978-91-38-25114-0

ISSN 0375-250X

Till statsrådet och chefen för Försvarsdepartementet

Regeringen beslutade den 30 april 2020 att tillkalla en särskild utredare med uppdrag att göra en översyn av de bestämmelser som Försvarets radioanstalt tillämpar vid myndighetens internationella samarbete inom försvarsunderrättelse- och utvecklingsverksamheten (dir. 2020:45).

Lagmannen Johan Sjöö förordnades som särskild utredare den

18 maj 2020.

Sekreterare i utredningen har från och med den 1 juni 2020 varit ämnesrådet Mikael Andersson.

Utredningen har antagit namnet Utredningen om regleringen av Försvarets radioanstalts internationella samarbete (Fö 2020:01).

Utredningen får härmed överlämna betänkandet Försvarets radioanstalts internationella samarbete – en översyn av regelverket (SOU 2020:68). Uppdraget är med detta slutfört.

Malmö i november 2020

Johan Sjöö

/Mikael Andersson

Innehåll

Sammanfattning .................................................................. 9
1 Författningsförslag..................................................... 13

1.1Förslag till lag om ändring i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och

utvecklingsverksamhet ........................................................... 13

1.2Förslag till lag om ändring i lagen (2008:717) om

  signalspaning i försvarsunderrättelseverksamhet .................. 15
2 Utredningens uppdrag och arbete................................ 19
2.1 Utredningsuppdraget.............................................................. 19
2.2 Genomförande av uppdraget.................................................. 19
3 Försvarets radioanstalt ............................................... 21
3.1 Försvarets radioanstalts uppgifter ......................................... 21
3.2 Försvarets radioanstalts  
  försvarsunderrättelseverksamhet ........................................... 23
3.3 Försvarets radioanstalts utvecklingsverksamhet................... 25

3.4Försvarets radioanstalts signalspaning

i försvarsunderrättelse- och utvecklingsverksamhet............. 26
3.4.1 Försvarets radioanstalt får bedriva  
  signalspaning enligt förutsättningar  
  som anges i lag ......................................................... 26

3.4.2Försvarets radioanstalts signalspaning

kräver tillstånd ......................................................... 30

5

Innehåll SOU 2020:68
3.5 Försvarets radioanstalts internationella samarbete .............. 32
3.6 Kontroll och tillsyn ................................................................ 33
  3.6.1 Statens inspektion för  
    försvarsunderrättelseverksamheten ....................... 33
  3.6.2 Datainspektionen .................................................... 36
  3.6.3 Försvarets radioanstalts integritetsskyddsråd ....... 37
3.7 Försvarets radioanstalts behandling av personuppgifter...... 38
  3.7.1 Översiktligt om regelverket ................................... 38
  3.7.2 Förslag till ny lagstiftning....................................... 46
4 Internationella och nationella regler  
  om integritetsskydd.................................................... 49
4.1 Förenta nationerna ................................................................. 49
4.2 OECD ..................................................................................... 50
4.3 Europarätt ............................................................................... 50
  4.3.1 Europarådet ............................................................. 50

4.3.2Mål i Europadomstolen för mänskliga

  rättigheter ................................................................ 53
4.3.3 Europeiska unionen ................................................ 54
4.3.4 Mål i EU-domstolen ............................................... 56

4.4Nationell reglering till skydd för den personliga

  integriteten.............................................................................. 57
  4.4.1 Regeringsformen ..................................................... 57
  4.4.2 Offentlighets- och sekretesslagen.......................... 58
5 Regleringen i andra nordiska länder............................. 61
5.1 Inledning ................................................................................. 61
5.2 Danmark.................................................................................. 62
5.3 Finland .................................................................................... 63
5.4 Norge ...................................................................................... 65

6

SOU 2020:68 Innehåll
6 Överväganden och förslag ........................................... 67

6.1Internationellt samarbete i Försvarets radioanstalts

försvarsunderrättelse- och utvecklingsverksamhet............... 67

6.2Lagen om signalspaning

i försvarsunderrättelseverksamhet ......................................... 70
6.2.1 Signalspaning vid internationellt samarbete........... 70

6.2.2Regeringen ansvarar för att bestämma inriktningen av signalspaning

  vid internationellt samarbete .................................. 72
6.2.3 Förstöringsplikt....................................................... 73
6.2.4 Tillstånd ................................................................... 74
6.2.5 Kontroll och tillsyn ................................................. 75

6.3Lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och

utvecklingsverksamhet ........................................................... 77

6.3.1Personuppgifter får behandlas inom ramen

    för internationellt samarbete................................... 77
  6.3.2 Förutsättningarna för överföring av  
    personuppgifter till utländska aktörer  
    bör preciseras ........................................................... 80
7 Konsekvenser och genomförande av förslagen .............. 85
7.1 Konsekvenser av förslagen ..................................................... 85
7.2 Ikraftträdande- och övergångsbestämmelser ........................ 86
8 Författningskommentar .............................................. 87

8.1Förslaget till lag om ändring i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och

utvecklingsverksamhet ........................................................... 87
8.2 Förslaget till lag om ändring i lagen (2008:717)  
om signalspaning i försvarsunderrättelseverksamhet ........... 89

7

Innehåll SOU 2020:68

8

Sammanfattning

Uppdraget

Utredningens uppdrag har varit att se över regleringen av Försvarets radioanstalts internationella samarbete i syfte att säkerställa att den möjliggör för Försvarets radioanstalt att bedriva ett internationellt samarbete inom myndighetens försvarsunderrättelse- och utvecklingsverksamhet på ett effektivt och ändamålsenligt sätt, och med tillbörlig hänsyn till enskildas personliga integritet.

Utredningen bedömer att regleringen överlag möjliggör för Försvarets radioanstalt att bedriva ett sådant internationellt samarbete på ett effektivt och ändamålsenligt sätt, och med tillbörlig hänsyn till enskildas integritet. I syfte att göra regleringen än mer effektiv och ändamålsenlig, och samtidigt stärka integritetsskyddet för enskilda, lämnas förslag till ändringar i lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet och i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet.

Lagen om signalspaning i försvarsunderrättelseverksamhet

En uttrycklig grund för signalspaning vid internationellt samarbete

Utredningen bedömer att den befintliga regleringen är tydlig i fråga om den signalspaning som Försvarets radioanstalt får bedriva inom sitt internationella samarbete som sker i utvecklingsverksamheten. Motsvarande tydlighet bedöms inte föreligga när det gäller Försvarets radioanstalts signalspaning i försvarsunderrättelseverksamhet vid internationellt samarbete. Utredningen föreslår därför att det i lagen om signalspaning i försvarsunderrättelseverksamhet införs en ny bestämmelse som innebär att Försvarets radioanstalt får bedriva signalspaning

9

Sammanfattning SOU 2020:68

om myndigheten, inom ramen för sin försvarsunderrättelseverksamhet, bedriver samarbete i underrättelsefrågor med andra länder och internationella organisationer. De ändamål med företeelser för vilka signalspaning får ske inom Försvarets radioanstalts försvarsunderrättelseverksamhet enligt 1 § andra stycket 1–8 lagen om signalspaning i försvarsunderrättelseverksamhet utgör även ramarna för den signalspaning som får bedrivas vid internationellt underrättelsesamarbete, med den skillnaden att det i detta sammanhang inte ställs krav på att företeelserna behöver vara riktade mot Sverige eller röra svenska intressen. Härigenom möjliggörs ett än mer effektivt och ändamålsenligt samarbete som medverkar till att stärka skyddet av Sveriges försvar och säkerhet, samtidigt som det angivna ändamålet innehåller motsvarande företeelser som avses i punkterna 1–8 i bestämmelsen.

Enligt gällande rätt ska Försvarets radioanstalts internationella samarbete inom försvarsunderrättelse- och utvecklingsverksamhet alltid föregås av ett närmare bestämmande av regeringen enligt lagen (2000:130) om försvarsunderrättelseverksamhet och lagen om signalspaning i försvarsunderrättelseverksamhet. Med hänsyn till detta och till de tydliga utrikes-, säkerhets- och försvarspolitiska aspekter som finns, bör regeringen ensam ansvara för att inrikta den signalspaning som, efter Försvarsunderrättelsedomstolens godkännande, får utföras vid Försvarets radioanstalts internationella samarbete i försvarsunderrättelse- och utvecklingsverksamhet. Av 4 § lagen om signalspaning i försvarsunderrättelseverksamhet följer att regeringen ensam ansvarar för att inrikta Försvarets radioanstalts utvecklingsverksamhet, i vilket det internationella samarbetet på detta område ingår. Utredningen föreslår ett tillägg i nämnda bestämmelse om regeringens inriktningsansvar för Försvarets radioanstalts internationella samarbete i försvarsunderrättelseverksamhet.

Inga ändringsförslag lämnas i fråga om tillstånd, kontroll och tillsyn

Utredningen bedömer att gällande bestämmelser om tillstånd för signalspaning inte behöver ändras med anledning av Försvarets radioanstalts internationella samarbete i försvarsunderrättelse- och utvecklingsverksamheten i sig eller med anledning av utredningens förslag. Detta gäller även för bestämmelserna om kontroll och tillsyn.

10

SOU 2020:68 Sammanfattning

Uttryckliga bestämmelser om förstöring av mottagna uppgifter

Utredningen föreslår att det av lagen om signalspaning i försvarsunderrättelseverksamhet ska framgå att den förstöringsskyldighet med angivna undantag som följer av 2 a § och 7 § även ska gälla för sådana upptagningar och uppteckningar som Försvarets radioanstalt har fått från ett annat land eller en internationell organisation inom ramen för ett internationellt samarbete.

Lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet

Personuppgifter får behandlas vid internationellt samarbete

Gällande lagstiftning ger ett stöd för Försvarets radioanstalt att behandla personuppgifter inom myndighetens internationella samarbete i försvarsunderrättelse- och utvecklingsverksamheten. Med beaktande av detta, och att det i betänkandet Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63) föreslås en ny lag och förordning för Försvarets radioanstalts behandling av personuppgifter inom bl.a. myndighetens försvarsunderrättelse- och utvecklingsverksamhet, ser utredningen inte skäl att föreslå någon ny ändamålsbestämmelse för Försvarets radioanstalts behandling av personuppgifter inom myndighetens internationella samarbete. Utredningen ser inte heller att det behöver införas någon ny typ av uppgiftssamling med anledning av Försvarets radioanstalts internationella samarbete.

Precisering av villkoren för överföring av personuppgifter utomlands

Utredningen föreslår att förutsättningarna för att överföra personuppgifter till ett annat land eller en internationell organisation preciseras. I lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet föreslås ett antal villkor som ska vara uppfyllda för att Försvarets radioanstalt ska få överföra personuppgifter till ett annat land eller en internationell organisation. Samtliga villkor måste vara uppfyllda för att en överföring av personuppgifter ska vara tillåten. Villkoren innebär att Försvarets radioanstalt endast får överföra personuppgifter till ett

11

Sammanfattning SOU 2020:68

annat land eller en internationell organisation om mottagaren är ett annat lands underrättelse- eller säkerhetstjänst eller ett underrättelse- eller säkerhetsorgan i en internationell organisation. Liksom redan gäller i dag ska överföring av personuppgifter endast få ske om sekretess inte hindrar det. Avslutningsvis ska en viss skyddsnivå föreligga hos mottagaren för att personuppgifter ska kunna överföras till ett annat land eller en internationell organisation. Det åvilar Försvarets radioanstalt att bedöma alla omständigheter kring överföringen och komma till slutsatsen att skyddsåtgärderna är tillräckliga. Exempel på sådant som kan vägas in kan bl.a. vara åtaganden att inte sprida personuppgifterna vidare eller att inte använda personuppgifterna efter viss tidpunkt.

Förslagens konsekvenser

Ekonomiska konsekvenser

Förslagen medför inte några kostnadsökningar för Försvarets radioanstalt, Försvarsunderrättelsedomstolen eller Statens inspektion för försvarsunderrättelseverksamheten, eller i övrigt för det allmänna. Förslagen medför inte heller några kostnadsökningar för enskilda.

Konsekvenser för den personliga integriteten

Förslagen om förstöringsskyldighet av mottagna uppgifter och den föreslagna lagändringen avseende Försvarets radioanstalts behandling av personuppgifter stärker skyddet för enskildas personliga integritet.

Övriga konsekvenser

Utredningens förslag i övrigt bedöms inte få några konsekvenser av de slag som anges i kommittéförordningen (1998:1474).

12

Personuppgifter som behandlas med stöd av denna lag får föras över till andra länder eller
internationella organisationer endast om det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet och
1. överföringen riktas till en utländsk underrättelse- eller säkerhetstjänst, eller ett underrättelse- eller säkerhetsorgan i en internationell organisation,
2. sekretess inte hindrar en överföring, och
13

1 Författningsförslag

1.1Förslag till lag om ändring i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet

Härigenom föreskrivs att 1 kap. 17 § lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1kap. 17 §

Personuppgifter som behandlas med stöd av denna lag får föras över till andra länder eller

mellanfolkliga organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvarets radioanstalt skall kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att överföring får ske även i andra fall då det är nödvändigt för verksamheten vid Försvarets radioanstalt.

Författningsförslag SOU 2020:68

3. mottagaren garanterar tillräckligt skydd för personuppgifterna.

Regeringen får meddela föreskrifter om att överföring får ske även i andra fall än som anges i första stycket 1.

Regeringen får också besluta om sådan överföring i ett enskilt fall.

Denna lag träder i kraft den 1 januari 2022.

14

SOU 2020:68 Författningsförslag

1.2Förslag till lag om ändring i lagen (2008:717) om signalspaning

i försvarsunderrättelseverksamhet

Härigenom föreskrivs att 1, 2 a, 4 och 7 §§ lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 §1

I försvarsunderrättelseverksamhet enligt lagen (2000:130) om försvarsunderrättelseverksamhet får den myndighet som regeringen bestämmer (signalspaningsmyndigheten) inhämta signaler i elektronisk form vid signalspaning. Signalspaning i försvarsunderrättelseverksamhet får endast ske i de fall regeringen eller en myndighet som anges i 4 § närmare har bestämt inriktningen av signalspaningen.

Signalspaning i försvarsunderrättelseverksamhet får ske endast i syfte att kartlägga

1.yttre militära hot mot landet,

2.förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,

3.strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,

4.utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,

5.allvarliga yttre hot mot samhällets infrastrukturer,

6.konflikter utomlands med konsekvenser för internationell säker-

het,

7. främmande underrättelse- 7. främmande underrättelse-
verksamhet mot svenska intres- verksamhet mot svenska intres-
sen, eller sen,
8. främmande makts agerande 8. främmande makts agerande
eller avsikter av väsentlig bety- eller avsikter av väsentlig bety-
delse för svensk utrikes-, säker- delse för svensk utrikes-, säker-
hets- eller försvarspolitik. hets- eller försvarspolitik, eller

1Senaste lydelse 2009:967.

15

Författningsförslag SOU 2020:68

9. sådana företeelser som avses i punkterna 1–8, men inte riktas mot Sverige eller rör svenska intressen, om det är nödvändigt för ett samarbete i underrättelsefrågor med andra länder och internationella organisationer som signalspaningsmyndigheten deltar i.

Om det är nödvändigt för försvarsunderrättelseverksamheten får signaler i elektronisk form inhämtas vid signalspaning även för att

1.följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, samt

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamhet enligt denna lag.

2 a §2

Inhämtning får inte avse sig- Inhämtning får inte avse sig-
naler mellan en avsändare och naler mellan en avsändare och
mottagare som båda befinner sig mottagare som båda befinner sig
i Sverige. Om sådana signaler inte i Sverige. Om sådana signaler inte
kan avskiljas redan vid inhämt- kan avskiljas redan vid inhämt-
ningen, ska upptagningen eller ningen, ska upptagningen eller
uppteckningen förstöras så snart uppteckningen förstöras så snart
det står klart att sådana signaler det står klart att sådana signaler
har inhämtats. har inhämtats. Kravet på förstöring
  gäller även i fråga om upptag-
  ningar och uppteckningar som sig-
  nalspaningsmyndigheten har fått
  från ett annat land eller en inter-
  nationell organisation inom ramen
  för ett internationellt samarbete.

Första stycket tillämpas inte i fråga om signaler mellan sändare och mottagare på utländska statsfartyg, statsluftfartyg eller militära fordon.

2Senaste lydelse 2009:967.

16

SOU 2020:68Författningsförslag

4 §3

I lagen (2000:130) om försvarsunderrättelseverksamhet finns bestämmelser om regeringens och myndigheters inriktning av sådan verksamhet. Inriktning av signalspaning får anges endast av regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdelningen i Polismyndigheten.

Regeringen bestämmer inrikt- Regeringen bestämmer inrikt-
ningen av den verksamhet som ningen av sådan verksamhet som
bedrivs enligt 1 § tredje stycket. bedrivs enligt 1 § andra stycket 9
  och tredje stycket.

En inriktning av signalspaningen får inte avse endast en viss fysisk person.

7 §4

En upptagning eller uppteck- En upptagning eller uppteck-
ning av uppgifter som har in- ning av uppgifter som har in-
hämtats enligt denna lag ska om- hämtats enligt denna lag eller som
gående förstöras om innehållet signalspaningsmyndigheten har fått
  från ett annat land eller en inter-
  nationell organisation inom ramen
  för ett internationellt samarbete ska
  omgående förstöras om innehållet

1.berör en viss fysisk person och har bedömts sakna betydelse för verksamhet som avses i 1 §,

2.avser uppgifter för vilka tystnadsplikt gäller enligt 3 kap. 3 § tryckfrihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 5 § tryckfrihetsförordningen eller 2 kap. 5 § yttrandefrihetsgrundlagen,

3.omfattar uppgifter i sådana meddelanden mellan en person som är misstänkt för brott och hans eller hennes försvarare vilka skyddas enligt 27 kap. 22 § första stycket rättegångsbalken, eller

4.avser uppgifter lämnade under bikt eller enskild själavård, såvida det inte finns synnerliga skäl att behandla uppgifterna för syften som anges i 1 § andra stycket.

Denna lag träder i kraft den 1 januari 2022.

3Senaste lydelse 2014:691.

4Senaste lydelse 2018:1918.

17

2Utredningens uppdrag och arbete

2.1Utredningsuppdraget

Regeringen beslutade den 30 april 2020 att tillkalla en särskild utredare, med uppdrag att göra en översyn av de bestämmelser som Försvarets radioanstalt tillämpar vid myndighetens internationella samarbete inom försvarsunderrättelse- och utvecklingsverksamheten. Syftet med uppdraget är att säkerställa att Försvarets radioanstalt kan bedriva ett internationellt samarbete på ett effektivt och ändamålsenligt sätt, och med tillbörlig hänsyn till enskildas personliga integritet.

Utredningens direktiv (dir. 2020:45) finns i bilagan.

2.2Genomförande av uppdraget

Utredningsarbetet inleddes i mitten av maj 2020.

Enligt direktiven ska utredningen inhämta synpunkter och upplysningar från berörda myndigheter och organisationer, däribland Försvarets radioanstalt, Försvarsmakten, Försvarsunderrättelsedomstolen, Statens inspektion för försvarsunderrättelseverksamheten, Säkerhetspolisen och Datainspektionen. Synpunkter och upplysningar har inhämtats genom ett eller flera möten med de angivna myndigheterna.

Information om lagstiftningen i Danmark, Finland och Norge bygger på allmänt tillgängliga källor, såsom författningstext, förarbeten och officiella webbsidor med rättsinformatik.

19

3 Försvarets radioanstalt

3.1Försvarets radioanstalts uppgifter

Försvarets radioanstalt är en civil myndighet under Försvarsdepartementet. Myndighetens uppgifter framgår av förordningen (2007:937) med instruktion för Försvarets radioanstalt. I förordningen anges att Försvarets radioanstalt har till uppgift att bedriva signalspaning enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet och anslutande förordning (1 §). Vidare ska Försvarets radioanstalt enligt 2 § särskilt

1.följa förändringen av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet,

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten, och

3.utföra matematiska bedömningar av kryptosystem för totalförsvaret.

Försvarets radioanstalt ska därutöver upprätthålla kompetensen för de nationella behoven i fråga om kryptologi (2 a §) samt biträda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspaningssystem (3 §). Försvarets radioanstalt ska också stödja Försvarsmakten genom att utveckla metodik och utbilda personal inom signalspaningsområdet (3 a §), stödja Försvarsmaktens deltagande i internationella insatser med kompetens, personal och materiel (3 b §) samt vidmakthålla och utveckla signalreferensbibliotek för Försvarsmaktens behov (3 c §). På uppdrag av Försvarets materielverk ska Försvarets radioanstalt utföra prov och utveckling inom teleteknikområdet (3 d §).

Försvarets radioanstalt ska ha hög teknisk kompetens inom informationssäkerhetsområdet och får efter begäran stödja sådana statliga myndigheter och statligt ägda bolag som hanterar information som

21

Försvarets radioanstalt SOU 2020:68

bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende. Försvarets radioanstalt ska särskilt kunna stödja insatser vid nationella kriser med it-inslag, medverka till identifieringen av inblandade aktörer vid it-relaterade hot mot samhällsviktiga system, genomföra it-säkerhetsanalyser och ge annat tekniskt stöd. Försvarets radioanstalt ska samverka med andra organisationer inom informationssäkerhetsområdet såväl inom som utom landet (4 §).

Inom ramen för sin informationssäkerhetsverksamhet ska Försvarets radioanstalt, enligt myndighetens regleringsbrev för 2020, fortsatt utveckla och på begäran kunna placera ut tekniska detekterings- och varningssystem (TDV) vid de mest skyddsvärda verksamheterna bland statliga myndigheter och statligt ägda bolag, som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende.

Av regleringsbrevet för 2020 framgår vidare att myndigheten fortsatt ska stödja Försvarsmakten i dess uppgift att genomföra aktiva operationer i cybermiljön för ett förstärkt cyberförsvar.

Försvarets radioanstalt har enligt 17 § förordningen (2015:1053) om totalförsvar och höjd beredskap i uppgift att tilldela säkra kryptografiska funktioner till ett antal civila myndigheter och organisationer.

Försvarets radioanstalts möjlighet att hantera de allvarligaste itangreppen mot de mest skyddsvärda verksamheterna kräver en förmåga att upptäcka dessa samt att kartlägga bakomliggande aktörer. Signalspaning har en avgörande betydelse för att Försvarets radioanstalt ska kunna förse uppdragsgivare med unika underrättelser kring it-relaterade hot mot Sverige och svenska intressen. Samma underrättelser kan inom Försvarets radioanstalts informationssäkerhetsverksamhet omsättas till indirekt och direkt skydd som omfattar såväl tekniska tjänster (exempelvis signalskydd, TDV och informationssäkerhetsanalyser) som rådgivning och utbildning.

Med hänsyn till att utredningens uppdrag är inriktat på regleringen av Försvarets radioanstalts internationella samarbete inom försvarsunderrättelseverksamheten och utvecklingsverksamheten kommer myndighetens informationssäkerhetsverksamhet och internationella samarbete på det området inte att behandlas närmare i detta betänkande.

22

SOU 2020:68 Försvarets radioanstalt

3.2Försvarets radioanstalts försvarsunderrättelseverksamhet

Försvarets radioanstalts försvarsunderrättelseverksamhet går ut på att inom ramen för gällande inriktningar från uppdragsgivare upptäcka på förhand okända företeelser och uppgifter av relevans för dessa. Det kan exempelvis röra sig om uppgifter om nya hot mot svenska säkerhetsintressen, samhällsviktiga funktioner, eller underrättelsehot mot svensk känslig information som inte får hamna i främmande makts händer. Verksamheten innebär även att kartlägga redan kända företeelser och följa förändringar i dessa för att tidigt få kunskap om t.ex. hotaktörers nya ambitioner, avsikter och förmågor. Försvarsunderrättelseverksamhet är också ett centralt verktyg vid kartläggning i efterhand av händelser som oförutsett inträffat, i syfte att finna förklaringar till det inträffade samt för att kartlägga eventuella ännu inte identifierade inslag i en inträffad händelse. Genom sådan uppföljning kan ytterligare underrättelseinformation produceras som ger dels bättre förståelse för orsakerna bakom det inträffade, dels kompletterande information om t.ex. kvarvarande oupptäckta hot.

Försvarets radioanstalts försvarsunderrättelseverksamhet kan t.ex. röra främmande makts avsikter, agerande eller beslut av betydelse för svensk utrikes-, säkerhets- eller försvarspolitik, främmande makts underrättelseverksamhet riktad mot Sverige, hybridhot från främmande makt (t.ex. desinformation, påverkansoperationer eller allvarliga yttre hot mot samhällets infrastrukturer), yt- och luftläget hos militära plattformar samt militär verksamhet, utveckling och förnyelse av militär materiel och etablering av nya vapensystem som kan utgöra ett hot mot Sverige, uppgifter om avsikter och agerande inom internationella terrornätverk för att upptäcka och förhindra terrorattentat i Sverige, samt frågor om operativ säkerhet vid svenskt deltagande i internationella militära insatser.

Försvarets radioanstalt bedriver försvarsunderrättelseverksamhet enligt särskild reglering i bl.a. lagen (2000:130) och förordningen (2000:131) om försvarsunderrättelseverksamhet, samt i lagen (2008:717) och förordningen (2008:923) om signalspaning i försvarsunderrättelseverksamhet.

Försvarsunderrättelseverksamhet enligt lagen och förordningen om försvarsunderrättelseverksamhet ska även bedrivas av Försvarsmakten, Försvarets materielverk och Totalförsvarets forsknings-

23

Försvarets radioanstalt SOU 2020:68

institut (2 § förordningen om försvarsunderrättelseverksamhet). Med hänsyn till utredningens uppdrag omnämns dock endast Försvarets radioanstalt i den följande redogörelsen för nämnda lagstiftning.

Bestämmelser i lagen och förordningen om försvarsunderrättelseverksamhet som rör Försvarets radioanstalts internationella samarbete redogörs för i avsnitt 3.5.

Av 1 § lagen om försvarsunderrättelseverksamhet framgår att försvarsunderrättelseverksamhet ska bedrivas till stöd för svensk utrikes-, säkerhets-, och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet samt att försvarsunderrättelseverksamhet endast får avse utländska förhållanden. I verksamheten ingår att medverka i svenskt deltagande i internationellt säkerhetssamarbete. Bestämmelsen anger vidare att regeringen ska bestämma försvarsunderrättelseverksamhetens inriktning. Inom ramen för denna inriktning får de myndigheter som regeringen bestämmer ange en närmare inriktning av verksamheten. Inriktningen av Försvarets radioanstalts signalspaning i försvarsunderrättelseverksamhet regleras särskilt i lagen om signalspaning i försvarsunderrättelseverksamhet, se avsnitt 3.4.1.

I enlighet med 2 § lagen om försvarsunderrättelseverksamhet ska försvarsunderrättelseverksamheten fullgöras genom inhämtning (teknisk och personbaserad), bearbetning och analys av information. Underrättelser ska rapporteras till berörda myndigheter. I bestämmelsen upplyses om att det i lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet finns vissa bestämmelser om teknisk inhämtning.

Lagen om försvarsunderrättelseverksamhets avgränsning till utländska förhållanden innebär att försvarsunderrättelseverksamheten typiskt sett ska inhämta, bearbeta, analysera och rapportera sådan information om företeelser och förhållanden i andra länder som ger svenska beslutsfattare ett förbättrat underlag för beslut och bedömningar i utrikes-, säkerhets- och försvarspolitiska frågor eller för att skydda svensk personal som deltar i internationella insatser. Verksamheten kan under vissa förhållanden även avse utländska företeelser som inte stannar utanför Sveriges gränser. Det kan till exempel röra sig om underrättelseverksamhet eller cyberhot som initieras och utförs av främmande makt och riktas mot Sverige och svenska intressen av personer som reser in och ut ur Sverige. Det handlar då om att

24

SOU 2020:68 Försvarets radioanstalt

följa upp utländska förhållandens koppling till Sverige för att kunna bedöma hotbilden mot landet.

Inom ramen för försvarsunderrättelseverksamheten får inte vidtas åtgärder som syftar till att lösa uppgifter som enligt lagar eller andra föreskrifter ligger inom ramen för Polismyndighetens, Säkerhetspolisens och andra myndigheters brottsbekämpande och brottsförebyggande verksamheter (4 § första stycket lagen om försvarsunderrättelseverksamhet). Om det inte finns hinder enligt andra bestämmelser, får stöd lämnas till andra myndigheters brottsbekämpande och brottsförebyggande verksamhet (4 § andra stycket lagen om försvarsunderrättelseverksamhet). Försvarsunderrättelseverksamhet som består i att genom tekniska metoder, såsom signalspaning, inhämta kommunikation anses inte utgöra en sådan åtgärd som avses i 4 § första stycket. Sådan verksamhet bedrivs nämligen inte på sådant sätt att den kan störa andra myndigheters verksamhet, och den syftar inte heller till att lösa en föreskriven uppgift för brottsbekämpande och brottsförebyggande verksamhet (prop. 2006/07:63 s. 48).

Genom lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott får Säkerhetspolisen och Nationella operativa avdelningen i Polismyndigheten bestämma inriktningen av signalspaning och ta emot underrättelser med inhämtade uppgifter även om det pågår en förundersökning. Av 1 § framgår att uppgifter i underrättelser som Försvarets radioanstalt rapporterar till en annan myndighet i enlighet med lagen (2000:130) om försvarsunderrättelseverksamhet inte får användas för att utreda brott. Vidare anges i 2 § att de brottsbekämpande myndigheterna ska se till att tillgången till sådana uppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Enligt samma bestämmelse ska det ska särskilt beaktas att uppgifterna inte får användas för att utreda brott.

3.3Försvarets radioanstalts utvecklingsverksamhet

För att kunna tillgodose uppdragsgivarnas underrättelsebehov behöver Försvarets radioanstalt ingående kunskap om signalmiljön för att på ett effektivt sätt kunna rikta inhämtningskapacitet mot rätt delar av signalmiljön samt för att kunna urskilja, extrahera och tyda den relevanta informationen. För detta krävs omfattande expertkunskaper om såväl signalmiljöns struktur som dess användning.

25

Försvarets radioanstalt SOU 2020:68

Försvarets radioanstalt bedriver därför en utvecklingsverksamhet för att etablera och upprätthålla en tillräckligt god förståelse av signalmiljön, samt tillräckligt god förmåga att kunna bedriva inhämtning, bearbetning och analys av den information som förekommer i signalmiljön.

Utvecklingsverksamheten har inte något självständigt existensberättigande, utan syftar enbart till att etablera, vidmakthålla och utveckla en fortsatt förmåga hos Försvarets radioanstalt som är nödvändig för försvarsunderrättelseverksamheten. Utvecklingsverksamheten i sig genererar inga underrättelser.

Regleringen av Försvarets radioanstalts utvecklingsverksamhet redogörs för i avsnitt 3.4.1, 3.5 och 3.7.1.

3.4Försvarets radioanstalts signalspaning i försvarsunderrättelse- och utvecklingsverksamhet

3.4.1Försvarets radioanstalt får bedriva signalspaning enligt förutsättningar som anges i lag

Signalspaning innebär inhämtning av signaler i elektronisk form och är en inhämtningsmetod i försvarsunderrättelseverksamheten som regleras i lagen om signalspaning i försvarsunderrättelseverksamhet (hädanefter benämnd LSF), med tillhörande förordning. Regeringen har i 2 § förordningen om signalspaning i försvarsunderrättelseverksamhet utsett Försvarets radioanstalt att bedriva den verksamhet som följer av 1 § LSF.

Av 1 § LSF framgår att signalspaning i försvarsunderrättelseverksamhet endast får ske i de fall regeringen eller en myndighet som anges i 4 § närmare har bestämt inriktningen av signalspaningen. Signalspaning i försvarsunderrättelseverksamhet får endast ske i syfte att kartlägga:

1.yttre militära hot mot landet,

2.förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,

26

SOU 2020:68 Försvarets radioanstalt

3.strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,

4.utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,

5.allvarliga yttre hot mot samhällets infrastrukturer,

6.konflikter utomlands med konsekvenser för internationell säkerhet,

7.främmande underrättelseverksamhet mot svenska intressen, eller

8.främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- eller försvarspolitik.

Om det är nödvändigt för försvarsunderrättelseverksamheten får signaler i elektronisk form även inhämtas vid signalspaning för att följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet samt för att fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten (1 § tredje stycket LSF).

Försvarets radioanstalt ska ansöka om tillstånd hos Försvarsunderrättelsedomstolen för den signalspaning som myndigheten får utföra enligt lagen, se närmare i avsnitt 3.4.2.

Inriktning av signalspaning i försvarsunderrättelseverksamhet får endast anges av regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdelningen i Polismyndigheten (4 § första stycket LSF). Regeringen ansvarar ensam för att bestämma inriktningen av signalspaning i utvecklingsverksamhet (4 § andra stycket LSF).

Signalspaning i försvarsunderrättelseverksamhet syftar alltid till att rapportera underrättelser som ger ett kompletterande mervärde för uppdragsgivarna utöver den rapportering och det öppna informationsflöde som de i övrigt kan ta del av. Det sker genom att Försvarets radioanstalt inhämtar information som är relevant för att tillgodose de underrättelsebehov som regeringen och andra uppdragsgivare uttryckt i en inriktning.

Det är normalt sett informationen, inte den källa som för stunden hanterar eller förmedlar information, som är det centrala. Inom vissa underrättelseområden, t.ex. främmande underrättelseverksamhet och

27

Försvarets radioanstalt SOU 2020:68

terrorism, kan dock enskilda källor vara centrala om de i sig kan utgöra ett hot mot Sverige och svenska intressen.

Signalspaningen är en viktig del av Sveriges försvarsunderrättelseverksamhet och bidrar till att ge regeringen underlag för en självständig svensk utrikes-, säkerhets- och försvarspolitik och till att ge andra inriktande myndigheter kvalificerad underrättelseinformation om utländska förhållanden för att de i sin tur ska kunna fullgöra sina uppgifter.

All signalspaning vid Försvarets radioanstalt sker inom ramen för givna inriktningar. De enskilda, i varje givet ögonblick, mest angelägna konkreta underrättelsefrågorna kan ofta inte formuleras i förväg då de ännu inte är kända. Omvärlden förändras fortlöpande och därmed de konkreta underrättelsebehoven. Av detta följer att Försvarets radioanstalt behöver vara väl förberedd på nya frågeställningar genom att ständigt utveckla förmågor att hitta och identifiera nya relevanta källor till information.

Den information som Försvarets radioanstalt strävar efter att finna och rapportera, i syfte att tillgodose uttryckta underrättelsebehov, är oftast känslig eller hemlig och således skyddsvärd för den källa som hanterar informationen. Informationen är därför oftast avsedd att hanteras konfidentiellt och försedd med någon form av åtkomstskydd för att förhindra obehörig åtkomst. För att framgångsrikt bedriva försvarsunderrättelse- och utvecklingsverksamhet krävs därför aktuell och ingående kunskap dels om hur signaler förmedlas och hanteras i elektronisk form, dels om de mekanismer som används för att skydda informationen.

Inhämtning som sker i tråd får endast avse signaler som förs över Sveriges gräns i tråd som ägs av en operatör (2 § LSF). Enligt 2 a § LSF får inhämtning inte avse signaler mellan en avsändare och mottagare som båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämtningen, ska upptagningen eller uppteckningen förstöras så snart det står klart att sådana signaler har inhämtats. Förbudet gäller inte signaler mellan sändare och mottagare på utländska statsfartyg, statsluftfartyg eller militära fordon.

Inhämtning av signaler i tråd ska ske automatiserat och sådan inhämtning får avse endast signaler som identifierats genom sökbegrepp. Även vid annan automatiserad inhämtning ska sökbegrepp användas för identifiering av signaler. Sökbegreppen ska utformas och användas med respekt för enskildas personliga integritet och så

28

SOU 2020:68 Försvarets radioanstalt

att signalspaningen medför ett så begränsat integritetsintrång som möjligt. För sökbegrepp som är direkt hänförliga till en viss fysisk person gäller därutöver att de får användas endast om det är av synnerlig vikt för verksamheten (3 § LSF).

Enligt 7 § LSF ska upptagning eller uppteckning av uppgifter som inhämtats enligt lagen omgående förstöras om innehållet

1.berör en viss fysisk person och har bedömts sakna betydelse för verksamhet som avses i 1 §,

2.avser uppgifter för vilka tystnadsplikt gäller enligt 3 kap. 3 § tryckfrihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 5 § tryckfrihetsförordningen eller 2 kap. 5 § yttrandefrihetsgrundlagen,

3.omfattar uppgifter i sådana meddelanden mellan en person som är misstänkt för brott och hans eller hennes försvarare vilka skyddas enligt 27 kap. 22 § första stycket rättegångsbalken, eller

4.avser uppgifter lämnade under bikt eller enskild själavård, såvida det inte finns synnerliga skäl att behandla uppgifterna för syften som anges i 1 § andra stycket.

Enligt 5 § förordningen (2008:923) om signalspaning i försvarsunderrättelseverksamhet ska förstöring ske på ett sådant sätt att uppgifterna inte kan återskapas.

Underrättelser med uppgifter som inhämtats enligt LSF ska rapporteras till berörda myndigheter i enlighet med vad som föreskrivs i lagen om försvarsunderrättelseverksamhet. Om uppgifterna berör en viss fysisk person får rapporteringen endast avse förhållande som är av betydelse i de hänseenden som anges i 1 § den lagen (8 § LSF).

I 11 a och b §§ LSF finns bestämmelser om underrättelseskyldighet till en fysisk person om det har använts sökbegrepp som är direkt hänförliga till den personen. Underrättelsen ska innehålla uppgift om när inhämtningen skett och syftet med inhämtningen. En underrättelse ska lämnas så snart det kan ske utan men för försvarsunderrättelseverksamheten, dock senast en månad efter det att inhämtningsuppdraget som föranlett inhämtningen avslutades. En sådan underrättelse får skjutas upp om sekretess hindrar att underrättelsen lämnas. Har det på grund av sekretess inte kunnat lämnas någon underrättelse inom

29

Försvarets radioanstalt SOU 2020:68

ett år efter det att inhämtningsuppdraget avslutades behöver någon underrättelse inte lämnas. En underrättelse ska inte lämnas om inhämtningen uteslutande avser främmande makts förhållanden eller förhållanden mellan främmande makter.

3.4.2Försvarets radioanstalts signalspaning kräver tillstånd

Försvarsunderrättelsedomstolen

Av lagen (2009:966) om Försvarsunderrättelsedomstol framgår att Försvarsunderrättelsedomstolen ska pröva frågor om tillstånd till signalspaning enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet. Bestämmelser om domstolen finns förutom i lagen om Försvarsunderrättelsedomstol också i förordningen (2009:968) med instruktion för Försvarsunderrättelsedomstolen. Av dessa författningar framgår bl.a. att domstolen leds av en ordförande. Ordföranden anställs av regeringen som ordinarie domare i domstolen. Därutöver består domstolen av en eller högst två vice ordförande och minst två och högst sex särskilda ledamöter. Dessa förordnas av regeringen för fyra år. Domstolen är domför med ordförande och två särskilda ledamöter. Vid domstolens sammanträden framställer närvarande representanter från Försvarets radioanstalt ansökningsärendet för domstolen. Även ett integritetsskyddsombud är närvarande under sammanträdet. Vid prövningen av tillstånd till signalspaning ska integritetsskyddsombudet på ett generellt plan företräda integritetsskyddsintresset. Integritetsskyddsombud förordnas av regeringen för minst fyra år i sänder och ska vara svensk medborgare, samt vara eller ha varit advokat eller ha varit ordinarie domare.

Ansöknings- och tillståndsförfarandet

Den inhämtning genom signalspaning som Försvarets radioanstalt får bedriva kräver tillstånd av Försvarsunderrättelsedomstolen. Bestämmelserna om ansökan finns i 4 a § LSF. En ansökan ska innehålla uppgifter om det inhämtningsuppdrag som ansökan avser, med en närmare redogörelse för det behov som föranleder ansökan och uppgifter om vilken inriktning uppdraget hänför sig till, vilken eller vilka signalbärare avseende signaler i tråd som Försvarets radioanstalt

30

SOU 2020:68 Försvarets radioanstalt

behöver ha tillgång till för att fullgöra uppdraget, de sökbegrepp eller kategorier av sökbegrepp som är avsedda att användas vid inhämtningen, vilken tid tillståndet ska gälla och de omständigheter i övrigt som myndigheten vill åberopa till stöd för sin ansökan.

Försvarsunderrättelsedomstolen får meddela tillstånd under förutsättning att vissa krav är uppfyllda, nämligen att uppdraget är förenligt med lagen om försvarsunderrättelseverksamhet och LSF, att syftet med inhämtningen inte kan tillgodoses på ett mindre ingripande sätt, att uppdraget beräknas ge information vars värde är klart större än det integritetsintrång som inhämtning i enlighet med ansökan kan innebära, att de sökbegrepp eller kategorier av sökbegrepp som är avsedda att användas är förenliga med 3 § och att ansökan inte avser endast en viss fysisk person (5 § LSF). Av ett tillstånd ska framgå bl.a. det inhämtningsuppdrag för vilket signalspaning får ske, vilka signalbärare och sökbegrepp eller kategorier av sökbegrepp som får användas, den tid som tillståndet avser samt vilka villkor i övrigt som behövs för att begränsa intrånget i enskildas personliga integritet. Ett tillstånd får ges för högst sex månader från dagen för beslutet och kan efter förnyad prövning förlängas med högst sex månader i taget. Om det för fullgörande av inhämtningsuppdrag för vilket tillstånd givits uppstår behov av tillgång till ytterligare signalbärare eller användning av andra tillståndspliktiga sökbegrepp, ska särskilt tillstånd sökas. Vid ansökan gäller 4 och 5 §§ i tillämpliga delar. Ett sådant tillstånd ska ha samma varaktighet som tillståndet för det inhämtningsuppdrag inom vilket tillgång till signalerna behövs eller sökbegreppen är avsedda att användas (5 a § LSF).

Om det kan befaras att inhämtande av Försvarsunderrättelsedomstolens tillstånd skulle medföra sådan fördröjning eller annan olägenhet som är av väsentlig betydelse för något av de i 1 § angivna syftena, får tillstånd till signalspaningen ges av den befattningshavare vid signalspaningsmyndigheten som regeringen föreskriver. Av 2 § förordningen om signalspaning i försvarsunderrättelseverksamhet framgår att denna typ av tillstånd får beslutas av myndighetschefen i Försvarets radioanstalt eller dennes ställföreträdare. Av lagbestämmelsen följer vidare att ett sådant tillstånd ska utformas i enlighet med 5 a §. Har tillstånd lämnats ska åtgärden genast anmälas skriftligen till Försvarsunderrättelsedomstolen. I anmälan ska skälen för åtgärden anges. Försvarsunderrättelsedomstolen ska skyndsamt pröva ärendet och, om den finner att det inte finns skäl för åtgärden, upp-

31

Försvarets radioanstalt SOU 2020:68

häva eller ändra beslutet. Om beslutet har upphört att gälla innan domstolen har prövat ärendet, ska signalspaningsmyndigheten anmäla åtgärden till kontrollmyndigheten. Om Försvarsunderrättelsedomstolen upphäver eller ändrar ett beslut ska upptagning eller uppteckning av uppgifter som redan inhämtats omgående förstöras i den utsträckningen upptagningen eller uppteckningen kan hänföras till ändringen (5 b § LSF).

Försvarsunderrättelsedomstolens beslut i frågor som rör signalspaning får inte överklagas (13 § LSF). Motsvarande överklagandeförbud för domstolens övriga beslut finns i 16 § lagen om Försvarsunderrättelsedomstol.

3.5Försvarets radioanstalts internationella samarbete

Inget land kan på egen hand inhämta ett fullständigt underrättelseunderlag till stöd för den bedrivna utrikes-, säkerhets- och försvarspolitiken, eller för kartläggningen av yttre hot mot landet. Utbyte av underrättelser och samarbete om metodik och teknik är centrala inslag i försvarsunderrättelseverksamhet, och inte minst i Försvarets radioanstalts signalspaningsverksamhet. Ett fungerande och effektivt samarbete är en förutsättning för att Försvarets radioanstalt på ett fullgott sätt ska kunna tillgodose det underrättelsebehov som finns hos regeringen och övriga inriktande myndigheter. Försvarets radioanstalts internationella samarbete grundas på följande författningsstöd.

Av 3 § lagen om försvarsunderrättelseverksamhet framgår att Försvarets radioanstalt, liksom andra försvarsunderrättelsemyndigheter, enligt regeringens närmare bestämmande får bedriva samarbete med andra länder och internationella organisationer inom ramen för myndighetens försvarsunderrättelseverksamhet. Försvarets radioanstalt får även, enligt regeringens närmare bestämmande, etablera och upprätthålla internationellt signalspaningssamarbete avseende utvecklingsverksamhet enligt vad som anges i 1 § tredje stycket LSF, dvs. följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, samt teknik- och metodikfrågor (9 § LSF). En utgångspunkt för internationellt samarbete inom försvarsunderrättelse- och utvecklingsverksamheten är att det ska tjäna statsledningen och det svenska totalförsvaret respektive den nationella säker-

32

SOU 2020:68 Försvarets radioanstalt

heten, och att det inte är till skada för svenska intressen (3 § förordningen om försvarsunderrättelseverksamhet och 6 § förordningen om signalspaning i försvarsunderrättelseverksamhet).

Försvarets radioanstalt ska anmäla frågor om att etablera och upprätthålla internationellt samarbete till Regeringskansliet (Försvarsdepartementet). Myndigheten ska vidare informera Försvarsdepartementet om viktiga frågor som uppkommer i samarbetet (4 § förordningen om försvarsunderrättelseverksamhet och 7 § förordningen om signalspaning i försvarsunderrättelseverksamhet). Enligt 4 § förordningen om försvarsunderrättelseverksamhet ska Försvarets radioanstalt till Regeringskansliet (Försvarsdepartementet) även lämna information om försvarsunderrättelseverksamhetens inriktning i övrigt, verksamhetens bedrivande i stort och om viktiga händelser. Försvarets radioanstalt ska även informera Regeringskansliet (Försvarsdepartementet) om den inhämtning av underrättelser som sker med särskilda metoder.

I avsnitt 3.6.1 redogörs närmare för de bestämmelser som rör Försvarets radioanstalts internationella samarbete och det särskilda kontrollansvar som Statens inspektion för försvarsunderrättelseverksamheten har beträffande sådant samarbete.

Det finns även reglering av Försvarets radioanstalts behandling av personuppgifter inom ramen för internationellt samarbete, se avsnitt 3.7.

3.6Kontroll och tillsyn

3.6.1Statens inspektion för försvarsunderrättelseverksamheten

Statens inspektion för försvarsunderrättelseverksamheten (Siun) är ansvarig kontrollmyndighet för försvarsunderrättelseverksamheten enligt lagen om försvarsunderrättelseverksamhet och för signalspaning i sådan verksamhet enligt LSF. Siun har även till uppgift att granska Försvarets radioanstalts behandling av personuppgifter enligt lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (1–3 §§ förordningen [2009:969] med instruktion för Statens inspektion för försvarsunderrättelseverksamheten). Siuns granskning av Försvarets radioanstalts behandling av personuppgifter enligt nämnda lag ersätter

33

Försvarets radioanstalt SOU 2020:68

inte Datainspektionens tillsyn utan utgör ett komplement till densamma.

Siuns kontrolluppdrag omfattar enligt 10 § LSF alla delar av Försvarets radioanstalts signalspaningsverksamhet, men ska särskilt avse granskning av sökbegrepp som avses i 3 §, förstöring av uppgifter som avses i 7 § samt rapportering enligt 8 §. Siun får enligt 10 § LSF besluta att viss inhämtning ska upphöra eller att upptagning eller uppteckning av inhämtade uppgifter ska förstöras, om det vid kontroll framkommer att inhämtningen inte är förenlig med tillstånd meddelat enligt LSF.

Siun leds av en nämnd vars ledamöter utses av regeringen. Nämndens ordförande och vice ordförande ska vara eller ha varit ordinarie domare. Övriga ledamöter ska utgöras av personer föreslagna av partigrupperna i riksdagen (10 § LSF). Nämndens arbete stöds av ett kansli med kompetens främst inom områdena försvarsunderrättelseverksamhet och juridik. Siun har även teknisk expertis knuten till sig. Siuns granskningar av signalspaningsverksamheten genomförs utifrån nämndens beslut om granskningsområde.

De synpunkter och förslag till åtgärder som föranleds av granskningsverksamheten av Försvarets radioanstalt ska lämnas till myndigheten. Om det behövs ska Siun även lämna dessa synpunkter och förslag om åtgärder till regeringen (5 § förordningen med instruktion för Statens inspektion för försvarsunderrättelseverksamheten).

Utredningsskyldighet på begäran av enskild

Enligt 10 a § LSF är Siun skyldig att på begäran av enskild kontrollera om hans eller hennes meddelande har inhämtats i samband med signalspaning enligt LSF. Siun ska därvid utreda om inhämtningen och behandlingen av inhämtade uppgifter har skett enligt lag. Sedan kontroll har genomförts underrättar Siun den enskilde om att kontrollen har utförts. Vilka uppgifter som i övrigt kan lämnas beror på vilken sekretess som gäller i fallet.

Siuns kontroll utmynnar normalt i ett besked till den enskilde om huruvida det i samband med signalspaning har förekommit något otillbörligt som berört honom eller henne. Om myndigheten efter sin utredning kan konstatera att ingen signalspaning över huvud taget har förekommit eller att signalspaning visserligen har förekommit

34

SOU 2020:68 Försvarets radioanstalt

men skett lagenligt, bör enligt förarbetena till lagen den enskilde få besked om att inget otillbörligt skett. Om Siun vid en sådan kontroll skulle finna att meddelanden inhämtats i strid med LSF bör den enskilde i normalfallet upplysas om detta och få del av de uppgifter som kan lämnas med hänsyn till sekretessen. Vidare bör Siun anmäla sina iakttagelser till den myndighet som ansvarar för aktuell fråga. Om Siun exempelvis finner förhållanden som bedöms innebära att personuppgiftsbehandling skett utan stöd av lag, bör detta anmälas till Datainspektionen (prop. 2008/09:201 s. 91 f. och SOU 2011:13 s. 37–38).

Försvarets radioanstalts internationella samarbete

Enligt 6 § förordningen om försvarsunderrättelseverksamhet ska Försvarets radioanstalt löpande informera Siun om de principer som tillämpas för samarbete i underrättelsefrågor med andra länder och internationella organisationer. Sådan information ska bl.a. upplysa om med vilka länder och organisationer sådant samarbete sker, omfattningen av samarbetet och, när det bedöms vara motiverat, om resultatet, erfarenheterna och den fortsatta inriktningen av samarbetet. Information ska även lämnas i andra viktiga frågor som rör försvarsunderrättelseverksamheten. Försvarets radioanstalt ska särskilt informera om innehållet i den instruktion och de föreskrifter som gäller för den eller de enheter inom myndigheten som inhämtar underrättelser med särskilda metoder.

Om information enligt 6 § inte har kunnat lämnas ska, enligt samma bestämmelse, frågan utan dröjsmål anmälas för Siun. Information ska lämnas på det sätt som Siun bestämmer.

Betydelsen av Siuns kontrollansvar beträffande Försvarets radioanstalts internationella samarbete framhålls bl.a. av Signalspaningskommittén (SOU 2011:13 s. 76).

Inkoppling av signalbärare till Försvarets radioanstalt

För att möjliggöra en ändamålsenlig inhämtning av signaler i elektronisk form enligt LSF föreskriver 6 kap. 19 a § lagen (2003:389) om elektronisk kommunikation vissa skyldigheter för operatörer som äger tråd i vilka signaler förs över Sveriges gräns. Dessa opera-

35

Försvarets radioanstalt SOU 2020:68

törer är skyldiga att överföra signalerna till samverkanspunkter, en geografisk plats där operatörerna lämnar över signalerna till Siun. Siun har ensam rådighet över de signalbärare som operatörerna överför till samverkanspunkterna (12 § LSF). Signalbärare är den minsta fysiska beståndsdel i vilka signaler transporteras. Av 12 § LSF framgår också att Siun ska ge signalspaningsmyndigheten tillgång till signalbärare endast i den utsträckning det följer av tillstånd enligt 5 a eller 5 b § LSF. Enligt 7 § förordningen med instruktion för Statens inspektion för försvarsunderrättelseverksamheten får verkställighetsåtgärder vidtas av den anställde vid Siun som nämnden bestämmer.

3.6.2Datainspektionen

Datainspektionen är tillsynsmyndighet för den personuppgiftsbehandling som sker vid Försvarets radioanstalt, inklusive den behandling som sker inom ramen för myndighetens försvarsunderrättelse- och utvecklingsverksamhet. Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas, om ett beslut om utplånande inte skulle vara oskäligt (5 kap. 1–4 §§ lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet och 10 § förordningen [2007:261] om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet).

Datainspektionen har särskilt granskat Försvarets radioanstalts behandling av personuppgifter enligt lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet vid två tillfällen sedan 2009. Det rör sig om ett regeringsuppdrag och ett eget tillsynsärende. Regeringen gav i februari 2009 Datainspektionen i uppdrag att under 2009 och 2010 granska

36

SOU 2020:68 Försvarets radioanstalt

den personuppgiftsbehandling som LSF föranleder vid Försvarets radioanstalt (Fö2009/00355). I uppdraget ingick att analysera vilka särskilda integritetsproblem som kan uppstå i samband med personuppgiftsbehandling i Försvarets radioanstalts signalspaningsverksamhet. Vidare skulle Datainspektionen utreda om de rutiner och riktlinjer som Försvarets radioanstalt tillämpar är tillräckliga för att hantera sådana problem. I uppdraget ingick även att bistå Försvarets radioanstalt vid utarbetandet av de eventuella ytterligare rutiner och riktlinjer som kan vara nödvändiga för att tillgodose integritetsskyddsbehovet vid personuppgiftsbehandling i signalspaningsverksamheten. Datainspektionen redovisade den 6 december 2010 sina slutsatser i en rapport till regeringen.

Som ett led i sin planerade tillsynsverksamhet och som en uppföljning av den granskning Datainspektionen utförde enligt regeringens uppdrag genomförde myndigheten under 2016 en granskning av Försvarets radioanstalts behandling av personuppgifter. Granskningen redovisas i Datainspektionens beslut den 24 oktober 2016 (dnr 2331-2015).

3.6.3Försvarets radioanstalts integritetsskyddsråd

Vid Försvarets radioanstalt finns ett integritetsskyddsråd med de uppgifter som följer av 11 § LSF, dvs. att fortlöpande utöva insyn i de åtgärder som vidtas för att säkerställa integritetsskyddet i signalspaningsverksamheten. Rådet består av tre ledamöter som utses av regeringen för viss tid. Rådet sammanträder på kallelse av ordföranden. Integritetsskyddsrådets främsta uppgift är att utöva insyn i hur Försvarets radioanstalts verksamhet styrs genom interna föreskrifter och rutiner. Rådet ska rapportera sina iakttagelser till Försvarets radioanstalts ledning och, om rådet finner att det finns skäl för det, till Siun. Det är Försvarets radioanstalts ledning som ansvarar för myndighetens verksamhet. Integritetsskyddsrådet fattar inga egna beslut (11 § LSF, 8 och 8 a §§ förordningen med instruktion för Försvarets radioanstalt och prop. 2006/07:63 s. 119).

37

Försvarets radioanstalt SOU 2020:68

3.7Försvarets radioanstalts behandling av personuppgifter

3.7.1Översiktligt om regelverket

Försvarets radioanstalt behandlar personuppgifter inom ramen för den försvarsunderrättelseverksamhet som beskrivs i avsnitt 3.2.

Försvarets radioanstalt behandlar även personuppgifter inom myndighetens utvecklingsverksamhet. När teknik utvecklas och när nya metoder för forcering av krypterad information arbetas fram används nämligen ofta autentiskt signalspaningsmaterial för att man ska vara säker på teknikens riktighet. Det autentiska materialet kan innehålla personuppgifter. Som nämnts i avsnitt 3.3 genererar utvecklingsverksamheten i sig inte några underrättelser utan syftar endast till att möjliggöra för försvarsunderrättelseverksamheten att generera underrättelser.

Försvarets radioanstalts personuppgiftsbehandling inom ramen för myndighetens försvarsunderrättelseverksamhet och utvecklingsverksamhet regleras i lagen och förordningen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (hädanefter benämnda FRA-PuL och FRA- PuF). Även LSF innehåller vissa bestämmelser om personuppgiftsbehandling, t.ex. användningen av sökbegrepp och förstöringsskyldighet (se avsnitt 3.4.1).

Enligt 1 kap. 8 § första stycket FRA-PuL får personuppgifter behandlas i Försvarets radioanstalts försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet. Av bestämmelsens andra stycke framgår att uppgifter om en person endast får behandlas om personen också har anknytning till en preciserad inriktning för försvarsunderrättelseverksamheten och behandlingen är nödvändig för att fullfölja den inriktningen. Här kan noteras att förslaget i betänkandet SOU 2018:63 inte innehåller en bestämmelse om att uppgifter om en person endast får behandlas om personen har anknytning till en preciserad inriktning. I betänkandet görs bedömningen att underrättelseverksamhet som bedrivs enligt lagen om försvarsunderrättelseverksamhet och LSF måste kunna avse förhållanden som inte alltid direkt kan hänföras till regeringens vid varje tidpunkt gällande inriktning så länge dessa förhållanden har betydelse för fullföljandet av det uppdrag som inriktningen innebär och att det därför måste

38

SOU 2020:68 Försvarets radioanstalt

också måste vara möjligt att behandla personuppgifter som rör dessa förhållanden (SOU 2018:63 s. 160–164 och s. 173 f.). Betänkandet SOU 2018:63 behandlas i avsnitt 3.7.2.

Tillgången till personuppgifter inom myndigheten ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (1 kap. 16 § FRA-PuL).

Personuppgifter får enligt 1 kap. 9 § FRA-PuL behandlas av Försvarets radioanstalt om det är nödvändigt för att

1.följa förändringen av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, och

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Personuppgifter får även behandlas av Försvarets radioanstalt om det är nödvändigt för att biträda andra myndigheter vid värdering utveckling, anskaffning och drift av signalspaningssystem (1 kap.

10§ FRA-PuL).

Försvarets radioanstalt får inte behandla personuppgifter enbart

på grund av vad som är känt om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Om myndigheten behandlar uppgifter om en person på annan grund får den emellertid komplettera (dvs. behandla) dessa uppgifter med känsliga personuppgifter om det är absolut nödvändigt för ändamålet med behandlingen (1 kap. 11 § FRA-PuL).

Den information som Försvarets radioanstalt inhämtar genom signalspaning är ur ett underrättelseperspektiv alltid obearbetad. Informationen är ofta såväl krypterad som avfattad på ett främmande språk. Det är först sedan de inhämtade signalerna har lagrats och därefter kryptoforcerats och översatts, som informationen kan tas fram i klartext eller sändningarnas innehåll kan beskrivas. Det är alltså först då det är utrett om det insamlade materialet innehåller personuppgifter och om det även är fråga om t.ex. känsliga personuppgifter. Bestämmelsen i 1 kap. 13 § FRA-PuL ger Försvarets radioanstalt ett uttalat stöd för att de nu beskrivna åtgärderna inte strider mot lagen i det skede av behandlingen då det ännu inte kunnat fastställas om informationen innehåller personuppgifter. Så snart det kunnat fastställas om informationen innehåller personuppgifter måste

39

Försvarets radioanstalt SOU 2020:68

vidare behandling av sådana uppgifter ske i överensstämmelse med vad som anges i lagen. Här kan nämnas att det i tillämpningen av bestämmelsen har uppkommit en fråga om det är först när Försvarets radioanstalt får klart för sig vilka personuppgifter som behandlas som det är möjligt för myndigheten att behandla dem enligt bestämmelserna i 1 kap. 6 och 8–12 §§ FRA-PuL. Datainspektionen tog i sitt tillsynsbeslut den 24 oktober 2016 upp frågan om tolkningen av 1 kap. 13 § FRA-PuL efter det att Siun hade anmält frågan dit (Datainspektionens dnr 2331-2015). Datainspektionen kom fram till att bestämmelsen inte är anpassad till de behov och förutsättningar som gäller för Försvarets radioanstalts signalspaningsverksamhet och uppmärksammade regeringen på behovet av en översyn. Betänkandet SOU 2018:63 innehåller en bestämmelse som i stället tar sikte på det skede då det inte har kunnat fastställas vilka personuppgifter som informationen innehåller. Betänkandet SOU 2018:63 behandlas i avsnitt 3.7.2.

Vidarebehandling av personuppgifter för vissa andra ändamål än de ursprungliga, s.k. sekundära ändamål, får göras med stöd av 1 kap. 6 § 4 FRA-PuL. Bestämmelsen ger möjlighet att fortsatt behandla insamlade uppgifter så länge personuppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen).

Uppgiftssamlingar

En uppgiftssamling är en samling med uppgifter som med hjälp av automatiserad behandling används gemensamt (1 kap. 4 § FRA-PuL). Av 1 kap. 7 § FRA-PuL följer att Försvarets radioanstalt, under de förutsättningar som anges i lagen, får behandla personuppgifter i uppgiftssamlingar. Enligt samma bestämmelse framgår att regeringen meddelar närmare föreskrifter eller beslut i enskilda fall om vilka uppgiftssamlingar som får finnas hos Försvarets radioanstalt och vilka uppgifter som får behandlas i respektive samling. Enligt FRA-PuF får det finnas uppgiftssamlingar för:

1.Råmaterial (2 §). Uppgiftssamlingarna får endast innehålla obearbetat och automatiskt bearbetat material som har inhämtats i försvarsunderrättelseverksamheten och utvecklingsverksamheten.

40

SOU 2020:68 Försvarets radioanstalt

2.Analyser (3 §). Uppgiftssamlingarna får endast innehålla analysresultat samt bearbetnings- och rapportunderlag.

3.Underrättelser (4 §). Uppgiftssamlingarna får endast innehålla färdiga underrättelserapporter.

4.Information om signalmiljön (5 §). Uppgiftssamlingarna får endast innehålla information och tekniska parametrar som rör signalmiljön.

5.Information om företeelser mot vilka signalspaningen inriktas (6 §). Uppgiftssamlingarna får endast innehålla sådan information om signalspaningsobjekt som är nödvändig för att verkställa inriktningar av signalspaningen.

6.Information om teknik- och metodikutveckling (6 a §). Uppgiftssamlingarna får endast innehålla information och tekniska parametrar som rör teknik- och metodikutvecklingen.

7.Information om signalskydd (6 b §). Uppgiftssamlingarna får endast innehålla information och tekniska parametrar som rör signalskyddet.

Bestämmelserna i 2, 5 och 6 §§ innehåller även vissa särskilda regler om hur länge personuppgifterna får behandlas. Bestämmelser om gallring redogörs för senare i detta avsnitt.

Elektroniskt utlämnande av och direktåtkomst till personuppgifter

Försvarets radioanstalt får endast lämna ut enstaka personuppgifter på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att uppgifter får lämnas ut på sådant medium även i andra fall (1 kap. 14 § FRA- PuL). Av 8 § FRA-PuF framgår att utlämnande på medium för automatiserad behandling får omfatta fler än enstaka uppgifter om uppgifterna lämnas ut till en annan statlig myndighet.

Bestämmelser om direktåtkomst regleras i 1 kap. 15 § FRA-PuL. Av bestämmelsens första stycke framgår att Försvarets radioanstalt får medge Försvarsmakten och Säkerhetspolisen direktåtkomst till uppgifter som utgör analysresultat i en uppgiftssamling för analyser och som behövs inom ramen för myndighetsöverskridande sam-

41

Försvarets radioanstalt SOU 2020:68

verkan mellan Försvarets radioanstalt, Försvarsmakten och Säkerhetspolisen för att myndigheterna ska kunna göra bedömningar på strategisk nivå av terrorhotet mot Sverige och svenska intressen. Enligt bestämmelsens andra stycke meddelar regeringen föreskrifter om vilka myndigheter som i andra fall får ha direktåtkomst till Försvarets radioanstalts uppgiftssamlingar. Av tredje stycket följer att regeringen, eller den myndighet som regeringen bestämmer, meddelar de ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktåtkomsten som behövs. Enligt 9 § FRA-PuF får Försvarets radioanstalt medge vissa myndigheter direktåtkomst till uppgifter i en uppgiftssamling för underrättelser. Regelverket möjliggör inte för Försvarets radioanstalt att medge en utländsk myndighet direktåtkomst till Försvarets radioanstalts uppgiftssamlingar.

Överföring av personuppgifter till andra länder och internationella organisationer

Av 1 kap. 17 § FRA-PuL framgår att personuppgifter som behandlas med stöd av lagen får föras över till andra länder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att överföring får ske även i andra fall då det är nödvändigt för Försvarets radioanstalts verksamhet.

Enligt 7 § FRA-PuF får uppgifter lämnas till en utländsk myndighet eller en internationell organisation om utlämnandet tjänar den svenska statsledningen eller det svenska totalförsvaret. De uppgifter som Försvarets radioanstalt lämnar till andra länder eller internationella organisationer får inte vara till skada för svenska intressen.

Försvarets radioanstalt har att beakta arten av information som lämnas ut, vad den kan komma att användas till och till vem den överlämnas. En överföring av personuppgifter förutsätter väl genomförda etiska överväganden. Försvarets radioanstalt har föreskrifter och rutiner som syftar till att förhindra att uppgifter som lämnas till andra länder skadar svenska intressen och säkerställa att integritetsintresset beaktas.

42

SOU 2020:68 Försvarets radioanstalt

Information till den enskilde

Försvarets radioanstalt är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte. Behandlas sådana uppgifter ska skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen, och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Sådan information behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Detta gäller dock inte om uppgifterna har lämnats ut till tredje man eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Informationen ska lämnas inom en månad från ansökan, eller inom fyra månader om det finns särskilda skäl. Skyldigheterna om informationsgivning gäller inte i den utsträckning sekretess hindrar att uppgifterna lämnas ut till den registrerade (2 kap. 1–3 §§ FRA-PuL).

Rättelse

Försvarets radioanstalt är skyldig att på begäran av en registrerad snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med FRA-PuL eller föreskrifter som meddelats med stöd av lagen. Försvarets radioanstalt ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver inte lämnas, om detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats (2 kap. 4 § FRA-PuL).

Att en personuppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifter ska vara förknippade med information om att de är spärrade och om anledningen till spärren. Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas.

43

Försvarets radioanstalt SOU 2020:68

Skadestånd

Staten ska ersätta den registrerade för skada och kränkningar av den personliga integriteten som en behandling av personuppgifter i strid med FRA-PuL eller föreskrifter som meddelats med stöd av lagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas om Försvarets radioanstalt visar att felet inte berodde på myndigheten. Ett anspråk på ersättning riktas mot staten och handläggs av Justitiekanslern (3 § förordningen [1995:1301] om handläggning av skadeståndsanspråk mot staten).

Säkerheten vid behandling

I 3 kap. FRA-PuL anges vad som krävs för att ett personuppgiftsbiträde eller annan person som arbetar under biträdet eller Försvarets radioanstalts ledning ska få behandla personuppgifter. Vidare tydliggörs att Försvarets radioanstalt ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas av myndigheten eller av ett personuppgiftsbiträde som myndigheten anlitat.

Personuppgiftsombud

Personuppgiftsombud behandlas i 4 kap. FRA-PuL. Av bestämmelserna följer att ett personuppgiftsombud ska ha till uppgift att självständigt se till att den behandlande myndigheten behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för myndigheten. Om personuppgiftsombudet har anledning att misstänka att den behandlande myndigheten bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, ska personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten. Personuppgiftsombudet ska även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter ska tillämpas.

Personuppgiftsombudets uppgifter omfattar även att föra förteckningar över de behandlingar som Försvarets radioanstalt genomför och som är helt eller delvis automatiserade. Regeringen, eller den

44

SOU 2020:68 Försvarets radioanstalt

myndighet som regeringen bestämmer, meddelar föreskrifter om vad förteckningarna ska innehålla. Personuppgiftsombudet ska också hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

Gallring av personuppgifter

I6 kap. 1 § FRA-PuL föreskrivs att personuppgifter som har behandlats automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i enskilt fall beslutat att gallring ska ske senast vid viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Regeringen har gett Riksarkivet ett sådant bemyndigande att meddela föreskrifter (12 § FRA-PuF). Sådana föreskrifter får dock inte omfatta personuppgifter i uppgiftssamlingar för råmaterial.

Särskild reglering om gallring finns i 2, 5 och 6 §§ FRA-PuF när det gäller uppgiftssamlingar för råmaterial, för information om signalmiljön och för information om företeelser mot vilka signalspaningen inriktas.

Personuppgifter i en uppgiftssamling för råmaterial ska gallras senast ett år efter det att behandlingen av uppgifterna påbörjats (2 § FRA-PuF).

Personuppgifter i en uppgiftssamling om signalmiljön ska gallras senast vid utgången av det första året efter det att behandlingen av uppgifterna påbörjades, om inte Försvarets radioanstalt dessförinnan beslutat att uppgifterna ska bevaras därför att de fortfarande behövs för det ändamål för vilket de behandlas. Om uppgifterna bevaras med stöd av ett sådant beslut ska de gallras eller frågan om bevarande prövas på nytt senast vid utgången av det första året efter beslutet (5 § FRA-PuF).

Personuppgifter i en uppgiftssamling för information om företeelser mot vilka signalspaningen inriktas ska gallras senast vid utgången av det tredje året efter det att behandlingen av uppgifterna påbörjades, om inte Försvarets radioanstalt dessförinnan har beslutat att uppgifterna ska bevaras därför att de fortfarande behövs för det ändamål för vilket de behandlas. Om uppgifter bevaras med

45

Försvarets radioanstalt SOU 2020:68

stöd av ett sådant beslut ska de gallras eller frågan om bevarande prövas på nytt senast vid utgången av det tredje året efter beslutet (6 § FRA-PuF).

Riksarkivet har den 23 mars 2009 beslutat att personuppgifter i Försvarets radioanstalts uppgiftssamlingar för underrättelser ska bevaras för historiska, statistiska och vetenskapliga ändamål (dnr KrA H231-2009/333). Riksarkivet har vidare den 23 januari 2018 beslutat att även personuppgifter i rapportunderlag i uppgiftssamlingar för analyser ska bevaras för dessa ändamål (dnr KrA H231-2017/2031).

Straff och överklagande

6kap. 2 § FRA-PuL innehåller bestämmelser om straff för lämnande av osann uppgift vid vissa i bestämmelserna angivna fall och behandling av känsliga personuppgifter i strid med vad som anges i de respektive lagarna.

Av 6 kap. 3 § FRA-PuL framgår att Försvarets radioanstalts beslut om viss information som ska lämnas samt om rättelse och underrättelse till tredje man får överklagas till allmän förvaltningsdomstol. Av bestämmelsen framgår vidare att övriga beslut enligt FRA-PuL inte får överklagas och att prövningstillstånd krävs vid överklagande till kammarrätten.

3.7.2Förslag till ny lagstiftning

I betänkandet Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt, SOU 2018:63, föreslås en ny lag och förordning om behandling av personuppgifter vid Försvarets radioanstalt. Den föreslagna lagstiftningen avser den behandling av personuppgifter som Försvarets radioanstalt utför inom ramen för myndighetens försvarsunderrättelse- och utvecklingsverksamhet, och informationssäkerhetsverksamhet. När det gäller behandling av personuppgifter inom ramen för Försvarets radioanstalts internationella samarbete innehåller betänkandet förslag som motsvarar de bestämmelser som

idag finns i 1 kap. 17 § FRA-PuL och 7 § FRA-PuF. Därutöver föreslås bestämmelser med sekundära ändamål som ger ett uttryckligt stöd för Försvarets radioanstalt att vidarebehandla personuppgifter för att tillhandahålla information om det behövs inom ramen för ett sam-

46

SOU 2020:68 Försvarets radioanstalt

arbete med andra länder och internationella organisationer. Betänkandet innehåller även förslag om att Försvarets radioanstalt, under vissa omständigheter, ska kunna medge en utländsk underrättelse- eller säkerhetstjänst direktåtkomst till vissa personuppgifter. Betänkandet har remissbehandlats och bereds i Regeringskansliet.

47

4Internationella och nationella regler om integritetsskydd

4.1Förenta nationerna

Förenta nationernas (FN) allmänna förklaring om de mänskliga rättigheterna antogs år 1948 av FN:s generalförsamling. Förklaringen omfattar politiska, medborgerliga, sociala, ekonomiska och kulturella rättigheter. Även om den allmänna förklaringen inte är bindande för medlemsstaterna ses den som ett uttryck för den internationella opinionens krav. Skyddet för den personliga integriteten behandlas i artikel 12. Där anges att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Vidare anges i artikel 29 att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd. FN har också antagit den internationella konventionen om medborgerliga och politiska rättigheter som trädde i kraft år 1976, till vilken Sverige är ansluten. Skyddet för den personliga integriteten regleras i artikel 17 i konventionen, vilken till sitt innehåll är likvärdig med ovan nämnda artikel 12 i den allmänna förklaringen. Kommittén för de mänskliga rättigheterna har inrättats för att övervaka att medlemsstaterna efterlever sina skyldigheter enligt konventionen.

År 1990 antog FN:s generalförsamling riktlinjer om datoriserade register med personuppgifter. Enligt riktlinjerna får medlemsstaterna i sin nationella lagstiftning om datoriserade register med personuppgifter inte samla in eller behandla personuppgifter på ett olagligt sätt eller använda uppgifterna för syften som står i strid med FN:s

49

Internationella och nationella regler om integritetsskydd SOU 2020:68

stadga. Ändamålet med ett register ska vara specificerat, berättigat och på något sätt uttryckligt angivet för den som berörs. Detta för att försäkra att alla personuppgifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med ändamålet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet.

4.2OECD

Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat riktlinjer angående integritetsskyddet och flödet av personuppgifter över gränserna. Riktlinjerna antogs år 1980 av OECD:s råd samtidigt som en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Sverige har godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna. Riktlinjerna, som är att betrakta som minimiregler, motsvarar i princip bestämmelserna i Europarådets dataskyddskonvention och är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn. Riktlinjerna gäller såväl för uppgifter som lagras automatiskt som uppgifter som förs manuellt. Riktlinjerna innehåller grundläggande principer till skydd för den personliga integriteten, bl.a. att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas. Vidare anges att personuppgifterna även ska vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande princip är att de ändamål för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.

4.3Europarätt

4.3.1Europarådet

Europakonventionen

De rättigheter som anges i FN:s allmänna förklaring om de mänskliga rättigheterna har utvecklats vidare av Europarådet i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Konventionen gäller sedan den 1 januari 1995 som lag i Sverige (prop. 1993/94:117). Av 2 kap.

50

SOU 2020:68 Internationella och nationella regler om integritetsskydd

19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen. Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. Av artikeln framgår att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa och moral eller för andra personers fri- och rättigheter. Tillämpningsområdet för artikeln omfattar behandling av personuppgifter om privatliv, familjeliv, hem eller korrespondens. Artikeln innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär (Danelius, H., Mänskliga rättigheter i europeisk praxis, 5 uppl., 2015, s. 365 f.). En inskränkning i en konventionsskyddad rättighet ska ha stöd i lag. Lagen ska vara så preciserad att inskränkningarna är förutsebara och att lagen är allmänt tillgänglig. Europadomstolen har i praxis slagit fast att intrånget ska vara nödvändigt, dvs. det ska finnas ett ”angeläget samhälleligt behov” och inskränkningen ska stå i rimlig proportion till det syfte som ska tillgodoses genom den.

Europarådets dataskyddskonvention

De dataskyddsregler som antagits inom ramen för Europarådet finns i första hand i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter1 (ETS 108), den s.k. dataskyddskonventionen. Konventionen, som trädde i kraft den 1 oktober 1985, kompletteras av ett antal av ministerkommittén antagna icke bindande rekommendationer om hur personuppgifter bör behandlas inom olika områden. Dataskyddskonventionen gäller för Europarådets 47 medlemsstater, men även Argentina, Kap Verde, Mauritius, Marocko, Mexiko, Senegal, Tunisien och Uruguay är parter till konventionen.

1Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108).

51

Internationella och nationella regler om integritetsskydd SOU 2020:68

Dataskyddskonventionen brukar ses som en precisering av artikel 8 i Europakonventionen och syftar till att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter (artikel 1). Konventionen tar sikte på behandling av personuppgifter i automatiserade personregister och automatiserad personuppgiftsbehandling i allmän och enskild verksamhet. Personuppgifterna ska enligt konventionen inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet (artikel 5). Vissa kategorier av personuppgifter får inte behandlas genom automatiserad databehandling om inte den nationella lagstiftningen ger ett ändamålsenligt skydd (”appropriate safeguards”). Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott (artikel 6).

Konventionen innehåller även bestämmelser om enskildas rätt att få veta att information lagras om honom eller henne och rätten att vid behov få den korrigerad (artikel 8). Restriktioner när det gäller rättigheterna i konventionen är endast möjliga när det handlar om ett överordnat intresse, såsom statens säkerhet eller försvar (artikel 9).

Enligt artikel 10 i dataskyddskonventionen, som även omfattar personuppgiftsbehandling som rör nationell säkerhet, åtar sig konventionsstaterna att införa lämpliga sanktioner och rättsmedel (”appropriate sanctions and remedies”) för överträdelser av sådana bestämmelser i den nationella lag genom vilka de grundläggande principer för dataskydd som har angetts i konventionen har genomförts. Konventionen anger dock inte vilka krav som ställs på sådana sanktioner.

Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till dataskyddskonventionen (ETS 181). Det innehåller bestämmelser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet trädde i kraft den 1 juli 2004. Av protokollet framgår bl.a. att varje konventionsstat ska se till att en eller flera myndigheter ansvarar för att kontrollera att de åtgärder respekteras som inom dess nationella lagstiftning ger verkan åt de principer som anges i konventionen. Tilläggsprotokollet innehåller vidare bestämmelser som anger att konventionsstaterna ska vidta åtgärder för att säkerställa att överföring av personuppgifter till ett land som inte är konventionspart

52

SOU 2020:68 Internationella och nationella regler om integritetsskydd

bara får ske om landet i fråga säkerställer en adekvat skyddsnivå för uppgifterna.

Konventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i princip övertagits av EU:s reglering i form av direktiv och förordning. EU:s reglering omfattar emellertid inte behandling av personuppgifter inom områden som allmän säkerhet, försvar och statens säkerhet, dvs. områden som ligger utanför unionsrätten. På dessa områden är dataskyddskonventionen därför fortfarande av betydelse.

Europarådet inledde år 2010 en översyn av konventionen och rekommendationerna. Europarådets medlemsstater antog ett ändringsprotokoll2 den 18 maj 2018 (CETS 223), vilket träder i kraft när det har ratificerats av Europarådets alla 47 medlemsstater. Ändringsprotokollet kan också träda i kraft den 11 oktober 2023 om det då har ratificerats av 38 medlemsstater, men gäller följaktligen i så fall endast för de stater som har ratificerat protokollet. Sverige har tillsammans med 37 andra medlemsstater undertecknat ändringsprotokollet. Därtill har ändringsprotokollet undertecknats av Argentina, Mauritius, Tunisien och Uruguay.3 Den 1 november 2020 hade åtta stater4 ratificerat ändringsprotokollet.

4.3.2Mål i Europadomstolen för mänskliga rättigheter

Centrum för rättvisa gav i juli 2008 in ett klagomål till Europadomstolen för mänskliga rättigheter (Europadomstolen) avseende regleringen av den signalspaning som bedrivs av Försvarets radioanstalt. Enligt Centrum för rättvisa står lagstiftningen om och tillämpningen av signalspaning i försvarsunderrättelseverksamhet i strid med Europakonventionens artikel 8 (rätt till skydd för privat- och familjeliv) och artikel 13 (rätt till ett effektivt rättsmedel).

Regeringen bestred att Centrum för rättvisa kan anses vara ett offer för en kränkning i konventionens mening och att den aktuella lagstiftningen och tillämpningen av densamma skulle strida mot Europakonventionen.

2Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 223).

3Status den 1 november 2020 om staters undertecknande av CETS No. 223.

4Bulgarien, Cypern, Estland, Kroatien, Litauen, Polen och Serbien, samt Mauritius.

53

Internationella och nationella regler om integritetsskydd SOU 2020:68

Europadomstolen fann i sin dom den 19 juni 2018 att någon kränkning av artikel 8 i Europakonventionen inte förekommit. Mot den bakgrunden fann domstolen inte anledning att särskilt pröva klagomålet avseende artikel 13 (Centrum för rättvisa mot Sverige, 35253/08). Centrum för rättvisa överklagade domen och Europadomstolen beslutade att pröva målet i stor sammansättning. Målet behandlades vid en muntlig förhandling den 10 juli 2019. Vid samma tillfälle behandlade Europadomstolen i stor sammansättning ett mål som rör den brittiska signalspaningslagstiftningen (Big Brother Watch och andra mot Förenade kungariket, 58170/13). Europadomstolen har ännu inte lämnat sina slutliga avgöranden i de två målen.

4.3.3Europeiska unionen

Stadgan

Av Europeiska unionens stadga om de grundläggande rättigheterna framgår att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs (artikel 8).

I artikel 52 i stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att sådana inskränkningar endast får göras i lag och ska vara förenliga med det väsentliga innehållet i rättigheterna. Begränsningar får endast göras om de är nödvändiga och svarar mot ett allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

EU-stadgan är rättsligt bindande för medlemsstaterna vid tillämpning av unionsrätten. Stadgan ska således inte tillämpas på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens (artikel 6 i Fördraget om Europeiska unionen).

54

SOU 2020:68 Internationella och nationella regler om integritetsskydd

EU:s dataskyddsförordning

Allmänt

Sedan den 25 maj 2018 utgör Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) grunden för generell personuppgiftsbehandling inom EU (GDPR). Det huvudsakliga syftet med GDPR är bl.a. att säkerställa en enhetlig skyddsnivå över hela unionen och att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. GDPR är direkt tillämplig i alla EU:s medlemsstater men förutsätter och möjliggör samtidigt kompletterande och specificerande nationella bestämmelser av olika slag.

Av artikel 2 GDPR framgår att förordningen inte ska tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik, behandling som utförs av en fysisk person och som är av rent privat natur samt behandling som sker inom brottsbekämpande verksamhet.

Försvar och nationell säkerhet är verksamhet som inte omfattas av unionsrätten (artikel 4.2 Fördraget om Europeiska unionen).

GDPR reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.

GDPR:s tillämplighet i Sverige

Utöver GDPR gäller sedan den 25 maj 2018 även lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Enligt 1 kap. 2 § dataskyddslagen gäller bestämmelserna i EU:s dataskyddsförordning och dataskyddslagen även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Europeiska dataskyddsstyrelsen saknar emellertid behörighet inom detta utvidgade tillämpningsområde (prop. 2017/18:105 s. 184). Särskilda undantag från det utvid-

55

Internationella och nationella regler om integritetsskydd SOU 2020:68

gade tillämpningsområdet har gjorts för bl.a. lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Behandlingen av personuppgifter i nämnda verksamheter ska således ske enligt denna speciallag i stället för GDPR. Förslag till en ny lag om behandling av personuppgifter vid Försvarets radioanstalt finns i SOU 2018:63, se avsnitt 3.7.2.

4.3.4Mål i EU-domstolen

Som nämnts ovan omfattar GDPR inte försvar och nationell säkerhet. Med detta i beaktande ser utredningen dock ett upplysningsvärde i att kort redogöra för en dom från EU-domstolen som rör överföring av personuppgifter.

EU-domstolen meddelade den 16 juli 2020 dom i målet C-311/18 Data Protection Commissioner mot Facebook Ireland och Maximillian Schrems angående en begäran om förhandsavgörande av Förvaltningsöverdomstolen i Irland. I målet behandlas frågan om GDPR:s tillämplighet vid överföring av personuppgifter mellan näringsidkare i kommersiellt syfte i en medlemsstat i EU (Irland) och ett annat land (USA) och vilka skyddsåtgärder som behöver finnas för att en överföring av personuppgifter ska vara tillåten i ett sådant fall.

EU-domstolen slår i sin dom fast att artikel 2.1 och 2.2 i GDPR ska tolkas så, att en överföring av personuppgifter i kommersiellt syfte från en näringsidkare etablerad i en medlemsstat till en annan näringsidkare etablerad i ett annat land, omfattas av förordningens tillämpningsområde trots att dessa uppgifter under eller efter överföringen kan komma att behandlas av myndigheterna i det andra landet för ändamål som avser säkerhet, försvar och nationell säkerhet. EU-domstolen slår vidare fast att det särskilda avtal, Privacy Shield, mellan EU och USA om överföring av personuppgifter i kommersiellt syfte inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA. Domstolen anser däremot att kommissionens beslut om standardavtalsklausuler är giltigt och att sådana kan användas

56

SOU 2020:68 Internationella och nationella regler om integritetsskydd

vid överföring till länder utanför EU och EES – i tillämpliga fall – tillsammans med ytterligare skyddsåtgärder.

Ett grundläggande syfte med GDPR är bl.a. att enskildas personuppgifter skyddas när uppgifterna behandlas för kommersiella syften. EU-domstolens dom visar de höga skyddskrav som GDPR ställer på behandlingen av personuppgifter som har överförts av näringsidkare

ikommersiella syften från ett EU/EES-land till ett icke-EU/EES- land. Då försvar och nationell säkerhet inte omfattas av GDPR:s bestämmelser medför EU-domstolens dom inga ändrade krav när det gäller överföring av personuppgifter mellan myndigheter för försvars- och säkerhetsändamål.

4.4Nationell reglering till skydd för den personliga integriteten

4.4.1Regeringsformen

Regeringsformen innehåller grundläggande bestämmelser till skydd för den personliga integriteten. Enligt målsättningsstadgandet i 1 kap. 2 § första stycket ska den offentliga makten utövas med respekt bl.a. för den enskilda människans frihet och enligt fjärde stycket ska det allmänna värna om den enskildes privat- och familjeliv. Bestämmelserna har dock inte någon bindande verkan för det allmänna och kan följaktligen inte ligga till grund för några individuella rättigheter (prop. 1975/76:209 s. 128 och prop. 2009/10:80 s. 173). I 2 kap. regeringsformen finns bestämmelser som skyddar enskildas integritet i en vidare mening. Enligt 2 kap. 6 § andra stycket regeringsformen är var och en – utöver vad som anges i första stycket i paragrafen om bl.a. påtvingade kroppsliga ingrepp – skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Grundlagsskyddet omfattar enbart betydande intrång. Bestämmelsen infördes den 1 januari 2011 i syfte att stärka skyddet för den personliga integriteten. Begränsning av skyddet får enligt 2 kap. 20 § regeringsformen göras i lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begräns-

57

Internationella och nationella regler om integritetsskydd SOU 2020:68

ningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 §).

I förarbetena till ändringen i 2 kap. 6 § framhålls att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (prop. 2009/10:80 s. 183).

4.4.2Offentlighets- och sekretesslagen

Offentlighets- och sekretesslagen (2009:400) innehåller ett flertal bestämmelser om sekretess till skydd för uppgifter om enskildas personliga förhållanden, vilka också medför ett skydd för enskildas personliga integritet.

De bestämmelser som i första hand är tillämpliga vid Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet och vid myndighetens behandling av personuppgifter i sådan verksamhet är 15 kap. 1 och 2 §§ samt 38 kap. 4 § offentlighets- och sekretesslagen. I nämnda bestämmelser i 15 kap. regleras utrikes- och försvarssekretessen. Enligt 15 kap. 1 § gäller sekretess för uppgift som rör Sveriges förbindelser med en annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridiska person i annan stat eller statslös, om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år.

58

SOU 2020:68 Internationella och nationella regler om integritetsskydd

Av 15 kap. 2 § följer, såvitt nu är av intresse, att sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år. Om det finns särskilda skäl får regeringen meddela föreskrifter om att sekretessen ska gälla under längre tid. Regeringen har genom 4 § 2 offentlighets- och sekretessförordningen (2009:641) förordnat att sekretessen för uppgifter som rör underrättelseverksamheten inom underrättelse- och säkerhetstjänsten gäller i högst nittiofem år.

15 kap. 1 och 2 §§ offentlighets- och sekretesslagen är tillämpliga på uppgifter som hänför sig till eller rör viss verksamhet. Det innebär att de gäller i all verksamhet där sådana uppgifter förekommer.

Enligt 38 kap. 4 § offentlighets- och sekretesslagen gäller sekretess för Försvarets radioanstalts underrättelse- och säkerhetsverksamhet för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

59

5Regleringen i andra nordiska länder

5.1Inledning

I detta avsnitt redovisas översiktligt den reglering av internationellt samarbete på försvars- och utrikesunderrättelseområdet som finns i Danmark, Finland och Norge. Regleringarna i de olika länderna är inte fullt jämförbara då de i olika grad anger specifika bestämmelser för just signalspaningen. Även organisatoriska skillnader föreligger. Försvarets radioanstalt är en självständig civil myndighet som bedriver signalspaning. Motsvarande signalspaning bedrivs i Danmark, Finland och Norge av funktioner som organisatoriskt ingår i landets försvarsmakt eller på annat sätt är underställda landets överbefälhavare.

Beträffande lagstiftningen i Danmark kan noteras att Danmarks försvarsminister, efter inkomna synpunkter från ansvarigt tillsynsorgan, den 24 augusti 2020 meddelade att man från Försvarsministeriets sida bl.a. avser att inleda en översyn av 2014 års underrättelselag.

I Finland finns det sedan 2019 en ny lag om militär underrättelseverksamhet och en ny lag om Finlands försvarsmakts behandling av personuppgifter.

Norge har en underrättelselag från 1998 som kommer att ersättas av en ny lagstiftning från och med den 1 januari 2021. Redovisningen av den norska regleringen omfattar därför endast den kommande regleringen.

Redovisningen av de tre ländernas lagstiftningar som rör signalspaning och behandling av personuppgifter inom den verksamheten gör inte anspråk på att ge en fullständig bild.

61

Regleringen i andra nordiska länder SOU 2020:68

5.2Danmark

Allmänt om regleringen

I Danmark anger 1 § Loven om Forsvarets Efterretningstjeneste (FE), (602/2013), att det är Forsvarets Efterretningstjeneste (FE) som är Danmarks utrikesunderrättelsetjänst och militära underrättelsetjänst. Av bestämmelsen följer att underrättelseverksamheten ska vara riktad mot utländska förhållanden och ge ett underrättelsemässigt underlag för dansk utrikes-, säkerhets- och försvarspolitik. FE ska också medverka till att förebygga och motverka hot mot Danmark och danska intressen. Bestämmelsen anger vidare att FE för angivna ändamål har att insamla, inhämta, bearbeta, analysera och rapportera om förhållanden i utlandet som är av betydelse för Danmark och danska intressen, t.ex. danska enheter m.m. i utlandet.

FE ansvarar för att leda den militära säkerhetstjänsten och upprätthåller funktionen som nationell säkerhetsmyndighet på försvarsområdet. FE är därtill it-säkerhetsmyndighet, militärt kompetenscentrum för cybersäkerhet och myndighet för informationssäkerhet och beredskap på teleområdet.

Enligt 4 och 5 §§ loven om Forsvarets Efterretningstjeneste får FE behandla personuppgifter om en i Danmark hemmahörande fysisk eller juridisk person om behandlingen sker med samtycke, om behandlingen får antas ha betydelse för FE:s uppgifter att bl.a. förebygga och motverka hot mot Danmark och danska intressen samt om behandlingen är nödvändig för FE:s uppgifter inom den militära säkerhetstjänsten och säkerhetsskyddet på försvarsområdet. Lagen innehåller även bestämmelser om tillsyn.

Internationellt samarbete

Enligt 7 § Loven om Forsvarets Efterretningstjeneste får uppgifter om fysiska och juridiska personer hemmahörande i Danmark föras över till utländska myndigheter och internationella organisationer i enlighet med de villkor som följer av bl.a. 4 och 5 §§ i nämnda lag samt bestämmelser i dataskyddslagstiftningen. En överföring av personuppgifter får endast ske om den efter en konkret bedömning har bedömts vara motiverad.

62

SOU 2020:68 Regleringen i andra nordiska länder

5.3Finland

Allmänt om regleringen

Enligt 3 § lagen om militär underrättelseverksamhet (590/2019) syftar den militära underrättelseinhämtningen till att stödja den högsta statsledningens beslutsfattande genom att inhämta och behandla information om militär verksamhet som riktar sig mot Finland eller som är av betydelse med tanke på Finlands säkerhetsmiljö eller om underrättelseverksamhet som riktar sig mot Finlands försvar. Enligt samma bestämmelse syftar även verksamheten till att inhämta och behandla information för att Försvarsmakten t.ex. ska kunna övervaka och trygga den territoriella integriteten, trygga befolkningens livsbetingelser, de grundläggande fri- och rättigheterna, statsledningens handlingsfrihet och försvara den lagliga samhällsordningen, delta i stöd och bistånd som grundar sig på artikel 222 i fördraget om Europeiska unionens funktionssätt eller artikel 42.7 i fördraget om Europeiska unionen eller annat internationellt bistånd och annan internationell verksamhet, samt delta i internationell militär krishantering och i militära uppdrag i annan internationell krishantering. Det följer av 4 § att den militära underrättelseverksamheten får riktas mot verksamhet, som till sin art är militär, och som bedrivs av främmande makts väpnade styrkor och av med dem jämförbara organiserade trupper samt förberedelse för sådan verksamhet, underrättelseverksamhet mot Finlands försvar, planläggning, tillverkning, spridning och användning av massförstörelsevapen, främmande stats utveckling och spridning av militär materiel, kriser och verksamhet som allvarligt hotar internationell fred och säkerhet, verksamhet som allvarligt hotar säkerheten för Finlands internationella biståndsarbete och annan internationell verksamhet och främmande stats verksamhet som allvarligt hotar det finska försvaret eller som sätter samhällets vitala funktioner i fara.

Finlands försvarsmakts behandling av personuppgifter regleras i lagen om behandling av personuppgifter inom Försvarsmakten (332/2019).

63

Regleringen i andra nordiska länder SOU 2020:68

Internationellt samarbete

Bestämmelser som rör internationellt samarbete finns i såväl lagen om militär underrättelseverksamhet som lagen om behandling av personuppgifter inom Försvarsmakten. Enligt 20 § lagen om militär underrättelseverksamhet kan de militära underrättelsemyndigheterna i enlighet med Finlands nationella intressen i anknytning till sina uppgifter eller för att skydda den nationella säkerheten, trots sekretess, utbyta andra underrättelseuppgifter än personuppgifter med utländska underrättelse- och säkerhetstjänster, om det behövs, och delta i internationellt samarbete i anknytning till inhämtandet och bedömningen av underrättelseuppgifter.

Huvudstabens underrättelsechef beslutar om deltagande i internationellt samarbete och om användning av metoderna för underrättelseinhämtning. Av bestämmelsen följer även att internationellt samarbete är förbjudet om det finns grundad anledning att misstänka att en person på grund av samarbetet eller utlämnandet av uppgifter riskerar dödsstraff, tortyr, någon annan behandling som kränker människovärdet, förföljelse, godtyckligt frihetsberövande eller orättvis rättegång. Ett motsvarande förbud har formulerats i 32 § lagen om behandling av personuppgifter inom Försvarsmakten när det gäller utlämnande av underrättelseuppgifter till en annan stat eller en internationell organisation.

Av 28 § lagen om behandling av personuppgifter inom Försvarsmakten framgår att de villkor som ställts av den som lämnat ut uppgifterna i fråga om sekretess, tystnadsplikt, begränsningar i användningen av uppgifter, vidareutlämning av uppgifter eller återsändande av utlämnat material ska iakttas. Enligt paragrafen ska dessutom vid behandlingen av personuppgifter som erhållits från en annan stat eller en internationell organisation iakttas vad som bestäms i internationella fördrag och andra förpliktelser som binder Finland.

Enligt 32 § lagen om behandling av personuppgifter inom Försvarsmakten får Försvarsmakten till en annan stat eller en internationell militär organisation lämna ut personuppgifter som har erhållits i ett uppdrag inom militär underrättelseinhämtning eller ett uppdrag som gäller förebyggande eller avslöjande av brott, om det är nödvändigt för att garantera den nationella säkerheten eller att brott förebyggs och avslöjas. När beslut fattas om utlämnande av uppgifter ska hänsyn dessutom tas till människorättssituationen i den stat som är

64

SOU 2020:68 Regleringen i andra nordiska länder

mottagare av personuppgifterna, utlämnandets betydelse för Finlands internationella relationer samt de internationella fördrag och andra förpliktelser som binder Finland. Vidare ska nivån på dataskyddet i den stat som är mottagare av personuppgifterna och vilken betydelse utlämnandet har med tanke på den registrerades rättigheter beaktas. Av bestämmelsen framgår även att det är förbjudet att i stor skala lämna ut känsliga personuppgifter liksom också andra personuppgifter som är viktiga med tanke på sådana personers integritetsskydd och att det till de personuppgifter som lämnas ut vid behov ska fogas villkor som gäller ändamålet med uppgifterna och vidareutlämningen av dem.

5.4Norge

Allmänt om den nya regleringen

Norges utrikesunderrättelseverksamhet kommer från och med den 1 januari 2021 att regleras i en ny Lov om Etterretningstjenesten. I lagens 3 kap. anges de ändamål för vilka Etterretningstjenesten (ET) får inhämta och analysera information enligt lagen. Det rör sig om informationsinhämtning om utländska hot (§ 3-1), andra utländska förhållanden (§ 3-2), ockupationsberedskap (§ 3-3), internationellt underrättelsesamarbete (§ 3-4) samt utvecklingsverksamhet (§ 3-5).

Enligt § 3-1 ska ET inhämta och analysera information om utländska förhållanden som kan bidra att avslöja och motverka bl.a. hot mot Norges självständighet och säkerhet, territoriella integritet och politiska och ekonomiska handlingsfrihet, allvarliga hot mot samhällets säkerhet i Norge, allvarliga hot mot norska intressen i utlandet, främmande underrättelseverksamhet, främmande sabotage- och påverkansoperationer, gränsöverskridande terrorism, spridning av massförstörelsevapen och utrustning och materiel för framställning av sådana vapen, internationell vapenhandel som kan utgöra ett allvarligt säkerhetshot och export av varor och tjänster som är utsatta för sanktioner, listade eller känsliga. Andra utländska förhållanden enligt § 3-2 anges vara information som kan bidra till att ta tillvara prioriterade utrikes-, försvars- eller säkerhetspolitiska intressen knutna till förhållanden och utvecklingstendenser i andra stater och regioner, nationell beredskapsplanering, krishantering samt planläggning och genomförande av nationella eller internationella militära operationer.

65

Regleringen i andra nordiska länder SOU 2020:68

Internationellt samarbete enligt den nya regleringen

Enligt § 3-4 den nya lagen får ET, när det är i Norges intresse, inhämta och analysera information om utländska hot och andra företeelser som anges i lagens tredje kapitel om det kan antas vara av väsentlig betydelse för det bi- eller multilaterala underrättelsesamarbete som ET deltar i. Enligt författningskommentaren till bestämmelsen innebär det att ET kan inhämta information som är relevant för andra länder utan att det har omedelbar underrättelserelevans för Norge. En förutsättning är att det bidrar till att etablera och upprätthålla underrättelsesamarbeten som är viktiga för Norge (prop. 80 L [2019–2020] s. 200).

I 10 kap. den nya lagen finns bestämmelser om nationellt och internationellt samarbete. Av § 10-1 framgår att ET ska etablera och upprätthålla underrättelsesamarbete med andra länder, försvarsallianser som Norge deltar i och andra internationella organisationer. I § 10-2 anges ett antal kumulativa villkor som måste vara uppfyllda för att underrättelseinformation ska kunna föras över till norska myndigheter. Bland villkoren anges t.ex. att en överföring ska ske för ett underrättelseändamål eller är nödvändigt för att främja mottagarens verksamhet eller hindra att verksamhet utövas på ett oförsvarligt sätt, att överföring av information som ET mottagit av en tredje part sker med dennas samtycke och att överförd information kan förväntas bli behandlat på ett säkerhetsmässigt godtagbart sätt. Enligt

§10-3 kan ET föra över underrättelseinformation till andra staters myndigheter eller internationella organisationer om villkoren enligt

§10-2 är uppfyllda, överföringen sker under nationell kontroll och i Norges intresse, samt att det sätts som villkor att informationen inte får användas som underlag för inhämtning riktad mot personer i Norge, med undantag för personer som inte är norska medborgare eller statslösa och som agerar på uppdrag av en annan stat eller en statsliknande aktör och som det ligger i Norges intresse att mottagaren inhämtar upplysningar om. Av § 10-3 följer också att ET inte får föra över underrättelseinformation om det finns en reell risk för att informationen kan medverka till att någon utsätts för tortyr eller annan omänsklig eller nedvärderande behandling eller straff.

66

6 Överväganden och förslag

6.1Internationellt samarbete i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet

Utredningens uppdrag består i att redogöra för de bestämmelser som gäller för Försvarets radioanstalts internationella samarbete inom försvarsunderrättelse- och utvecklingsverksamheten, bedöma om regleringen av Försvarets radioanstalts internationella samarbete är effektiv och ändamålsenlig sett till myndighetens verksamhet och enskildas personliga integritet och lämna nödvändiga författningsförslag.

I avsnitt 3 lämnas en allmän redogörelse av det regelverk som reglerar Försvarets radioanstalts verksamhet och de bestämmelser som rör myndighetens internationella samarbete i försvarsunderrättelse- och utvecklingsverksamheten. Av redogörelsen framgår att Försvarets radioanstalt bedriver sådant internationellt samarbete enligt bestämmelser i lagen om försvarsunderrättelseverksamhet, LSF och FRA-PuL med tillhörande förordningar. Av lagstiftningen framgår att en grundläggande förutsättning för Försvarets radioanstalts deltagande i internationella samarbeten är att ett sådant deltagande tjänar den svenska statsledningen och det svenska totalförsvaret samt att de uppgifter som lämnas till andra länder och internationella organisationer inte är till skada för svenska intressen (3 § förordningen om försvarsunderrättelseverksamhet och 6 § förordningen om signalspaning i försvarsunderrättelseverksamhet).

Utredningen konstaterar att internationellt samarbete utgör en viktig del i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Vikten av internationellt samarbete har också påtalats av regeringen och Försvarsberedningen. Regeringen framhåller t.ex. i propositionen Lag om försvarsunderrättelseverksamhet att

67

Överväganden och förslag SOU 2020:68

utbyte av underrättelseinformation innefattas som en central del i begreppet samarbete (prop. 1999/2000:25 s. 20) och i propositionen Personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt att utbyte av information är nödvändigt för att Sverige ska kunna få del av sådan information som landet behöver men som kräver resurser som saknas (prop. 2006/07:46 s. 81). Regeringen anför vidare

ipropositionen Totalförsvaret 2021–2025 att internationella samarbeten inom underrättelseområdet är av grundläggande betydelse för svensk underrättelseförmåga, samt att förutsättningarna för internationella samarbeten är att Sverige har egna relevanta underrättelser att bidra med och att långsiktiga och tillitsfulla relationer byggs (prop. 2020/21:30 s. 157). Försvarsberedningen anger i sin rapport Värnkraft att internationella samarbeten är viktiga på underrättelseområdet och att förutsättningarna för internationella samarbeten är att Sverige har egna relevanta underrättelser att bidra med och att vi bygger långsiktiga och tillitsfulla relationer. Beredningen anför vidare att det internationella underrättelsesamarbetet också är betydelsefullt för att underbygga och stärka de säkerhetspolitiska samarbeten som Sverige ingår i. Det är just långsiktighet och tillit som gör att bilaterala relationer på underrättelseområdet har förutsättningar att lyckas. Det kan finnas begränsningar i hur djupa multilaterala underrättelsesamarbeten i t.ex. EU-, FN- eller Natosammanhang kan bli,

ijämförelse med bilaterala motsvarigheter. Försvarsberedningen konstaterar dock att multilaterala underrättelsesamarbeten har ökat i betydelse på senare år och anser att de ska ses som ett viktigt komplement till bilaterala samarbeten på underrättelseområdet (Ds 2019:8 s. 247).

Vad regeringen och Försvarsberedningen anger avseende vikten och betydelsen av internationella samarbeten för bl.a. svensk försvarsunderrättelseförmåga är i högsta grad även giltigt för Försvarets radioanstalts signalspaning. För att säkerställa att Sverige ska kunna få del av sådan information som landet behöver är det för Försvarets radioanstalt nödvändigt att upprätthålla samarbeten rörande såväl inhämtning, bearbetning, analys, teknik som utbyte av underrättelser. De avgörande skälen till detta är såväl resursmässiga som geografiska. När Försvarets radioanstalt genomför försvarsunderrättelse- och utvecklingsverksamhet inriktar, bemannar, anpassar och dimensionerar myndigheten helt och hållet underrättelseproduktionen och utvecklingsverksamheten för att möta de egna nationella underrättelsebehoven. Inom ramen för den egna inhämtningen och underrättelse-

68

SOU 2020:68 Överväganden och förslag

produktionen uppkommer möjlighet att även beakta utländska samarbetsparters behov. Genom internationella signalspaningssamarbeten möjliggörs svensk tillgång till unik och för svenska underrättelse- och säkerhetsintressen oundgänglig information som annars skulle ligga utanför Försvarets radioanstalts egen signalspaningskapacitet och -räckvidd. Just inhämtningssamarbeten är av central betydelse för att utöka Försvarets radioanstalts signalspanings geografiska räckvidd. Ett inslag i förtroendefulla underrättelsesamarbeten är att kunna dela information som är värdefull för samarbetsparten, men som inte alltid är av omedelbar betydelse för det egna landet. Även om samarbetande länders underrättelsebehov ofta sammanfaller på övergripande nivå kan de enskilda behoven skilja sig åt i detaljerna. Som exempel kan nämnas den internationella terrorismen som utgör ett hot som är påtagligt för många länder. Respektive land kan dock ha ett särskilt intresse för vissa specifika terroristceller som bedöms utgöra ett hot mot det egna landet eller mot det egna landets intressen. Att ha förutsättningar att under vissa premisser kunna dela information med den utländska myndigheten innebär att Försvarets radioanstalt i olika former skapar incitament för motparten att i sin tur beakta primärt svenska informationsbehov och lämna sådan information tillbaka. Utöver att på sådant vis åstadkomma en utökad geografisk räckvidd för Försvarets radioanstalts signalspaning, och motsvarande för en samarbetspart, bidrar förtroendefulla samarbeten påtagligt till möjligheterna att möta den dynamiska och accelererande teknik- och telekommunikationsutveckling som ständigt ställer signalspaningen inför nya utmaningar och som inget land ensamt förmår möta. Internationella samarbeten är således av avgörande betydelse för svensk utrikes-, säkerhets- och försvarspolitik och i övrigt vid kartläggning av yttre hot mot landet.

Försvarets radioanstalts deltagande i internationellt samarbete inom myndighetens försvarsunderrättelse- och utvecklingsverksamhet utgör en integrerad och viktig del i myndighetens arbete. Försvarets radioanstalts signalspaning i försvarsunderrättelseverksamhet är särskilt reglerad sedan 2008. Genom att grundförutsättningen för gynnsamma internationella underrättelsesamarbeten är att Försvarets radioanstalt har egna relevanta underrättelser att bidra med och att det finns förutsättningar att bygga långsiktiga och tillitsfulla relationer med utländska motsvarigheter är det angeläget att regleringen av Försvarets radioanstalts signalspaning är effektiv och ändamålsenlig även

69

Överväganden och förslag SOU 2020:68

avseende förutsättningarna för internationella samarbeten rörande inhämtning av signaler i elektronisk form.

Utredningen bedömer att den reglering som redovisas i avsnitt 3 på det hela taget är effektiv och ändamålsenlig sett till Försvarets radioanstalts internationella samarbete inom försvarsunderrättelse- och utvecklingsverksamheten och enskildas personliga integritet. Utifrån den bedömningen föreslås inga ändringar i lagen om försvarsunderrättelseverksamhet med tillhörande förordning. Utredningens bedömningar och ändringsförslag beträffande LSF och FRA-PuL redovisas närmare i avsnitt 6.2–6.3.

6.2Lagen om signalspaning

i försvarsunderrättelseverksamhet

6.2.1Signalspaning vid internationellt samarbete

Förslag: Att Försvarets radioanstalt får bedriva signalspaning om det är nödvändigt inom ramen för myndighetens internationella samarbete i försvarsunderrättelseverksamheten ska framgå av lagen om signalspaning i försvarsunderrättelseverksamhet. De företeelser som nu anges i lagen behöver inte justeras i anledning av detta, med den skillnaden att de inte behöver vara riktade mot Sverige eller röra svenska intressen.

Bedömning: Det finns inte anledning att göra någon ändring i lagen om signalspaning i försvarsunderrättelseverksamhet när det gäller Försvarets radioanstalts rätt att bedriva signalspaning om det är nödvändigt inom ramen för myndighetens internationella samarbete i utvecklingsverksamheten.

Skälen för förslaget och bedömningen

Försvarets radioanstalt får endast inhämta signaler i elektronisk form för de ändamål som anges i 1 § andra och tredje styckena LSF, enligt vad som beskrivs i avsnitt 3.4.1. Flertalet av de ändamål med företeelser som anges i 1 § andra stycket punkterna 1–8 är formulerade på ett sätt som ger uttryck för att företeelserna ska vara riktade mot

70

SOU 2020:68 Överväganden och förslag

Sverige eller röra svenska intressen. Som beskrivits i avsnitt 6.1 kan samarbetande länder ha gemensamma intressen på ett övergripande plan, men olika intressen avseende detaljerna. Detta gäller exempelvis för strategiska förhållanden avseende internationell terrorism, men också för övriga ändamål som anges i punkterna 1–8. Detta förhållande bör komma till tydligt uttryck i regelverket. Det bör således genom en ny punkt 9 i 1 § andra stycket LSF föras in en bestämmelse som anger att signalspaningsmyndigheten, om det är nödvändigt för sådant samarbete i underrättelsefrågor med andra länder och internationella organisationer som signalspaningsmyndigheten deltar i, får bedriva signalspaning i försvarsunderrättelseverksamhet i syfte att kartlägga de företeelser som anges i punkterna 1–8, med den skillnaden att de inte behöver vara riktade mot Sverige eller röra svenska intressen. Även om företeelserna inte behöver vara riktade mot Sverige eller röra svenska intressen är det distinkt avgränsat för vilket ändamål Försvarets radioanstalt får bedriva signalspaning enligt den föreslagna nya punkten.

Samarbete i underrättelsefrågor är det uttryck som används i 3 § lagen om försvarsunderrättelseverksamhet och bör därför även användas i den föreslagna bestämmelsen. Bedömningen om signalspaning enligt den nya punkten är nödvändig för ett samarbete i underrättelsefrågor som signalspaningsmyndigheten deltar i görs utifrån regeringens bestämmande av samarbetet och inriktning av verksamheten. Har regeringen bestämt att ett samarbete med ett annat land eller en internationell organisation får bedrivas och därtill har inriktat signalspaning enligt 4 § LSF är nödvändighetskravet uppfyllt. Angående frågan om inriktningsansvar, se nedan.

När det gäller Försvarets radioanstalts signalspaning inom myndighetens utvecklingsverksamhet avser den verksamheten bl.a. utveckling av teknik och metodik, och sker till stöd för försvarsunderrättelseverksamheten. Med hänsyn till utvecklingsverksamhetens innehåll och syfte innehåller det befintliga regelverket inte något krav på att en viss verksamhet ska vara riktad mot Sverige eller röra svenska intressen. Den frågeställning som uppkommer visavi försvarsunderrättelseverksamheten gör sig därför inte gällande beträffande den signalspaning som får ske för utvecklingsverksamheten. Med hänsyn till detta, men också med beaktande av bestämmelserna i LSF om regeringens närmare bestämmande avseende internationellt samarbete inom utvecklingsverksamheten (9 §) och regeringens inrikt-

71

Överväganden och förslag SOU 2020:68

ning av signalspaning på området (4 § andra stycket), finns inte skäl att ändra 1 § tredje stycket LSF beträffande Försvarets radioanstalts signalspaning inom utvecklingsverksamheten.

En allmän utgångspunkt för Försvarets radioanstalts internationella samarbete inom försvarsunderrättelse- och utvecklingsverksamheten är att det ska tjäna statsledningen och det svenska totalförsvaret respektive den nationella säkerheten, och att det inte är till skada för svenska intressen (3 § förordningen om försvarsunderrättelseverksamhet och 6 § förordningen om signalspaning i försvarsunderrättelseverksamhet). De i 1 § andra och tredje styckena angivna ändamålen för signalspaning i försvarsunderrättelseverksamhet och utvecklingsverksamhet kan avgränsas ytterligare i regeringens inriktning. Som nämnts i avsnitt 3.5 får Försvarets radioanstalt endast etablera och upprätthålla samarbete i underrättelse- och signalspaningsfrågor enligt regeringens närmare bestämmande. Det bör även vara regeringen som ensam ansvarar för att bestämma inriktningen av signalspaning vid internationellt samarbete, vilket utvecklas närmare i avsnitt 6.2.2.

6.2.2Regeringen ansvarar för att bestämma inriktningen av signalspaning vid internationellt samarbete

Förslag: Regeringen bör ensam ansvara för att inrikta den signalspaning som sker inom ramen för signalspaningsmyndighetens internationella samarbete i försvarsunderrättelse- och utvecklingsverksamheten.

Skälen för förslaget

När det gäller rätten att inrikta signalspaning i försvarsunderrättelseverksamhet framgår av 4 § första stycket LSF att inriktning av signalspaning endast får anges av regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdelningen i Polismyndigheten. Av paragrafens andra stycke framgår vidare att det är regeringen som bestämmer inriktningen av den verksamhet som bedrivs enligt 1 § tredje stycket LSF, dvs. Försvarets radioanstalts utvecklingsverksamhet. Eftersom utvecklingsverksamheten syftar till att tillgodose Försvarets radioanstalts eget behov av att följa den tek-

72

SOU 2020:68 Överväganden och förslag

niska utvecklingen såg regeringen inte anledning att ge andra myndigheter möjlighet att också inrikta den signalspaning som bedrivs för att följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet samt fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten (prop. 2006/07:63 s. 79).

Regeringens inriktningsrätt omfattar även Försvarets radioanstalts internationella samarbete inom utvecklingsverksamheten. Frågan är då om det finns skäl att justera regleringen beträffande rätten att inrikta Försvarets radioanstalts signalspaning som sker med anledning av ett internationellt samarbete inom försvarsunderrättelseverksamheten.

Internationellt samarbete inom försvarsunderrättelseområdet har tydliga utrikes-, säkerhets- och försvarspolitiska aspekter. Det är därför regeringen som ansvarar för att närmare bestämma det samarbete i underrättelse- och signalspaningsfrågor med andra länder och internationella organisationer som Försvarets radioanstalt får etablera och upprätthålla (se 3 § lagen om försvarsunderrättelseverksamhet och 9 § LSF, samt 3 § förordningen om försvarsunderrättelseverksamhet och 6 § förordningen om signalspaning i försvarsunderrättelseverksamhet). Regeringen bör av motsvarande skäl ensam ansvara för inriktningen av signalspaning som sker inom ramen för Försvarets radioanstalts internationella samarbete i myndighetens försvarsunderrättelse- och utvecklingsverksamhet.

6.2.3Förstöringsplikt

Förslag: Det ska framgå av lagen om signalspaning i försvarsunderrättelseverksamhet att förstöringsplikten enligt 2 a § och 7 §, med de undantag som bestämmelserna innehåller, även gäller för upptagningar och uppteckningar som Försvarets radioanstalt har fått från ett annat land eller en internationell organisation inom ramen för ett internationellt samarbete.

73

Överväganden och förslag SOU 2020:68

Skälen för förslaget

Som framgår av avsnitt 3.4.1 innehåller 2 a och 7 §§ LSF bestämmelser om en förstöringsplikt om vissa förhållanden föreligger när Försvarets radioanstalt har inhämtat en upptagning eller uppteckning av uppgifter enligt LSF. Inom ramen för det internationella underrättelse- och säkerhetssamarbetet mottar Försvarets radioanstalt upptagningar och uppteckningar från andra länders underrättelse- och säkerhetstjänster och internationella organisationer. På samma sätt som gäller i Försvarets radioanstalts egen signalspaning kan det inte uteslutas att ett annat land eller en internationell organisation i sin signalspaningsverksamhet har råkat inhämta upptagningar eller uppteckningar av de slag som måste förstöras enligt 2 a och 7 §§ LSF om Försvarets radioanstalt hade inhämtat dem. Bestämmelserna har ett tydligt integritetsskyddande syfte. Försvarets radioanstalt har upplyst utredningen om att myndigheten redan i dag tillämpar bestämmelserna i 2 a och 7 §§ på så sätt att mottagna upptagningar och uppteckningar förstörs om det vid en analys framkommer att det är fråga om sådan information som avses i bestämmelserna. Utredningen bedömer att Försvarets radioanstalts tillämpning av bestämmelserna är både rimlig och lämplig. Med hänsyn till bestämmelsernas integritetsskyddande karaktär, men också som ett tydliggörande stöd för Försvarets radioanstalt i myndighetens relation till utländska samarbetsparter, bör det av 2 a § och 7 §, med de undantag som bestämmelserna innehåller, framgå att förstöringsplikten även gäller för upptagningar eller uppteckningar som signalspaningsmyndigheten har fått från ett annat land eller en internationell organisation inom ramen för ett internationellt samarbete.

6.2.4Tillstånd

Bedömning: Det saknas anledning att justera bestämmelserna om ansökan till och tillstånd från Försvarsunderrättelsedomstolen till följd av Försvarets radioanstalts internationella samarbete i försvarsunderrättelse- och utvecklingsverksamheten.

74

SOU 2020:68 Överväganden och förslag

Skälen för bedömningen

Bestämmelser om vad en ansökan till Försvarsunderrättelsedomstolen ska innehålla och vad domstolen ska pröva anges i 4 a och 5 §§ LSF. Bestämmelserna närmare innehåll redovisas i avsnitt 3.4.2.

Även den signalspaning som Försvarets radioanstalt utför inom ramen för sitt internationella samarbete sker genom användning av sökbegrepp eller kategorier av sökbegrepp, vilka ska vara godkända av Försvarsunderrättelsedomstolen. De förslag som lämnas av utredningen påverkar således inte vad en ansökan ska innehålla eller vad Försvarsunderrättelsedomstolen ska pröva (prop. 2008/09:201 s. 56–59 och 111–112). Vikten av Försvarets radioanstalts internationella samarbete i syfte att upprätthålla bästa möjliga försvarsunderrättelse- och utvecklingsverksamhet kommer till uttryck i lagstiftningen med tillhörande förarbeten samt regeringens närmare bestämmande och inriktning av verksamheten. Det ankommer på Försvarets radioanstalt att, utifrån de behov som finns inom ramen för myndighetens internationella samarbete i försvarsunderrättelse- och utvecklingsverksamheten, formulera en ansökan till Försvarsunderrättelsedomstolen i enlighet med vad som krävs enligt LSF.

6.2.5Kontroll och tillsyn

Bedömning: Det saknas anledning att justera bestämmelserna om kontroll och tillsyn till följd av Försvarets radioanstalts internationella samarbete i försvarsunderrättelse- och utvecklingsverksamheten.

Skälen för bedömningen

I avsnitt 3.6.1 och 3.6.2 beskrivs de bestämmelser som gäller för Siuns och Datainspektionens kontrollrespektive tillsynsansvar.

Försvarets radioanstalt ska löpande informera Siun om de principer som tillämpas för samarbete i underrättelsefrågor med andra länder och internationella organisationer. Sådan information ska bl.a. upplysa om med vilka länder och organisationer sådant samarbete sker, omfattningen av samarbetet och, när det bedöms vara motiverat, om resultatet, erfarenheterna och den fortsatta inriktningen av

75

Överväganden och förslag SOU 2020:68

samarbetet. Försvarets radioanstalt ska även lämna information i andra viktiga frågor som rör försvarsunderrättelseverksamhet till Siun (6 § förordningen om försvarsunderrättelseverksamhet). En sådan annan viktig fråga bör t.ex. kunna röra den till försvarsunderrättelseverksamheten knutna utvecklingsverksamheten.

När det gäller de sökbegrepp som Försvarets radioanstalt ska använda i sin signalspaning ska dessa inte enbart beaktas vid den sammanvägda proportionalitetsbedömning som Försvarsunderrättelsedomstolen ska utföra utan också i efterhand granskas utifrån vad som i 3 § LSF föreskrivs om användning av sökbegrepp. Av 10 § LSF följer att Siun särskilt ska granska sökbegreppen. Detta kontrollansvar gäller alla de sökbegrepp eller kategorier av sökbegrepp som Försvarsunderrättelsedomstolen har godkänt och som Försvarets radioanstalt har använt eller avser använda, även de inom ramen för myndighetens internationella samarbete i försvarsunderrättelse- och utvecklingsverksamheten.

Datainspektionens tillsynsansvar omfattar all Försvarets radioanstalts personuppgiftsbehandling. Siun ska också granska den behandling av personuppgifter som Försvarets radioanstalt utför enligt FRA-PuL.

Försvarets radioanstalts verksamhet omfattas av sekretess. Siuns och Datainspektionens kontroll- och tillsynsansvar fyller därför en viktig funktion ur ett insyns- och integritetsskyddsperspektiv. Siuns kontrollfunktion är uttryckligt reglerad beträffande Försvarets radioanstalts internationella samarbete. Bestämmelserna om kontroll och tillsyn är tydliga och ändamålsenliga. Det saknas anledning att justera regelverket till följd av de förslag som utredningen lämnar eller i övrigt i förhållande till Försvarets radioanstalts internationella samarbete inom myndighetens försvarsunderrättelse- och utvecklingsverksamhet.

76

SOU 2020:68 Överväganden och förslag

6.3Lagen om behandling av personuppgifter

i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet

6.3.1Personuppgifter får behandlas inom ramen för internationellt samarbete

Bedömning: I avvaktan på en ny personuppgiftsreglering för Försvarets radioanstalt föreslås inga nya ändamålsbestämmelser för den behandling av personuppgifter Försvarets radioanstalt utför i sin försvarsunderrättelse- och utvecklingsverksamhet med anledning av samarbete med andra länder och internationella organisationer.

Det saknas anledning att införa nya typer av uppgiftssamlingar för den behandling av personuppgifter som Försvarets radioanstalt utför i sitt internationella samarbete.

Skälen för bedömningen

Nuvarande reglering om ändamål för behandling av personuppgifter

Försvarets radioanstalts behandling av personuppgifter inom ramen för myndighetens försvarsunderrättelse- och utvecklingsverksamhet regleras i FRA-PuL. I lagens 1 kap. 8–9 §§ anges de primära ändamål för vilka behandling av personuppgifter är tillåten avseende Försvarets radioanstalts försvarsunderrättelseverksamhet (8 §) och utvecklingsverksamhet (9 §). Enligt förstnämnda bestämmelse får personuppgifter behandlas i Försvarets radioanstalts försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet. Av paragrafens andra stycke framgår att uppgifter om en person endast får behandlas om personen har anknytning till en preciserad inriktning för försvarsunderrättelseverksamheten och behandlingen är nödvändig för att fullfölja den inriktningen. Med preciserad inriktning avses de interna inriktningar som Försvarets radioanstalt fastställer för närmare avgränsning av verksamheten. Myndigheten beslutar för varje år en preciserad inriktning med produktionsplan som bl.a. utgör en prioritering av vad myndigheten anser sig kunna utföra av de

77

Överväganden och förslag SOU 2020:68

behov som uppdragsgivarna genom sina inriktningar gett uttryck för (SOU 2018:63 s. 175).

Enligt 1 kap. 9 § får personuppgifter behandlas av Försvarets radioanstalt om det är nödvändigt för att följa förändringar av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, och fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

1 kap. 6 § 4 FRA-PuL ger Försvarets radioanstalt möjlighet till att fortsatt behandla insamlade personuppgifter så länge de inte behandlas för något ändamål som är oförenligt med det för vilket personuppgifterna samlades in (finalitetsprincipen). Denna bestämmelse möjliggör för Försvarets radioanstalt att föra över personuppgifter till en utländsk myndighet eller en internationell organisation, under förutsättning att ändamålet med en sådan överföring inte är oförenligt med det för vilket personuppgifterna samlades in.

Som utredningen har redovisat i avsnitt 3.7.2 finns det i SOU 2018:63 ett förslag till ny lagstiftning för bl.a. den behandling av personuppgifter som sker i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Betänkandet har remissbehandlats och bereds i Regeringskansliet. Utredningen har att förhålla sig till gällande lagstiftning på området, men också till förslaget till ny lagstiftning som lämnats i SOU 2018:63. Som framgår av följande avsnitt föreslår utredningen endast ändringar som är av tydliggörande och integritetsskyddsstärkande karaktär i förhållande till FRA-PuL och SOU 2018:63.

Ett primärt ändamål behöver inte införas för behandling av personuppgifter vid internationellt samarbete

Personuppgifter får endast behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in. Försvarets radioanstalt bedriver internationellt samarbete inom ramen för sin försvarsunderrättelse- och utvecklingsverksamhet och får då behandla personuppgifter i den verksamheten enligt vad som följer av 1 kap. 8 och 9 §§ FRA-PuL.

Lagförslaget i SOU 2018:63 avseende Försvarets radioanstalt innehåller förslag om rättsliga grunder och sekundära ändamålsbestämmelser för behandling av personuppgifter. Förslaget om sekundära ändamålsbestämmelser innebär att det i lagen bl.a. ska anges att person-

78

SOU 2020:68 Överväganden och förslag

uppgifter som behandlas i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet även får behandlas om det är nödvändigt för att tillhandahålla information som behövs med anledning av samarbete med andra länder och internationella organisationer enligt lagen om försvarsunderrättelseverksamhet och LSF. Utöver de sekundära ändamålsbestämmelserna gäller finalitetsprincipen (SOU 2018:63 s. 173 f.).

Ändamålsbestämmelser för behandling av personuppgifter måste vara tillräckligt tydliga och konkreta för att det ska kunna avgöras i vilken utsträckning en myndighets personuppgiftsbehandling håller sig inom angivna ramar. Samtidigt är verksamheten av sådan art att det inte ansetts möjligt att i lagform reglera den i detalj (prop. 2006/07 s. 64 och prop. 1999/2000:24 s. 12). FRA-PuL innehåller inte ett eget särskilt uttalat primärt eller sekundärt ändamål för Försvarets radioanstalt att behandla personuppgifter vid myndighetens internationella samarbete. Det är samtidigt tydligt att Försvarets radioanstalts internationella samarbete sker inom ramen för myndighetens försvarsunderrättelse- och utvecklingsverksamhet. Med hänsyn till det befintliga rättsliga stöd FRA-PuL ger för Försvarets radioanstalts behandling av personuppgifter inom nämnda verksamhet och till den rättsliga reglering som föreslås i SOU 2018:163, bedömer utredningen att det inte finns skäl att införa ett nytt uttalat ändamål i FRA-PuL för Försvarets radioanstalts behandling av personuppgifter vid internationellt samarbete.

Någon ny typ av uppgiftssamling behöver inte införas

I Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet får personuppgifter behandlas i uppgiftssamlingar under de förutsättningar som anges i FRA-PuL (1 kap. 7 § FRA-PuL). Enligt vad regeringen har föreskrivit i FRA-PuF får det finnas uppgiftssamlingar för råmaterial, analyser, underrättelser, information om signalmiljön, information om företeelser mot vilka signalspaningen får inriktas, information om teknik- och metodikutveckling samt information om signalskydd. Bestämmelserna för de nämnda typerna av tillåtna uppgiftssamlingar beskrivs närmare i avsnitt 3.7.1.

79

Överväganden och förslag SOU 2020:68

Försvarets radioanstalt bedriver internationellt samarbete i sin försvarsunderrättelse- och utvecklingsverksamhet. Utredningen bedömer att de befintliga typerna av uppgiftssamlingar uppfyller de behov som finns för den behandling av personuppgifter som Försvarets radioanstalt behöver kunna genomföra med anledning av sitt internationella samarbete.

I enlighet med 1 kap. 16 § FRA-PuL ska Försvarets radioanstalt tillse att tillgången till personuppgifter inom myndigheten alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Detta krav gäller generellt och därmed också de personuppgifter som behandlas inom ett internationellt samarbete.

6.3.2Förutsättningarna för överföring av personuppgifter till utländska aktörer bör preciseras

Förslag: Personuppgifter ska få föras över till andra länder eller internationella organisationer endast om det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet och

1.överföringen riktas till en utländsk underrättelse- eller säkerhetstjänst, eller ett underrättelse- eller säkerhetsorgan i en internationell organisation,

2.sekretess inte hindrar en överföring, och

3.mottagaren garanterar tillräckligt skydd för personuppgifterna.

Regeringen får meddela föreskrifter om att överföring får ske även i andra fall än som anges i första stycket 1. Regeringen får också besluta om sådan överföring i ett enskilt fall.

Skälen för förslaget

Överföring av personuppgifter till ett annat land eller en internationell organisation regleras i 1 kap. 17 § FRA-PuL. Av bestämmelsen framgår att personuppgifter får föras över till andra länder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det

80

SOU 2020:68 Överväganden och förslag

är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att överföring får ske även i andra fall då det är nödvändigt för verksamheten vid Försvarets radioanstalt.

Bestämmelsen i 7 § FRA-PuF ger Försvarets radioanstalt möjlighet att lämna ut uppgifter till en utländsk myndighet eller en internationell organisation om utlämnandet tjänar den svenska statsledningen eller det svenska totalförsvaret. En ytterligare förutsättning enligt bestämmelsen är att uppgifter som Försvarets radioanstalt lämnar till andra länder och internationella organisationer inte får vara till skada för svenska intressen. Bestämmelsen har sekretessbrytande karaktär.

Möjligheten att kunna överföra information till utländska myndigheter och internationella organisationer är av avgörande betydelse för Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Informationen innehåller inte sällan personuppgifter. Nuvarande reglering ger Försvarets radioanstalt ett tydligt stöd för att överföra personuppgifter till en utländsk myndighet eller en internationell organisation om det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet. Utredningen ser dock skäl att föreslå vissa ändringar i 1 kap. 17 § FRA-PuL som skapar ytterligare förutsebarhet för Försvarets radioanstalts internationella samarbete och samtidigt bidrar till att än mer stärka integritetsskyddet för enskilda. Förslaget består av tre punkter som ska vara uppfyllda för att en överföring av personuppgifter ska vara tillåten. Punkterna i den justerade bestämmelsen utvecklas nedan.

Mottagarna preciseras ytterligare

Mottagaren av Försvarets radioanstalts information är av naturliga skäl inte vilken utländsk myndighet som helst och inte heller vilken organisationsenhet som helst i en internationell organisation. Sett till denna verklighet, men också utifrån ett förutsebarhets- och integritetsskyddsperspektiv, finns det anledning att i bestämmelsen ytterligare precisera de utländska mottagarna. Bestämmelsen bör därför

81

Överväganden och förslag SOU 2020:68

justeras på så sätt att det i en ny punkt 1 anges att personuppgifter endast får överföras till en utländsk underrättelse- eller säkerhetstjänst, eller ett underrättelse- eller säkerhetsorgan i en internationell organisation. EU, FN och Nato är exempel på internationella organisationer som har denna typ av organ.

På motsvarande sätt som i dag bör det i bestämmelsen finnas en möjlighet för regeringen att genom en föreskrift eller ett beslut förordna att överföring av personuppgifter även får ske i förhållande till andra internationella aktörer än de som anges i lagen. Ett sådant behov kan t.ex. uppkomma inom ramen för en internationell insats där mottagaren av Försvarets radioanstalts underrättelser är ett organ i en annan stats väpnade styrkor som inte kan sägas vara ett underrättelse- eller säkerhetsorgan (prop. 2006/07:46 s. 125 och 133).

Sekretess

Den nuvarande begränsningen om att en överföring av personuppgifter endast får ske om sekretess inte hindrar det är ett villkor av grundläggande betydelse och bör även fortsatt ingå som ett villkor i punkt 2 i den reviderade bestämmelsen.

De personuppgifter som Försvarets radioanstalts behandlar inom ramen för myndighetens försvarsunderrättelse- och utvecklingsverksamhet omfattas som regel av sekretess enligt 15 kap. 1 och 2 §§ offentlighets- och sekretesslagen. Uppgifter om enskilda i nämnda verksamhet omfattas också vanligen av sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen.

Uppgifter som omfattas av sekretess får enligt 8 kap. 3 § offentlighets- och sekretesslagen inte röjas för en utländsk myndighet eller en mellanfolklig organisation. Lagstiftaren har dock i samma bestämmelse föreskrivit undantag från denna huvudregel om utlämnandet görs i enlighet med särskild föreskrift i lag eller förordning, eller om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen. En sådan särskild föreskrift finns i 7 § FRA-PuF. Enligt bestämmelsen får uppgifter lämnas ut till en utländsk myndighet eller en internationell organisation, om utlämnandet tjänar den svenska statsledningen

82

SOU 2020:68 Överväganden och förslag

eller det svenska totalförsvaret. De uppgifter som Försvarets radioanstalt lämnar till andra länder eller internationella organisationer får inte vara till skada för svenska intressen.

Försvarets radioanstalt bör ur ett sekretesshänseende även fortsatt ha möjlighet att lämna ut personuppgifter till en utländsk myndighet eller internationell organisation på samma sätt som i dag. De förslag som utredningen lämnar inverkar inte på tillämpligheten av 7 § FRA-PuF och några andra skäl till att ändra bestämmelsen har inte framkommit. Utredningen föreslår därför inte någon ändring av bestämmelsen.

Viss skyddsnivå ska vara säkerställd hos mottagaren

Den försvarsunderrättelseverksamhet och utvecklingsverksamhet som Försvarets radioanstalt bedriver sker inom ramen för Sveriges nationella säkerhet och försvar, och omfattas därför inte av unionsrätten. Därmed omfattar inte heller EU:s dataskyddsreglering den behandling av personuppgifter som Försvarets radioanstalt utför inom ramen för dessa verksamheter. Som anges i avsnitt 4.3.1 omfattar emellertid Europarådets dataskyddskonvention även försvarsområdet. Bestämmelser om överföring av personuppgifter till andra länder finns i konventionen, genom ett tilläggsprotokoll som Sverige undertecknade den 8 november 2001. Enligt artikel 2 första punkten i tilläggsprotokollet ska varje part endast möjliggöra överföring av personuppgifter till en mottagare som lyder under en stats eller en organisations jurisdiktion och som inte är part i konventionen, om staten eller organisationen tryggar en tillräcklig grad av skydd för den avsedda uppgiftsöverföringen. Som undantag från första punkten får en part tillåta överföring om det är tillåtet enligt den nationella lagstiftningen på grund av den registrerades särskilda intressen, eller när legitima intressen överväger, i synnerhet viktiga allmänna intressen. Möjligheten att inom det internationella försvarsunderrättelse- och säkerhetssamarbetet utbyta personuppgifter med andra länder utgör ett sådant legitimt allmänt intresse som avses i dataskyddskonventionen. Det ska noteras att de krav som ställs i 1 kap. 17 § FRA-PuL för överföring av personuppgifter gäller i förhållande till alla länder, även dem som inte är parter till dataskyddskonventionen.

83

Överväganden och förslag SOU 2020:68

Utredningen bedömer att regleringen på ett än tydligare sätt bör slå fast att en förutsättning för överföring av personuppgifterna bör vara att mottagaren garanterar ett tillräckligt skydd för dem. En sådan ökad tydlighet medför såväl ett stöd för Försvarets radioanstalt i dess internationella samarbete som ett ökat integritetsskydd för enskilda. Ett villkor om att viss skyddsnivå ska vara säkerställd hos mottagaren bör därför anges i en punkt 3 i den reviderade bestämmelsen. Personuppgifter bör få överföras om Försvarets radioanstalt har tagit hänsyn till alla omständigheter kring överföringen och dragit slutsatsen att tillräckliga skyddsåtgärder för personuppgifterna föreligger. Det faktum att en mottagande stat är ansluten till dataskyddskonventionen eller en annan internationell överenskommelse som innehåller bestämmelser om dataskydd och registrerades rättigheter innebär att lämpliga skyddsåtgärder bör anses föreligga. Försvarets radioanstalt bör vidare t.ex. kunna beakta att den som ska behandla personuppgifterna i det andra landet eller i den internationella organisationen kommer att ha tystnadsplikt som omfattar de överförda uppgifterna eller att det garanteras att personuppgifterna inte kommer att behandlas för något annat ändamål än det för vilket de överförs. Även åtaganden om att inte föra personuppgifterna vidare eller att inte använda personuppgifterna efter en viss tidpunkt bör kunna beaktas.

84

7Konsekvenser och genomförande av förslagen

7.1Konsekvenser av förslagen

Bedömning: Förslagen medför inga kostnadsökningar för det allmänna eller för enskilda, eller får några övriga konsekvenser av de slag som anges i kommittéförordningen.

Förslagen stärker skyddet för enskildas personliga integritet.

Skälen för bedömningen

Ekonomiska konsekvenser

Utredningens förslag medför inte några kostnadsökningar för berörda myndigheter, eller i övrigt för det allmänna. Förslagen medför inte heller några kostnadsökningar för enskilda.

Konsekvenser för den personliga integriteten

Förslagen om att de regler om förstöringsskyldighet av uppgifter som finns i lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet på motsvarande sätt ska gälla för upptagningar och uppteckningar som Försvarets radioanstalt har mottagit från en utländsk aktör och de föreslagna lagändringarna avseende Försvarets radioanstalts överföring av personuppgifter vid internationellt samarbete stärker skyddet för enskildas personliga integritet.

85

Konsekvenser och genomförande av förslagen SOU 2020:68

Övriga konsekvenser

Utredningens förslag får inte någon betydelse för den kommunala självstyrelsen och inte heller för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet eller små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags. Förslagen förväntas inte få några konsekvenser för jämställdheten mellan kvinnor och män och inte heller påverka möjligheterna till att nå de integrationspolitiska målen.

7.2Ikraftträdande- och övergångsbestämmelser

Förslag: De föreslagna ändringarna ska träda i kraft den 1 januari 2022.

Bedömning: De föreslagna ändringarna kräver inte några övergångsbestämmelser.

Skälen för förslaget och bedömningen

De föreslagna författningsändringarna bör kunna träda i kraft den 1 januari 2022.

De föreslagna ändringarna är inte av sådant slag att övergångsbestämmelser behövs.

86

8 Författningskommentar

8.1Förslaget till lag om ändring i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet

1 kap.

17 § Personuppgifter som behandlas med stöd av denna lag får föras över till andra länder eller internationella organisationer endast om det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet och

1.överföringen riktas till en utländsk underrättelse- eller säkerhetstjänst, eller ett underrättelse- eller säkerhetsorgan i en internationell organisation,

2.sekretess inte hindrar en överföring, och

3.mottagaren garanterar tillräckligt skydd för personuppgifterna.

Regeringen får meddela föreskrifter om att överföring får ske även i

andra fall än som anges i första stycket 1.

Regeringen får också besluta om sådan överföring i ett enskilt fall.

I paragrafen regleras Försvarets radioanstalts överföring av personuppgifter till andra länder och internationella organisationer. Genom förslaget preciseras förutsättningarna för myndigheten att överföra personuppgifter till ett annat land eller en internationell organisation. Övervägandena finns i avsnitt 6.3.2.

Enligt första stycket får Försvarets radioanstalt överföra personuppgifter till ett annat land eller en internationell organisation under vissa förutsättningar. Uttrycket internationell organisation ersätter mellanfolklig organisation då det är det uttrycket som används i övriga

87

Författningskommentar SOU 2020:68

författningar som reglerar Försvarets radioanstalts internationella samarbete. Denna justering innebär ingen ändring i sak.

I paragrafens första stycke uppställs i de nya punkterna 1–3 ett antal villkor som ska vara uppfyllda för att Försvarets radioanstalt ska få överföra personuppgifter till ett annat land eller en internationell organisation. Punkterna är kumulativa, dvs. samtliga tre villkor måste vara uppfyllda för att en överföring av personuppgifter ska vara tillåten.

Punkt 1 avgränsar de utländska mottagare till vilka personuppgifter får överföras. Enligt punkten får personuppgifter endast överföras till en underrättelse- eller säkerhetstjänst i ett annat land eller till ett underrättelse- eller säkerhetsorgan i en internationell organisation. EU, FN och Nato är exempel på internationella organisationer som har denna typ av organ.

På motsvarande sätt som tidigare får överföring av personuppgifter endast ske om sekretess inte hindrar det. Detta anges nu i punkt 2. En sekretessprövning behöver således alltid utföras som en del i bedömningen om en överföring av personuppgifter ska ske.

Punkt 3 uppställer krav på att en viss skyddsnivå ska föreligga för att personuppgifter ska kunna överföras till ett annat land eller en internationell organisation. Om personuppgifter ska överföras till en internationell organisation är det organisationen som sådan, inte de enskilda stater som är medlemmar i organisationen, som ska uppfylla kravet på skyddsnivå. Försvarets radioanstalt ska bedöma alla omständigheter kring överföringen och komma till slutsatsen att skyddsåtgärderna är tillräckliga. Exempel på sådant som kan vägas in är bl.a. åtaganden att inte sprida personuppgifterna vidare eller att inte använda personuppgifterna efter viss tidpunkt.

I ett nytt andra stycke anges att regeringen får meddela föreskrifter om att överföring får ske även i andra fall än som anges i första stycket 1. I ett nytt tredje stycke anges att regeringen även får besluta om sådan överföring i ett enskilt fall. Innehållet i de nya styckena har sin motsvarighet i den befintliga bestämmelsen. Det kan t.ex. vid internationella militära insatser vara nödvändigt att överlämna underrättelser till en funktion i en annan stat som inte kan sägas vara en underrättelse- eller säkerhetstjänst (se prop. 2006/07:46 s. 125).

88

SOU 2020:68 Författningskommentar

8.2Förslaget till lag om ändring i lagen (2008:717) om signalspaning

i försvarsunderrättelseverksamhet

1 § I försvarsunderrättelseverksamhet enligt lagen (2000:130) om försvarsunderrättelseverksamhet får den myndighet som regeringen bestämmer (signalspaningsmyndigheten) inhämta signaler i elektronisk form vid signalspaning. Signalspaning i försvarsunderrättelseverksamhet får endast ske i de fall regeringen eller en myndighet som anges i 4 § närmare har bestämt inriktningen av signalspaningen.

Signalspaning i försvarsunderrättelseverksamhet får ske endast i syfte att kartlägga

1.yttre militära hot mot landet,

2.förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,

3.strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,

4.utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,

5.allvarliga yttre hot mot samhällets infrastrukturer,

6.konflikter utomlands med konsekvenser för internationell säker-

het,

7.främmande underrättelseverksamhet mot svenska intressen,

8.främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- eller försvarspolitik, eller

9.sådana företeelser som avses i punkterna 1–8, men inte riktas mot Sverige eller rör svenska intressen, om det är nödvändigt för ett samarbete i underrättelsefrågor med andra länder och internationella organisationer som signalspaningsmyndigheten deltar i.

Om det är nödvändigt för försvarsunderrättelseverksamheten får signaler i elektronisk form inhämtas vid signalspaning även för att

1.följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, samt

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamhet enligt denna lag.

89

Författningskommentar SOU 2020:68

I en ny punkt 9 i andra stycket införs ett uttryckligt ändamål som medger att signalspaningsmyndigheten får bedriva signalspaning i syfte att kartlägga sådana företeelser som avses i punkterna 1–8 i samma stycke, men inte riktas mot Sverige eller rör svenska intressen, om det är nödvändigt för ett samarbete i underrättelsefrågor med andra länder och internationella organisationer som signalspaningsmyndigheten deltar i. Den nya punkten avser det internationella samarbete som sker inom ramen för signalspaningsmyndighetens försvarsunderrättelseverksamhet. Signalspaning enligt den nya punkten ska anses vara nödvändig för signalspaningsmyndighetens internationella samarbete om det är fråga om ett samarbete som regeringen närmare har bestämt enligt 3 § lagen (2000:130) om försvarsunderrättelseverksamhet och det finns en inriktning från regeringen enligt 4 § andra stycket, se vidare författningskommentaren till den paragrafen. Övervägandena finns i avsnitt 6.2.1.

2 a § Inhämtning får inte avse signaler mellan en avsändare och mottagare som båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämtningen, ska upptagningen eller uppteckningen förstöras så snart det står klart att sådana signaler har inhämtats. Kravet på förstöring gäller även i fråga om upptagningar och uppteckningar som signalspaningsmyndigheten har fått från ett annat land eller en internationell organisation inom ramen för ett internationellt samarbete.

Första stycket tillämpas inte i fråga om signaler mellan sändare och mottagare på utländska statsfartyg, statsluftfartyg eller militära fordon.

Genom ett tillägg i första stycket framgår att bestämmelsens krav på förstöring även gäller i fråga om upptagningar eller uppteckningar som signalspaningsmyndigheten har fått från ett annat land eller en internationell organisation inom ramen för ett internationellt samarbete. Övervägandena finns i avsnitt 6.2.3.

4 § I lagen (2000:130) om försvarsunderrättelseverksamhet finns bestämmelser om regeringens och myndigheters inriktning av sådan verksamhet. Inriktning av signalspaning får anges endast av regeringen,

90

SOU 2020:68 Författningskommentar

Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdelningen i Polismyndigheten.

Regeringen bestämmer inriktningen av sådan verksamhet som bedrivs enligt 1 § andra stycket 9 och tredje stycket.

En inriktning av signalspaningen får inte avse endast en viss fysisk person.

Av bestämmelsens andra stycke framgår att det är regeringen som ansvarar för att inrikta den verksamhet som regleras i 1 § tredje stycket, dvs. signalspaningsmyndighetens utvecklingsverksamhet. Det gäller även den signalspaning som signalspaningsmyndigheten bedriver inom ramen för myndighetens samarbete i signalspaningsfrågor med andra länder och internationella organisationer. Genom ett tillägg i nämnda stycke klargörs att regeringen även ansvarar för att inrikta den signalspaning som får bedrivas för det ändamål som anges 1 § andra stycket 9, dvs. inom ramen för signalspaningsmyndighetens samarbete i underrättelsefrågor med andra länder och internationella organisationer. Regeringen ansvarar således ensam för inriktningen av den signalspaning signalspaningsmyndigheten får bedriva inom ramen för myndighetens internationella samarbete i försvarsunderrättelse- och utvecklingsverksamheten. Övervägandena finns i avsnitt 6.2.2.

7 § En upptagning eller uppteckning av uppgifter som har inhämtats enligt denna lag eller som signalspaningsmyndigheten har fått från ett annat land eller en internationell organisation inom ramen för ett internationellt samarbete ska omgående förstöras om innehållet

1.berör en viss fysisk person och har bedömts sakna betydelse för verksamhet som avses i 1 §,

2.avser uppgifter för vilka tystnadsplikt gäller enligt 3 kap. 3 § tryckfrihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 5 § tryckfrihetsförordningen eller 2 kap. 5 § yttrandefrihetsgrundlagen,

3.omfattar uppgifter i sådana meddelanden mellan en person som är misstänkt för brott och hans eller hennes försvarare vilka skyddas enligt 27 kap. 22 § första stycket rättegångsbalken, eller

4.avser uppgifter lämnade under bikt eller enskild själavård, såvida det inte finns synnerliga skäl att behandla uppgifterna för syften som anges i 1 § andra stycket.

91

Författningskommentar SOU 2020:68

Bestämmelsen justeras så att dess förstöringskrav även omfattar en upptagning eller uppteckning av uppgifter som signalspaningsmyndigheten har fått från ett annat land eller en internationell organisation inom ramen för ett internationellt samarbete. Övervägandena finns i avsnitt 6.2.3.

92

Bilaga

Kommittédirektiv 2020:45

Regleringen av Försvarets radioanstalts internationella samarbete

Beslut vid regeringssammanträde den 30 april 2020

Sammanfattning

En särskild utredare ska göra en översyn av de bestämmelser som Försvarets radioanstalt tillämpar vid myndighetens internationella samarbete inom försvarsunderrättelse- och utvecklingsverksamheten. Syftet med uppdraget är att säkerställa att Försvarets radioanstalt kan bedriva ett internationellt samarbete på ett effektivt och ändamålsenligt sätt, och med tillbörlig hänsyn till enskildas personliga integritet.

Utredaren ska bl.a.

redogöra för de bestämmelser som gäller för Försvarets radioanstalts internationella samarbete inom försvarsunderrättelse- och utvecklingsverksamheten,

bedöma om regleringen av Försvarets radioanstalts internationella samarbete är effektiv och ändamålsenlig sett till myndighetens verksamhet och enskildas personliga integritet, och

lämna nödvändiga författningsförslag.

Uppdraget ska redovisas senast den 30 november 2020.

93

Bilaga SOU 2020:68

Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet

Enligt 1 § lagen (2000:130) om försvarsunderrättelseverksamhet ska försvarsunderrättelseverksamhet bedrivas till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet. Verksamheten får endast avse utländska förhållanden. Signalspaning är en inhämtningsmetod i försvarsunderrättelseverksamheten och sådan spaning utförs av Försvarets radioanstalt. Av 1 § lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet (LSF) följer att signalspaning endast får bedrivas för att kartlägga vissa, i lagen särskilt uppräknade, företeelser. Det rör sig bl.a. om yttre militära hot mot landet, strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen, allvarliga yttre hot mot samhällets infrastrukturer samt främmande underrättelseverksamhet mot svenska intressen. Signalspaning får även bedrivas för Försvarets radioanstalts utvecklingsverksamhet om det är nödvändigt för försvarsunderrättelseverksamheten. Inriktning av signalspaning i försvarsunderrättelseverksamhet får endast anges av regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdelningen i Polismyndigheten. När det gäller sådan signalspaning som sker för utvecklingsverksamhetens skull anges inriktningen av regeringen. Försvarets radioanstalt rapporterar underrättelser till berörda myndigheter.

LSF innehåller ett antal bestämmelser som syftar till att värna skyddet för enskildas integritet. Som exempel kan nämnas att inhämtning genom signalspaning kräver tillstånd av Försvarsunderrättelsedomstolen (4 a §). Vidare får inhämtning av signaler i elektronisk form inte avse signaler mellan en avsändare och mottagare som båda befinner sig i Sverige. Inhämtningsförbudet gäller dock inte signaler mellan sändare och mottagare på utländska statsfartyg, statsluftfartyg eller militära fordon. Om signaler trots förbudet har inhämtats ska upptagningen eller uppteckningen förstöras så snart det står klart att sådana signaler har inhämtats (2 a §). Ett förstöringskrav gäller också för upptagningar eller uppteckningar av uppgifter som inhämtats genom signalspaning bl.a. om innehållet berör en viss fysisk person och har bedömts sakna betydelse för verksamheten som anges i 1 § LSF (7 §). Inom Försvarets radioanstalt finns det ett sär-

94

SOU 2020:68 Bilaga

skilt integritetsskyddsråd som har till uppgift att fortlöpande utöva insyn i de åtgärder som vidtas för att säkerställa integritetsskyddet i myndighetens signalspaningsverksamhet (11 §).

Försvarsunderrättelseverksamheten omgärdas av sträng sekretess. Exempel på sekretessbelagda uppgifter som rör Försvarets radioanstalt är uppgifter som avser myndighetens inriktning, metoder, förmåga, underrättelser och samverkan. En stor mängd av uppgifterna är av synnerlig betydelse för rikets säkerhet och ett röjande av dem skulle skada landets försvar eller på annat sätt vålla fara för rikets säkerhet. Dessa uppgifter omfattas av försvarssekretess enligt 15 kap. 2 § offentlighets- och sekretesslagen (2009:400). Ett stort antal uppgifter omfattas också av utrikessekretess enligt 15 kap. 1 § samma lag. Statens inspektion för försvarsunderrättelseverksamheten kontrollerar att lagen om signalspaning i försvarsunderrättelseverksamhet följs och granskar, när det gäller Försvarets radioanstalt, även behandlingen av personuppgifter enligt lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (FRA-PuL). Datainspektionen har ett övergripande tillsynsansvar för samtliga myndigheters behandling av personuppgifter.

Utredningen Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt har redovisat ett förslag till ny särskild personuppgiftsreglering för Försvarets radioanstalt i SOU 2018:63. Betänkandet har remissbehandlats och bereds i Regeringskansliet.

Försvarets radioanstalt bedriver internationellt samarbete inom försvarsunderrättelse- och utvecklingsverksamheten

Av 3 § lagen om försvarsunderrättelseverksamhet framgår att Försvarets radioanstalt, liksom andra försvarsunderrättelsemyndigheter, enligt regeringens närmare bestämmande får bedriva samarbete med andra länder och internationella organisationer inom ramen för myndighetens försvarsunderrättelseverksamhet. Av 3 § förordningen (2000:131) om försvarsunderrättelseverksamhet följer att bl.a. Försvarets radioanstalt får samarbeta i underrättelsefrågor med andra länder och internationella organisationer, men endast under förutsättning att syftet med samarbetet är att tjäna den svenska statsledningen och det svenska totalförsvaret. Vidare får de uppgifter som lämnas till andra länder och internationella organisationer inte vara till skada för svenska intressen.

95

Bilaga SOU 2020:68

Enligt 4 § förordningen om försvarsunderrättelseverksamhet ska myndigheterna till Regeringskansliet (Försvarsdepartementet) anmäla frågor om att etablera och upprätthålla sådant samarbete. Myndigheterna ska vidare informera Försvarsdepartementet om viktiga frågor som uppkommer i samarbetet.

Försvarets radioanstalt ska löpande informera Statens inspektion för försvarsunderrättelseverksamheten om de principer som tillämpas för samarbete i underrättelsefrågor med andra länder och internationella organisationer. Sådan information ska bl.a. upplysa om med vilka länder och organisationer sådant samarbete sker, omfattningen av samarbetet och, när det bedöms vara motiverat, om resultatet, erfarenheterna och den fortsatta inriktningen av samarbetet (se 6 § förordningen om försvarsunderrättelseverksamhet).

Försvarets radioanstalt får under samma förutsättningar som gäller för internationellt samarbete i myndighetens försvarsunderrättelseverksamhet etablera och upprätthålla samarbeten med andra länder och internationella organisationer inom utvecklingsverksamheten (se 9 § LSF samt 6 och 7 §§ förordningen [2008:923] om signalspaning i försvarsunderrättelseverksamhet).

Försvarets radioanstalt bedriver alltså samarbete med andra länder i underrättelsefrågor enligt nu beskrivna ordning. När det är fråga om att lämna personuppgifter till ett annat land eller en internationell organisation finns det rättsliga stödet för detta i 1 kap.

17§ FRA-PuL. Av bestämmelsen följer att personuppgifter som behandlas med stöd av lagen får föras över till andra länder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att överföring får ske även i andra fall då det är nödvändigt för verksamheten vid Försvarets radioanstalt.

Med stöd av 7 § förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet får Försvarets radioanstalt lämna ut uppgifter till en utländsk myndighet eller en internationell organisation, om utlämnandet tjänar den svenska statsledningen eller det svenska totalförsvaret. De uppgifter som Försvarets radioanstalt lämnar till dessa länder får inte vara till skada för svenska intressen.

96

SOU 2020:68 Bilaga

Uppdraget att se över regleringen av Försvarets radioanstalts internationella samarbete

Lagen om försvarsunderrättelseverksamhet trädde i kraft för tjugo år sedan och LSF trädde i kraft för mer än tio år sedan. Sedan dess har mycket förändrats, inte minst vad gäller det säkerhetspolitiska läget. Det globala säkerhetspolitiska läget präglas av instabilitet och oförutsägbarhet. Utvecklingen är svårbedömd och stundtals snabb.

Försvarsunderrättelseverksamhet är av grundläggande betydelse för Sveriges försvar och säkerhet. Verksamheten är också avgörande för svenskt deltagande i internationella säkerhetspolitiska samarbeten. Det är viktigt att kunna förutse konflikter och bearbeta inhämtat material och delge bedömningar om säkerhetspolitiska och militära förhållanden. Inget land kan på egen hand inhämta ett fullständigt underrättelseunderlag till stöd för den bedrivna utrikes-, säkerhets- och försvarspolitiken, eller för kartläggningen av yttre hot mot landet. Utbyte av underrättelser och samarbete om metodik är därför centrala inslag i all försvarsunderrättelseverksamhet, och inte minst Försvarets radioanstalts signalspaningsverksamhet. Ett fungerande och effektivt samarbete är en förutsättning för att Försvarets radioanstalt på ett fullgott sätt ska kunna tillgodose Sveriges underrättelsebehov.

Regleringen av Försvarets radioanstalts internationella samarbete bör därför ses över utifrån de behov som finns med hänsyn till omvärldsutvecklingen, den tekniska utvecklingen, myndighetens verksamhet i övrigt, samt värnandet av enskildas personliga integritet. Försvarets radioanstalt ska på ett effektivt och ändamålsenligt sätt, och med tillbörlig hänsyn till enskildas personliga integritet, kunna bedriva internationellt samarbete inom myndighetens försvarsunderrättelse- och utvecklingsverksamhet.

Utredaren ska därför

redogöra för de bestämmelser som gäller för Försvarets radioanstalts internationella samarbete inom försvarsunderrättelse- och utvecklingsverksamheten,

bedöma om regleringen av Försvarets radioanstalts internationella samarbete är effektiv och ändamålsenlig sett till myndighetens verksamhet och enskildas personliga integritet, och

lämna nödvändiga författningsförslag.

97

Bilaga SOU 2020:68

Det står även utredaren fritt att lämna förslag i frågor som har nära samband med uppdraget.

Konsekvensbeskrivningar

Utredaren ska analysera och redovisa konsekvenserna av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur de ska finansieras.

Kontakter och redovisning av uppdraget

Utredaren ska under sitt arbete inhämta synpunkter och upplysningar från berörda myndigheter och organisationer, däribland Försvarets radioanstalt, Försvarsmakten, Försvarsunderrättelsedomstolen, Statens inspektion för försvarsunderrättelseverksamheten, Säkerhetspolisen och Datainspektionen.

Uppdraget ska redovisas senast den 30 november 2020.

(Försvarsdepartementet)

98

Statens offentliga utredningar 2020

Kronologisk förteckning

1.Översyn av yrket personlig assistent

– ett viktigt yrke som förtjänar bra villkor. S.

2.Skärpta regler om utländska månggiften. Ju.

3.Hållbar slamhantering. M.

4.Vägen till en klimatpositiv framtid. M.

5.Fler ruttjänster och höjt tak för rutavdraget. Fi.

6.En begriplig och trygg sjukförsäkring med plats för rehabilitering. S.

7.Brott mot djur – Skärpta straff och ett mer effektivt sanktionssystem. N.

8.Starkare kommuner – med kapacitet att klara välfärdsuppdraget. Fi.

9.Kunskapsläget på kärnavfallsområdet 2020. Steg för steg. Var står vi? Vart går vi? M.

10.Stärkt lokalt åtgärdsarbete – att nå målet Ingen övergödning. M.

11.Kompletterande bestämmelser till EU:s förordning om utländska direktinvesteringar. Ju.

12.Nya kapitaltäckningsregler för värdepappersbolag. Fi.

13.Att kriminalisera överträdelser av EU-förordningar. N.

14.Framtidens teknik i omsorgens tjänst. S.

15.Strukturförändring och investering i hälso- och sjukvården – lärdomar från exemplet NKS. S.

16.Ett effektivare regelverk för utlänningsärenden med säkerhetsaspekter. Ju.

17.Grönt sparande. Fi.

18.Framtidens järnvägsunderhåll. I.

19.God och nära vård. En reform för ett hållbart hälso- och sjukvårdssystem. S.

20.Skatt på modet – för att få bort skadliga kemikalier. Fi.

21.Sveriges museum om Förintelsen. + Holocaust Remembrance and Representation. Documentation from a Research Conference. Ku.

22.Motorfordonspooler

på väg mot ökad delning av motorfordon. Fi.

23.Hälso- och sjukvård i det civila försvaret – underlag till försvarspolitisk inriktning. S.

24.Tillsammans för en välfungerande sjukskrivnings- och rehabiliteringsprocess. S.

25.Ett nationellt biljettsystem för all kollektivtrafik. I.

26.En sjukförsäkring anpassad efter individen. S.

27.Högre växel i minoritetspolitiken. Stärkt samordning och uppföljning. Ku.

28.En mer likvärdig skola

minskad skolsegregation och förbättrad resurstilldelning. U.

29.En ny myndighet för att stärka det psykologiska försvaret. Ju.

30.En moderniserad arbetsrätt. A.

31.En ny mervärdesskattelag. Del 1 och 2. Fi.

32.Grundpension. Några anslutande frågor. S.

33.Gemensamt ansvar

en modell för planering och dimensionering av gymnasial utbildning. Del 1 och 2. U.

34.Stärkt kvalitet och likvärdighet

ifritidshem och pedagogisk omsorg. U.

35.Kontroll för ökad tilltro

en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Fi.

36.Ett nationellt sammanhållet system för kunskapsbaserad vård

ett system, många möjligheter. S.

37.Ett nytt regelverk för arbetslöshetsförsäkringen. A.

38.Ökad trygghet för visselblåsare. A.

39.Kärnavfallsrådets yttrande över SKB:s Fud-program 2019. M.

40.En gemensam utbildning inom statsförvaltningen. Fi.

41.Kommuner som utförare

av tjänster åt Arbetsförmedlingen

en analys av de rättsliga förutsättningarna. A.

42.En annan möjlighet till särskilt stöd. Reglering av kommunala resursskolor. U.

43.Bygga, bedöma, betygssätta

betyg som bättre motsvarar elevernas kunskaper. U.

44.Grundlagsskadestånd – ett rättighetsskydd för enskilda. Ju.

45.Ett ändamålsenligt skydd för tryck- och yttrandefriheten. Ju.

46.En gemensam angelägenhet. Vol. 1 och 2. Fi.

47.Hållbar socialtjänst. En ny socialtjänstlag. Del 1 och 2. S.

48.Skatt på engångsartiklar. Fi.

49.Enhetlig och effektiv marknadskontroll. UD.

50.Enklare skatteregler för enskilda näringsidkare. Fi.

51.En ny lag om konsumentskydd vid köp och vissa andra avtal. Ju.

52.Rutavdrag för äldre. Fi.

53.Personuppgiftsbehandling vid antalsberäkning inför klinisk forskning. N.

54.En långsiktigt hållbar migrationspolitik. Ju.

55.Innovation genom information. I.

56.Det demokratiska samtalet i en digital tid. Så stärker vi motståndskraften mot desinformation, propaganda och näthat. Ku.

57.Ett särskilt hedersbrott. Ju.

58.EU:s cybersäkerhetsakt

kompletterande nationella bestämmelser om cybersäkerhetscertifiering. Fö.

59.Innovation som drivkraft

från forskning till nytta. U.

60.Det skatterättsliga företrädaransvaret

en översyn. Fi.

61.Ändrade regler om säkerställda obligationer. Fi.

62.En samlad djurhälsoreglering. Del 1 och 2. N.

63.Barnkonventionen och svensk rätt. A.

64.Hästnäringens finansiering på den omreglerade spelmarknaden. Fi.

65.55 år och karensval. N.

66.Samverkande krafter

för stärkt kvalitet och likvärdighet inom komvux för elever med svenska som andraspråk. U.

67.Förskola för alla barn

för bättre språkutveckling

i svenska. U.

68.Försvarets radioanstalts internationella samarbete

– en översyn av regelverket. Fö.

Statens offentliga utredningar 2020

Systematisk förteckning

Arbetsmarknadsdepartementet

En moderniserad arbetsrätt. [30]

Ett nytt regelverk för arbetslöshetsförsäkringen. [37]

Ökad trygghet för visselblåsare. [38]

Kommuner som utförare

av tjänster åt Arbetsförmedlingen

en analys av de rättsliga förutsättningarna. [41]

Barnkonventionen och svensk rätt. [63]

Finansdepartementet

Fler ruttjänster och höjt tak för rutavdraget. [5]

Starkare kommuner – med kapacitet att klara välfärdsuppdraget. [8]

Nya kapitaltäckningsregler för värdepappersbolag. [12]

Grönt sparande. [17]

Skatt på modet – för att få bort skadliga kemikalier. [20]

Motorfordonspooler

på väg mot ökad delning av motorfordon. [22]

En ny mervärdesskattelag.

Del 1 och 2. [31]

Kontroll för ökad tilltro

en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. [35]

En gemensam utbildning inom statsförvaltningen. [40]

En gemensam angelägenhet. Vol. 1 och 2. [46]

Skatt på engångsartiklar. [48]

Enklare skatteregler för enskilda näringsidkare. [50]

Rutavdrag för äldre. [52]

Det skatterättsliga företrädaransvaret

– en översyn. [60]

Ändrade regler om säkerställda obligationer. [61]

Hästnäringens finansiering på den omreglerade spelmarknaden. [64]

Försvarsdepartementet

EU:s cybersäkerhetsakt

kompletterande nationella bestämmelser om cybersäkerhetscertifiering. [58]

Försvarets radioanstalts internationella samarbete

– en översyn av regelverket. [68]

Infrastrukturdepartementet

Framtidens järnvägsunderhåll. [18]

Ett nationellt biljettsystem för all kollektivtrafik. [25]

Innovation genom information. [55]

Justitiedepartementet

Skärpta regler om utländska månggiften. [2]

Kompletterande bestämmelser

till EU:s förordning om utländska direktinvesteringar. [11]

Ett effektivare regelverk för utlänningsärenden med säkerhetsaspekter. [16]

En ny myndighet för att stärka det psykologiska försvaret. [29]

Grundlagsskadestånd – ett rättighetsskydd för enskilda. [44]

Ett ändamålsenligt skydd för tryck- och yttrandefriheten. [45]

En ny lag om konsumentskydd vid köp och vissa andra avtal. [51]

En långsiktigt hållbar migrationspolitik. [54]

Ett särskilt hedersbrott. [57]

Kulturdepartementet

Sveriges museum om Förintelsen.

+Holocaust Remembrance and Representation. Documentation from a Research Conference. [21]

Högre växel i minoritetspolitiken. Stärkt samordning och uppföljning. [27]

Det demokratiska samtalet i en digital tid. Så stärker vi motståndskraften mot desinformation, propaganda och näthat. [56]

Miljödepartementet

Hållbar slamhantering. [3]

Vägen till en klimatpositiv framtid. [4]

Kunskapsläget på kärnavfallsområdet 2020. Steg för steg. Var står vi? Vart går vi? [9]

Stärkt lokalt åtgärdsarbete – att nå målet Ingen övergödning. [10]

Kärnavfallsrådets yttrande över SKB:s Fud-program 2019. [39]

Näringsdepartementet

Brott mot djur – Skärpta straff och ett mer effektivt sanktionssystem. [7]

Att kriminalisera överträdelser av EU-förordningar. [13]

Personuppgiftsbehandling vid antalsberäkning inför klinisk forskning. [53]

En samlad djurhälsoreglering. Del 1 och 2. [62]

55 år och karensval. [65]

Socialdepartementet

Översyn av yrket personlig assistent – ett viktigt yrke som förtjänar bra villkor. [1]

En begriplig och trygg sjukförsäkring med plats för rehabilitering. [6]

Framtidens teknik i omsorgens tjänst. [14]

Strukturförändring och investering

i hälso- och sjukvården – lärdomar från exemplet NKS. [15]

God och nära vård. En reform för ett hållbart hälso- och sjukvårdssystem. [19]

Hälso- och sjukvård i det civila försvaret

underlag till försvarspolitisk inriktning. [23]

Tillsammans för en välfungerande sjukskrivnings- och rehabiliteringsprocess. [24]

En sjukförsäkring anpassad efter individen. [26]

Grundpension. Några anslutande frågor. [32]

Ett nationellt sammanhållet system för kunskapsbaserad vård

– ett system, många möjligheter. [36]

Hållbar socialtjänst. En ny socialtjänstlag. Del 1 och 2. [47]

Utbildningsdepartementet

En mer likvärdig skola

minskad skolsegregation och förbättrad resurstilldelning. [28]

Gemensamt ansvar

en modell för planering och dimensionering av gymnasial utbildning. Del 1 och 2. [33]

Stärkt kvalitet och likvärdighet i fritidshem och pedagogisk omsorg. [34]

En annan möjlighet till särskilt stöd. Reglering av kommunala resursskolor. [42]

Bygga, bedöma, betygssätta

betyg som bättre motsvarar elevernas kunskaper. [43]

Innovation som drivkraft –från forskning till nytta. [59]

Samverkande krafter

för stärkt kvalitet och likvärdighet inom komvux för elever med svenska som andraspråk. [66]

Förskola för alla barn

för bättre språkutveckling i svenska. [67]

Utrikesdepartementet

Enhetlig och effektiv marknadskontroll. [49]