sfs-2021-117220212021:1172sfssfstFörsvarsdepartementet117202021-12-02 00:00:002025-10-17 04:37:512025-10-17 04:37:51Lag (2021:1172) om behandling av personuppgifter vid Försvarets radioanstaltt.o.m. SFS 2024:4261 kap. Allmänna bestämmelser Syftet med lagen 1 § Syftet med denna lag är att säkerställa att Försvarets radioanstalt kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan behandling. Lagens tillämpningsområde 2 § Denna lag gäller vid behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet samt informationssäkerhetsverksamhet. 3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Den gäller också personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. 4 § Vid behandling av personuppgifter enligt denna lag gäller inte Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och inte heller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Ord och uttryck i lagen 5 § I denna lag används följande ord och uttryck. Ord och uttryck Betydelse Behandling av personuppgifter En åtgärd eller en kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, spridning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning, radering eller förstöring. Biometriska uppgifter Personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar identifiering av personen i fråga. Dataskyddsombud En fysisk person som utses av den personuppgiftsansvarige för att självständigt kontrollera att personuppgifter behandlas författningsenligt och på ett korrekt sätt. Genetiska uppgifter Personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som framför allt härrör från analys av ett spår av eller ett biologiskt prov från personen i fråga. Mottagare Den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision. Personuppgift Varje upplysning om en identifierad eller identifierbar fysisk person som är i livet. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Registrerad Den fysiska person som personuppgiften gäller. Tredje part Någon annan än - den registrerade, - den personuppgiftsansvarige, - dataskyddsombudet, - personuppgiftsbiträdet, och - sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter. Uppgiftssamling En samling med uppgifter som med hjälp av automatiserad behandling är gemensamt tillgängliga. Personuppgiftsansvar 6 § Försvarets radioanstalt är personuppgiftsansvarig för all behandling av personuppgifter som myndigheten utför, som utförs under myndighetens ledning eller på dess vägnar. 2 kap. Behandling av personuppgifter Grundläggande krav på behandlingen Krav på ändamål 1 § Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål som de ursprungligen behandlades för. Försvarsunderrättelseverksamhet 2 § Personuppgifter får behandlas i Försvarets radioanstalts försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet. 3 § De personuppgifter som Försvarets radioanstalt har fått tillgång till i myndighetens försvarsunderrättelseverksamhet får fortsätta behandlas i den verksamheten, om det behövs för att fullgöra den. Första stycket gäller endast om inte något annat följer av denna lag eller en förordning som regeringen har meddelat i anslutning till lagen. 4 § Personuppgifter som behandlas med stöd av 2 och 3 §§ får även behandlas om det är nödvändigt för att tillhandahålla information som behövs 1. i verksamhet hos berörda myndigheter som avses i 2 § första stycket lagen (2000:130) om försvarsunderrättelseverksamhet, 2. med anledning av samarbete med andra länder och internationella organisationer enligt lagen om försvarsunderrättelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet, 3. i utvecklingsverksamheten för de ändamål som anges i 5 §, 4. i informationssäkerhetsverksamheten för de ändamål som anges i 7 §, eller 5. för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall. Utvecklingsverksamhet 5 § Om det är nödvändigt för försvarsunderrättelseverksamheten får Försvarets radioanstalt behandla personuppgifter för att 1. följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, och 2. fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten. 6 § Personuppgifter som behandlas med stöd av 5 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs 1. med anledning av samverkan med annan i fråga om utvecklingsverksamhet, 2. med anledning av samarbete om utvecklingsverksamhet med andra länder eller internationella organisationer enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet, 3. i försvarsunderrättelseverksamheten för de ändamål som anges i 2 och 3 §§, 4. i informationssäkerhetsverksamheten för de ändamål som anges i 7 §, eller 5. för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall. Informationssäkerhetsverksamhet 7 § Personuppgifter får behandlas i Försvarets radioanstalts informationssäkerhetsverksamhet om det är nödvändigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller beslut av regeringen i ett enskilt fall. 8 § Personuppgifter som behandlas med stöd av 7 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs 1. i verksamhet hos den som tar emot uppgifter om informationssäkerhet, 2. med anledning av samverkan med andra som verkar på informationssäkerhetsområdet såväl inom som utom landet i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall, 3. i försvarsunderrättelseverksamheten för de ändamål som anges i 1 § andra stycket 5 och 7 lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet, eller 4. i utvecklingsverksamheten för de ändamål som anges i 5 §. Övriga ändamål 9 § Försvarets radioanstalt får behandla personuppgifter som utgör allmänt tillgänglig information om det är nödvändigt för den verksamhet som anges i 2, 5 och 7 §§. 10 § Försvarets radioanstalt får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde. Författningsenlig och korrekt behandling 11 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt. Personuppgifternas kvalitet 12 § Personuppgifter som behandlas ska vara riktiga och, om det är nödvändigt, uppdaterade. Personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Känsliga personuppgifter 13 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas. När personuppgifter behandlas får de dock kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen. 14 § Biometriska uppgifter får behandlas om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen. Genetiska uppgifter får inte behandlas. 15 § Vid sökning får personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning användas som sökbegrepp om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen. Detsamma gäller biometriska uppgifter. Personnummer och samordningsnummer 16 § Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till 1. ändamålen med behandlingen, 2. vikten av en säker identifiering, eller 3. något annat beaktansvärt skäl. Om den registrerade har offentliggjort personuppgifterna 17 § Trots 13, 14 och 16 §§ får andra personuppgifter än genetiska uppgifter behandlas, om den registrerade på ett tydligt sätt har offentliggjort uppgifterna. Behandling av personuppgifter i vissa fall 18 § Hantering av information som innebär behandling av personuppgifter ska inte anses oförenlig med bestämmelserna i 1, 2, 5, 7, 9, 11-14 och 16 §§ i det skede av behandlingen då det inte har kunnat fastställas vilka personuppgifter som informationen innehåller. Längsta tid som personuppgifter får behandlas 19 § Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålen med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får behandlas under endast viss tid eller fortsätta behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. Regeringen eller den myndighet som regeringen bestämmer får också besluta om sådan behandling i ett enskilt fall. Överföring av personuppgifter till en mottagare utomlands 20 § Personuppgifter som behandlas med stöd av denna lag får föras över till ett annat land eller en internationell organisation endast om det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet och 1. överföringen riktas till en utländsk underrättelse- eller säkerhetstjänst, eller ett underrättelse- eller säkerhetsorgan i en internationell organisation, 2. sekretess inte hindrar en överföring, 3. mottagaren garanterar tillräckligt skydd för personuppgifterna, och 4. överföringen inte innebär ett oproportionerligt intrång i den registrerades personliga integritet. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att överföring får ske även i andra fall än som anges i första stycket 1. Regeringen får också besluta om sådan överföring i ett enskilt fall. Lag (2024:426). Utlämnande av personuppgifter 21 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om regeringen har meddelat föreskrifter om det eller beslutat om det i ett enskilt fall. 3 kap. Gemensamt tillgängliga personuppgifter Personuppgifter som får göras gemensamt tillgängliga 1 § Personuppgifter får göras gemensamt tillgängliga och behandlas i uppgiftssamlingar om det behövs för något av de ändamål som anges i 2 kap. Med att göra personuppgifter gemensamt tillgängliga avses inte att endast ett fåtal personer får tillgång till uppgifterna. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgiftssamlingar som får finnas och vilka uppgifter som får behandlas i respektive uppgiftssamling. Regeringen eller den myndighet som regeringen bestämmer får också besluta om uppgiftssamlingar i ett enskilt fall. Direktåtkomst Försvarsunderrättelseverksamhet 2 § Säkerhetspolisen och Försvarsmakten får medges direktåtkomst till personuppgifter som utgör analysresultat inom försvarsunderrättelseverksamheten och som finns i uppgiftssamlingar. Säkerhetspolisen och Försvarsmakten har rätt att vid direktåtkomst ta del av de personuppgifter som omfattas av åtkomsten. 3 § Om det behövs för samarbetet mot terrorism eller för annat internationellt säkerhetssamarbete, får en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § och som finns i uppgiftssamlingar. Första stycket gäller enbart i den utsträckning som sådan direktåtkomst följer av lag eller förordning eller om regeringen har beslutat om den i ett enskilt fall. Informationssäkerhetsverksamhet 4 § Om det behövs för samarbetet mot it-relaterade hot mot samhällsviktiga system, får en utländsk organisation inom informationssäkerhetsområdet medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 7 § och som finns i uppgiftssamlingar. Första stycket gäller enbart i den utsträckning som sådan direktåtkomst följer av lag eller förordning eller om regeringen har beslutat om den i ett enskilt fall. Direktåtkomst i andra fall 5 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om direktåtkomst till uppgiftssamlingar i andra fall än de som anges i 2-4 §§. Regeringen får också besluta om detta i ett enskilt fall. Omfattningen av direktåtkomsten 6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst. Regeringen får också besluta om detta i ett enskilt fall. 4 kap. Skyldigheter som personuppgiftsansvarig Åtgärder för att säkerställa författningsenlig behandling 1 § Försvarets radioanstalt ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa att behandlingen av personuppgifter är författningsenlig och att de registrerades rättigheter skyddas. 2 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Säkerheten för personuppgifter 3 § Försvarets radioanstalt ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska särskilt avse skydd mot obehörig eller otillåten behandling eller förstöring och mot förlust eller annan oavsiktlig skada. Dataskyddsombud 4 § Försvarets radioanstalt ska inom myndigheten utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas. 5 § Ett dataskyddsombud ska 1. självständigt kontrollera att Försvarets radioanstalt behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter, 2. informera och ge råd till Försvarets radioanstalt och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter, 3. vara kontaktpunkt för enskilda i frågor som rör Försvarets radioanstalts behandling av personuppgifter, och 4. vid behov söka vägledning av tillsynsmyndigheten. Personuppgiftsbiträden 6 § Försvarets radioanstalt får, om det är lämpligt, anlita personuppgiftsbiträden för behandling av personuppgifter på Försvarets radioanstalts vägnar. Innan ett personuppgiftsbiträde anlitas, ska Försvarets radioanstalt försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter. 7 § Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse. 8 § Ett personuppgiftsbiträde får inte anlita ett annat personuppgiftsbiträde utan skriftligt tillstånd av Försvarets radioanstalt. 9 § Ett personuppgiftsbiträde eller den eller de personer som arbetar under biträdets eller Försvarets radioanstalts ledning ska behandla personuppgifter i enlighet med instruktioner från Försvarets radioanstalt. Om ett personuppgiftsbiträde, i strid med Försvarets radioanstalts instruktioner, bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen. 10 § Försvarets radioanstalts skyldigheter enligt 2 och 3 §§ gäller även för personuppgiftsbiträden som Försvarets radioanstalt anlitar. 5 kap. Enskildas rättigheter Rätten till information Allmän information 1 § Försvarets radioanstalt ska göra följande information allmänt tillgänglig: 1. myndighetens identitet och kontaktuppgifter, 2. uppgifter om dataskyddsombudet, 3. kategorier av ändamålen med behandlingen av personuppgifter, 4. rätten enligt 2 § att begära att få information om behandlingen av personuppgifter och att få del av dem, och 5. rätten att begära rättelse, radering eller begränsning av behandlingen enligt 5 §. Information som ska lämnas efter begäran 2 § Försvarets radioanstalt är skyldig att en gång per kalenderår till den som begär det lämna skriftligt besked om huruvida personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas ska sökanden få del av dem och få följande skriftliga information: 1. vilka personuppgifter om den sökande som behandlas, 2. varifrån personuppgifterna kommer, 3. ändamålen med behandlingen, 4. mottagare eller kategorier av mottagare av personuppgifterna, även i annat land eller internationella organisationer, 5. hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det, och 6. rätten att begära rättelse, radering eller begränsning av behandlingen enligt 5 §. Ett utlämnande av personuppgifter enligt första stycket behöver inte omfatta sådana personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas. En ansökan om information enligt första stycket ska göras skriftligen hos Försvarets radioanstalt och vara undertecknad av den sökande själv. Informationen ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes. Begränsning av rätten till information 3 § Informationsskyldigheten enligt 2 § gäller inte i den utsträckning sekretess hindrar att uppgifterna lämnas ut. Om det gäller sekretess är Försvarets radioanstalt inte skyldig att redovisa skälen för ett beslut enligt första stycket eller ett beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 5 §. 4 § Informationsskyldigheten enligt 2 § gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör en minnesanteckning eller liknande. Informationsskyldigheten gäller dock om uppgifterna 1. har lämnats ut till tredje part, med undantag för en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision, 2. behandlas enbart för statistiska ändamål eller arkivändamål av allmänt intresse, eller 3. har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning. Rätten till rättelse, radering och begränsning av behandlingen 5 § Försvarets radioanstalt ska på begäran av den registrerade snarast rätta, radera eller begränsa behandlingen av sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen. Om uppgifterna har lämnats ut till tredje part ska denne underrättas om en åtgärd enligt första stycket, om den registrerade begär det eller om en mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon underrättelse behöver dock inte lämnas, om sekretess hindrar det eller detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Avgiftsfri information 6 § Information enligt 1 § och information och uppgifter enligt 2 § ska lämnas utan avgift. 6 kap. Tillsyn Tillsyn över personuppgiftsbehandlingen 1 § Den myndighet som regeringen bestämmer utövar tillsyn över Försvarets radioanstalts behandling av personuppgifter enligt denna lag, enligt föreskrifter som har meddelats i anslutning till lagen och enligt beslut med stöd av lagen. Tillsynsmyndigheten ska, när det är motiverat, ge råd och stöd till Försvarets radioanstalt och personuppgiftsbiträden i frågor som gäller deras skyldigheter enligt lag eller annan författning. 2 § I lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet finns det särskilda bestämmelser om kontroll som rör Försvarets radioanstalts behandling av personuppgifter i försvarsunderrättelse- och utvecklingsverksamheten. Tillsynsmyndighetens befogenheter Undersökningsbefogenheter 3 § Tillsynsmyndigheten har rätt att av Försvarets radioanstalt eller av ett personuppgiftsbiträde på begäran få 1. tillgång till personuppgifter som behandlas, 2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder, 3. tillträde till sådana lokaler som har anknytning till behandling av personuppgifter och tillgång till utrustning och andra medel för behandling av personuppgifter, och 4. den hjälp och annan information som behövs för tillsynen. Förebyggande befogenheter 4 § Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att motverka den risken. Tillsynsmyndigheten får besluta om en skriftlig varning, om en planerad behandling av personuppgifter riskerar att strida mot lag eller annan författning. Detsamma gäller om en pågående behandling riskerar att strida mot lag eller annan författning. Korrigerande befogenheter 5 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Försvarets radioanstalt eller ett personuppgiftsbiträde på annat sätt inte fullgör sina skyldigheter, får tillsynsmyndigheten 1. genom sådana åtgärder som anges i 4 § första stycket försöka förmå Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller för att fullgöra andra skyldigheter, eller 2. besluta att förelägga Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller för att fullgöra andra skyldigheter. Av ett beslut om föreläggande ska det framgå när föreläggandet senast ska ha följts och, om det är lämpligt, vilka åtgärder som ska vidtas. 7 kap. Skadestånd och överklagande Skadestånd 1 § Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, föreskrifter som har meddelats i anslutning till lagen eller beslut med stöd av lagen. Ersättningsskyldigheten kan, i den utsträckning det är skäligt, jämkas om den personuppgiftsansvarige visar att felet inte berodde på denne. Överklagande Överklagande av Försvarets radioanstalts beslut 2 § Försvarets radioanstalts beslut enligt 5 kap. 2 § att inte lämna information och beslut enligt 5 kap. 5 § i fråga om rättelse, radering, begränsning av behandlingen eller underrättelse till tredje part, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Överklagande av tillsynsmyndighetens beslut 3 § Tillsynsmyndighetens beslut om föreläggande enligt 6 kap. 5 § första stycket 2 får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndigheten motpart i domstolen. Prövningstillstånd krävs vid överklagande till kammarrätten. Överklagandeförbud 4 § Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte överklagas. Övergångsbestämmelser 2021:1172 1. Denna lag träder i kraft den 1 januari 2022. 2. Genom lagen upphävs lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. 3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet. <style> .document div { overflow: visible !important; width: 550px !important; } </style> <b>SFS nr</b>: 2021:1172<br /> <b>Departement/myndighet</b>: Försvarsdepartementet <br /> <b>Utfärdad</b>: 2021-12-02 <br /> <b>Ändrad</b>: t.o.m. SFS 2024:426<br /> <b>Ändringsregister</b>: <a href="http://rkrattsbaser.gov.se/sfsr?bet=2021:1172">SFSR (Regeringskansliet)</a> <br /> <b>Källa</b>: <a href="http://rkrattsbaser.gov.se/sfst?bet=2021:1172">Fulltext (Regeringskansliet)</a> <br /> <hr /> <style><!-- div.sfstoc {padding:10px;position:relative;width:90%;border-bottom:#ccc 1px solid;font-size:85%;} --></style> <div class="sfstoc"><h3>Innehåll:</h3> <ul> <li><a href="#K1">1 kap. Allmänna bestämmelser </a></li> <li><a href="#K2">2 kap. Behandling av personuppgifter </a></li> <li><a href="#K3">3 kap. Gemensamt tillgängliga personuppgifter </a></li> <li><a href="#K4">4 kap. Skyldigheter som personuppgiftsansvarig </a></li> <li><a href="#K5">5 kap. Enskildas rättigheter </a></li> <li><a href="#K6">6 kap. Tillsyn </a></li> <li><a href="#K7">7 kap. Skadestånd och överklagande </a></li> <li><a href="#overgang">Övergångsbestämmelser</a></li> </ul> </div> <div><p><a name="S1"></a></p><br /><h3 name="K1"><a name="K1">1 kap. Allmänna bestämmelser </a></h3><p><a name="S2"></a></p><h4 name="Syftet med lagen"><a name="Syftet med lagen">Syftet med lagen</a></h4><p><a name="S3"></a></p><a class="paragraf" name="K1P1"><b>1 §</b></a>   Syftet med denna lag är att säkerställa att Försvarets radioanstalt kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan behandling.<p><a name="K1P1S2"></a></p><h4 name="Lagens tillämpningsområde"><a name="Lagens tillämpningsområde">Lagens tillämpningsområde</a></h4><p><a name="K1P1S3"></a></p><a class="paragraf" name="K1P2"><b>2 §</b></a>   Denna lag gäller vid behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet samt informationssäkerhetsverksamhet.<p><a name="K1P2S2"></a></p><a class="paragraf" name="K1P3"><b>3 §</b></a>   Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Den gäller också personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.<p><a name="K1P3S2"></a></p><a class="paragraf" name="K1P4"><b>4 §</b></a>   Vid behandling av personuppgifter enligt denna lag gäller inte Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och inte heller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.<p><a name="K1P4S2"></a></p><h4 name="Ord och uttryck i lagen"><a name="Ord och uttryck i lagen">Ord och uttryck i lagen</a></h4><p><a name="K1P4S3"></a></p><a class="paragraf" name="K1P5"><b>5 §</b></a>   I denna lag används följande ord och uttryck.<p><a name="K1P5S2"></a></p><pre>Ord och uttryck Betydelse </pre> Behandling av <pre>personuppgifter En åtgärd eller en kombination av </pre><pre> åtgärder som vidtas i fråga om </pre><pre> personuppgifter eller uppsättningar av </pre><pre> personuppgifter, oavsett om det görs </pre><pre> automatiserat eller inte, t.ex. </pre><pre> insamling, registrering, organisering, </pre><pre> strukturering, lagring, bearbetning </pre><pre> eller ändring, framtagning, läsning, </pre><pre> användning, utlämnande, spridning eller </pre><pre> tillhandahållande på annat sätt, </pre><pre> justering, sammanföring, begränsning, </pre><pre> radering eller förstöring. </pre><pre>Biometriska uppgifter Personuppgifter som rör en persons </pre><pre> fysiska, fysiologiska eller </pre><pre> beteendemässiga kännetecken, som tagits </pre><pre> fram genom särskild teknisk behandling </pre><pre> och som möjliggör eller bekräftar </pre><pre> identifiering av personen i fråga. </pre><pre>Dataskyddsombud En fysisk person som utses av den </pre><pre> personuppgiftsansvarige för att </pre><pre> självständigt kontrollera att </pre><pre> personuppgifter behandlas </pre><pre> författningsenligt och på ett korrekt </pre><pre> sätt. </pre><pre>Genetiska uppgifter Personuppgifter som rör en persons </pre><pre> nedärvda eller förvärvade genetiska </pre><pre> kännetecken och som framför allt härrör </pre><pre> från analys av ett spår av eller ett </pre><pre> biologiskt prov från personen i fråga. </pre><pre>Mottagare Den till vilken personuppgifter lämnas </pre><pre> ut, med undantag av en myndighet som </pre><pre> med stöd av författning utövar tillsyn, </pre><pre> kontroll eller revision. </pre><pre>Personuppgift Varje upplysning om en identifierad </pre><pre> eller identifierbar fysisk person som </pre><pre> är i livet. </pre><pre>Personuppgiftsansvarig Den som ensam eller tillsammans med </pre><pre> andra bestämmer ändamålen med och </pre><pre> medlen för behandlingen av </pre><pre> personuppgifter. </pre><pre>Personuppgiftsbiträde Den som behandlar personuppgifter för </pre><pre> den personuppgiftsansvariges räkning. </pre><pre>Registrerad Den fysiska person som personuppgiften </pre><pre> gäller. </pre><pre>Tredje part Någon annan än </pre><pre> - den registrerade, </pre><pre> - den personuppgiftsansvarige, </pre><pre> - dataskyddsombudet, </pre><pre> - personuppgiftsbiträdet, och </pre><pre> - sådana personer som under den </pre><pre> personuppgiftsansvariges eller </pre><pre> personuppgiftsbiträdets direkta ansvar </pre><pre> har rätt att behandla personuppgifter. </pre><pre>Uppgiftssamling En samling med uppgifter som med hjälp </pre><pre> av automatiserad behandling är </pre><pre> gemensamt tillgängliga. </pre> Personuppgiftsansvar<p><a name="K1P5S3"></a></p><a class="paragraf" name="K1P6"><b>6 §</b></a>   Försvarets radioanstalt är personuppgiftsansvarig för all behandling av personuppgifter som myndigheten utför, som utförs under myndighetens ledning eller på dess vägnar.<p><a name="K1P6S2"></a></p><br /><h3 name="K2"><a name="K2">2 kap. Behandling av personuppgifter </a></h3><p><a name="K1P6S2"></a></p><h4 name="Grundläggande krav på behandlingen"><a name="Grundläggande krav på behandlingen">Grundläggande krav på behandlingen</a></h4><p><a name="K1P6S3"></a></p><h4 name="Krav på ändamål"><a name="Krav på ändamål">Krav på ändamål</a></h4><p><a name="K1P6S4"></a></p><a class="paragraf" name="K2P1"><b>1 §</b></a>   Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål. <p><a name="K2P1S2"></a></p> Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål som de ursprungligen behandlades för.<p><a name="K2P1S3"></a></p><h4 name="Försvarsunderrättelseverksamhet"><a name="Försvarsunderrättelseverksamhet">Försvarsunderrättelseverksamhet</a></h4><p><a name="K2P1S4"></a></p><a class="paragraf" name="K2P2"><b>2 §</b></a>   Personuppgifter får behandlas i Försvarets radioanstalts försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet.<p><a name="K2P2S2"></a></p><a class="paragraf" name="K2P3"><b>3 §</b></a>   De personuppgifter som Försvarets radioanstalt har fått tillgång till i myndighetens försvarsunderrättelseverksamhet får fortsätta behandlas i den verksamheten, om det behövs för att fullgöra den. <p><a name="K2P3S2"></a></p> Första stycket gäller endast om inte något annat följer av denna lag eller en förordning som regeringen har meddelat i anslutning till lagen.<p><a name="K2P3S3"></a></p><a class="paragraf" name="K2P4"><b>4 §</b></a>   Personuppgifter som behandlas med stöd av 2 och 3 §§ får även behandlas om det är nödvändigt för att tillhandahålla information som behövs <br />    1. i verksamhet hos berörda myndigheter som avses i 2 § första stycket lagen (2000:130) om försvarsunderrättelseverksamhet, <br />    2. med anledning av samarbete med andra länder och internationella organisationer enligt lagen om försvarsunderrättelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet, <br />    3. i utvecklingsverksamheten för de ändamål som anges i 5 §, <br />    4. i informationssäkerhetsverksamheten för de ändamål som anges i 7 §, eller<br />    5. för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall.<p><a name="K2P4S2"></a></p><h4 name="Utvecklingsverksamhet"><a name="Utvecklingsverksamhet">Utvecklingsverksamhet</a></h4><p><a name="K2P4S3"></a></p><a class="paragraf" name="K2P5"><b>5 §</b></a>   Om det är nödvändigt för försvarsunderrättelseverksamheten får Försvarets radioanstalt behandla personuppgifter för att <br />    1. följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, och <br />    2. fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.<p><a name="K2P5S2"></a></p><a class="paragraf" name="K2P6"><b>6 §</b></a>   Personuppgifter som behandlas med stöd av 5 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs<br />    1. med anledning av samverkan med annan i fråga om utvecklingsverksamhet, <br />    2. med anledning av samarbete om utvecklingsverksamhet med andra länder eller internationella organisationer enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet,<br />    3. i försvarsunderrättelseverksamheten för de ändamål som anges i 2 och 3 §§, <br />    4. i informationssäkerhetsverksamheten för de ändamål som anges i 7 §, eller<br />    5. för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall.<p><a name="K2P6S2"></a></p><h4 name="Informationssäkerhetsverksamhet"><a name="Informationssäkerhetsverksamhet">Informationssäkerhetsverksamhet</a></h4><p><a name="K2P6S3"></a></p><a class="paragraf" name="K2P7"><b>7 §</b></a>   Personuppgifter får behandlas i Försvarets radioanstalts informationssäkerhetsverksamhet om det är nödvändigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller beslut av regeringen i ett enskilt fall. <p><a name="K2P7S2"></a></p><a class="paragraf" name="K2P8"><b>8 §</b></a>   Personuppgifter som behandlas med stöd av 7 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs<br />    1. i verksamhet hos den som tar emot uppgifter om informationssäkerhet,<br />    2. med anledning av samverkan med andra som verkar på informationssäkerhetsområdet såväl inom som utom landet i den utsträckning det följer av lag eller förordning eller om regeringen har beslutat om det i ett enskilt fall,<br />    3. i försvarsunderrättelseverksamheten för de ändamål som anges i 1 § andra stycket 5 och 7 lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet, eller <br />    4. i utvecklingsverksamheten för de ändamål som anges i 5 §.<p><a name="K2P8S2"></a></p><h4 name="Övriga ändamål"><a name="Övriga ändamål">Övriga ändamål</a></h4><p><a name="K2P8S3"></a></p><a class="paragraf" name="K2P9"><b>9 §</b></a>   Försvarets radioanstalt får behandla personuppgifter som utgör allmänt tillgänglig information om det är nödvändigt för den verksamhet som anges i 2, 5 och 7 §§. <p><a name="K2P9S2"></a></p><a class="paragraf" name="K2P10"><b>10 §</b></a>   Försvarets radioanstalt får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.<p><a name="K2P10S2"></a></p><h4 name="Författningsenlig och korrekt behandling"><a name="Författningsenlig och korrekt behandling">Författningsenlig och korrekt behandling</a></h4><p><a name="K2P10S3"></a></p><a class="paragraf" name="K2P11"><b>11 §</b></a>   Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.<p><a name="K2P11S2"></a></p><h4 name="Personuppgifternas kvalitet"><a name="Personuppgifternas kvalitet">Personuppgifternas kvalitet</a></h4><p><a name="K2P11S3"></a></p><a class="paragraf" name="K2P12"><b>12 §</b></a>   Personuppgifter som behandlas ska vara riktiga och, om det är nödvändigt, uppdaterade. Personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen.<p><a name="K2P12S2"></a></p> Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.<p><a name="K2P12S3"></a></p> Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. <p><a name="K2P12S4"></a></p><h4 name="Känsliga personuppgifter"><a name="Känsliga personuppgifter">Känsliga personuppgifter</a></h4><p><a name="K2P12S5"></a></p><a class="paragraf" name="K2P13"><b>13 §</b></a>   Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas. <p><a name="K2P13S2"></a></p> När personuppgifter behandlas får de dock kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen.<p><a name="K2P13S3"></a></p><a class="paragraf" name="K2P14"><b>14 §</b></a>   Biometriska uppgifter får behandlas om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen. <p><a name="K2P14S2"></a></p> Genetiska uppgifter får inte behandlas.<p><a name="K2P14S3"></a></p><a class="paragraf" name="K2P15"><b>15 §</b></a>   Vid sökning får personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning användas som sökbegrepp om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen. Detsamma gäller biometriska uppgifter.<p><a name="K2P15S2"></a></p><h4 name="Personnummer och samordningsnummer"><a name="Personnummer och samordningsnummer">Personnummer och samordningsnummer</a></h4><p><a name="K2P15S3"></a></p><a class="paragraf" name="K2P16"><b>16 §</b></a>   Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till <br />    1. ändamålen med behandlingen, <br />    2. vikten av en säker identifiering, eller <br />    3. något annat beaktansvärt skäl.<p><a name="K2P16S2"></a></p><h4 name="Om den registrerade har offentliggjort personuppgifterna"><a name="Om den registrerade har offentliggjort personuppgifterna">Om den registrerade har offentliggjort personuppgifterna</a></h4><p><a name="K2P16S3"></a></p><a class="paragraf" name="K2P17"><b>17 §</b></a>   Trots 13, 14 och 16 §§ får andra personuppgifter än genetiska uppgifter behandlas, om den registrerade på ett tydligt sätt har offentliggjort uppgifterna.<p><a name="K2P17S2"></a></p><h4 name="Behandling av personuppgifter i vissa fall"><a name="Behandling av personuppgifter i vissa fall">Behandling av personuppgifter i vissa fall</a></h4><p><a name="K2P17S3"></a></p><a class="paragraf" name="K2P18"><b>18 §</b></a>   Hantering av information som innebär behandling av personuppgifter ska inte anses oförenlig med bestämmelserna i 1, 2, 5, 7, 9, 11-14 och 16 §§ i det skede av behandlingen då det inte har kunnat fastställas vilka personuppgifter som informationen innehåller.<p><a name="K2P18S2"></a></p><h4 name="Längsta tid som personuppgifter får behandlas"><a name="Längsta tid som personuppgifter får behandlas">Längsta tid som personuppgifter får behandlas</a></h4><p><a name="K2P18S3"></a></p><a class="paragraf" name="K2P19"><b>19 §</b></a>   Personuppgifter får inte behandlas under längre tid än vad som behövs med hänsyn till ändamålen med behandlingen. <p><a name="K2P19S2"></a></p> Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får behandlas under endast viss tid eller fortsätta behandlas för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. <p><a name="K2P19S3"></a></p> Regeringen eller den myndighet som regeringen bestämmer får också besluta om sådan behandling i ett enskilt fall.<p><a name="K2P19S4"></a></p><h4 name="Överföring av personuppgifter till en mottagare utomlands"><a name="Överföring av personuppgifter till en mottagare utomlands">Överföring av personuppgifter till en mottagare utomlands</a></h4><p><a name="K2P19S5"></a></p><a class="paragraf" name="K2P20"><b>20 §</b></a>   Personuppgifter som behandlas med stöd av denna lag får föras över till ett annat land eller en internationell organisation endast om det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet och<br />    1. överföringen riktas till en utländsk underrättelse- eller säkerhetstjänst, eller ett underrättelse- eller säkerhetsorgan i en internationell organisation,<br />    2. sekretess inte hindrar en överföring,<br />    3. mottagaren garanterar tillräckligt skydd för personuppgifterna, och<br />    4. överföringen inte innebär ett oproportionerligt intrång i den registrerades personliga integritet.<p><a name="K2P20S2"></a></p> Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att överföring får ske även i andra fall än som anges i första stycket 1.<p><a name="K2P20S3"></a></p> Regeringen får också besluta om sådan överföring i ett enskilt fall. <i>Lag (2024:426)</i>.<p><a name="K2P20S4"></a></p><h4 name="Utlämnande av personuppgifter"><a name="Utlämnande av personuppgifter">Utlämnande av personuppgifter</a></h4><p><a name="K2P20S5"></a></p><a class="paragraf" name="K2P21"><b>21 §</b></a>   Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om regeringen har meddelat föreskrifter om det eller beslutat om det i ett enskilt fall.<p><a name="K2P21S2"></a></p><br /><h3 name="K3"><a name="K3">3 kap. Gemensamt tillgängliga personuppgifter </a></h3><p><a name="K2P21S2"></a></p><h4 name="Personuppgifter som får göras gemensamt tillgängliga"><a name="Personuppgifter som får göras gemensamt tillgängliga">Personuppgifter som får göras gemensamt tillgängliga</a></h4><p><a name="K2P21S3"></a></p><a class="paragraf" name="K3P1"><b>1 §</b></a>   Personuppgifter får göras gemensamt tillgängliga och behandlas i uppgiftssamlingar om det behövs för något av de ändamål som anges i 2 kap. Med att göra personuppgifter gemensamt tillgängliga avses inte att endast ett fåtal personer får tillgång till uppgifterna. <p><a name="K3P1S2"></a></p> Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgiftssamlingar som får finnas och vilka uppgifter som får behandlas i respektive uppgiftssamling. <p><a name="K3P1S3"></a></p> Regeringen eller den myndighet som regeringen bestämmer får också besluta om uppgiftssamlingar i ett enskilt fall.<p><a name="K3P1S4"></a></p><h4 name="Direktåtkomst"><a name="Direktåtkomst">Direktåtkomst</a></h4><p><a name="K3P1S5"></a></p><h4 name="Försvarsunderrättelseverksamhet"><a name="Försvarsunderrättelseverksamhet">Försvarsunderrättelseverksamhet</a></h4><p><a name="K3P1S6"></a></p><a class="paragraf" name="K3P2"><b>2 §</b></a>   Säkerhetspolisen och Försvarsmakten får medges direktåtkomst till personuppgifter som utgör analysresultat inom försvarsunderrättelseverksamheten och som finns i uppgiftssamlingar.<p><a name="K3P2S2"></a></p> Säkerhetspolisen och Försvarsmakten har rätt att vid direktåtkomst ta del av de personuppgifter som omfattas av åtkomsten.<p><a name="K3P2S3"></a></p><a class="paragraf" name="K3P3"><b>3 §</b></a>   Om det behövs för samarbetet mot terrorism eller för annat internationellt säkerhetssamarbete, får en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § och som finns i uppgiftssamlingar.<p><a name="K3P3S2"></a></p> Första stycket gäller enbart i den utsträckning som sådan direktåtkomst följer av lag eller förordning eller om regeringen har beslutat om den i ett enskilt fall.<p><a name="K3P3S3"></a></p><h4 name="Informationssäkerhetsverksamhet"><a name="Informationssäkerhetsverksamhet">Informationssäkerhetsverksamhet</a></h4><p><a name="K3P3S4"></a></p><a class="paragraf" name="K3P4"><b>4 §</b></a>   Om det behövs för samarbetet mot it-relaterade hot mot samhällsviktiga system, får en utländsk organisation inom informationssäkerhetsområdet medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 7 § och som finns i uppgiftssamlingar.<p><a name="K3P4S2"></a></p> Första stycket gäller enbart i den utsträckning som sådan direktåtkomst följer av lag eller förordning eller om regeringen har beslutat om den i ett enskilt fall.<p><a name="K3P4S3"></a></p><h4 name="Direktåtkomst i andra fall"><a name="Direktåtkomst i andra fall">Direktåtkomst i andra fall</a></h4><p><a name="K3P4S4"></a></p><a class="paragraf" name="K3P5"><b>5 §</b></a>   Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om direktåtkomst till uppgiftssamlingar i andra fall än de som anges i 2-4 §§.<p><a name="K3P5S2"></a></p> Regeringen får också besluta om detta i ett enskilt fall.<p><a name="K3P5S3"></a></p><h4 name="Omfattningen av direktåtkomsten"><a name="Omfattningen av direktåtkomsten">Omfattningen av direktåtkomsten</a></h4><p><a name="K3P5S4"></a></p><a class="paragraf" name="K3P6"><b>6 §</b></a>   Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst. <p><a name="K3P6S2"></a></p> Regeringen får också besluta om detta i ett enskilt fall.<p><a name="K3P6S3"></a></p><br /><h3 name="K4"><a name="K4">4 kap. Skyldigheter som personuppgiftsansvarig </a></h3><p><a name="K3P6S2"></a></p><h4 name="Åtgärder för att säkerställa författningsenlig behandling"><a name="Åtgärder för att säkerställa författningsenlig behandling">Åtgärder för att säkerställa författningsenlig behandling</a></h4><p><a name="K3P6S3"></a></p><a class="paragraf" name="K4P1"><b>1 §</b></a>   Försvarets radioanstalt ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa att behandlingen av personuppgifter är författningsenlig och att de registrerades rättigheter skyddas.<p><a name="K4P1S2"></a></p><a class="paragraf" name="K4P2"><b>2 §</b></a>   Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.<p><a name="K4P2S2"></a></p><h4 name="Säkerheten för personuppgifter"><a name="Säkerheten för personuppgifter">Säkerheten för personuppgifter</a></h4><p><a name="K4P2S3"></a></p><a class="paragraf" name="K4P3"><b>3 §</b></a>   Försvarets radioanstalt ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska särskilt avse skydd mot obehörig eller otillåten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.<p><a name="K4P3S2"></a></p><h4 name="Dataskyddsombud"><a name="Dataskyddsombud">Dataskyddsombud</a></h4><p><a name="K4P3S3"></a></p><a class="paragraf" name="K4P4"><b>4 §</b></a>   Försvarets radioanstalt ska inom myndigheten utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.<p><a name="K4P4S2"></a></p><a class="paragraf" name="K4P5"><b>5 §</b></a>   Ett dataskyddsombud ska <br />    1. självständigt kontrollera att Försvarets radioanstalt behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter, <br />    2. informera och ge råd till Försvarets radioanstalt och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter, <br />    3. vara kontaktpunkt för enskilda i frågor som rör Försvarets radioanstalts behandling av personuppgifter, och <br />    4. vid behov söka vägledning av tillsynsmyndigheten.<p><a name="K4P5S2"></a></p><h4 name="Personuppgiftsbiträden"><a name="Personuppgiftsbiträden">Personuppgiftsbiträden</a></h4><p><a name="K4P5S3"></a></p><a class="paragraf" name="K4P6"><b>6 §</b></a>   Försvarets radioanstalt får, om det är lämpligt, anlita personuppgiftsbiträden för behandling av personuppgifter på Försvarets radioanstalts vägnar. Innan ett personuppgiftsbiträde anlitas, ska Försvarets radioanstalt försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda registrerades rättigheter.<p><a name="K4P6S2"></a></p><a class="paragraf" name="K4P7"><b>7 §</b></a>   Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.<p><a name="K4P7S2"></a></p><a class="paragraf" name="K4P8"><b>8 §</b></a>   Ett personuppgiftsbiträde får inte anlita ett annat personuppgiftsbiträde utan skriftligt tillstånd av Försvarets radioanstalt.<p><a name="K4P8S2"></a></p><a class="paragraf" name="K4P9"><b>9 §</b></a>   Ett personuppgiftsbiträde eller den eller de personer som arbetar under biträdets eller Försvarets radioanstalts ledning ska behandla personuppgifter i enlighet med instruktioner från Försvarets radioanstalt. <p><a name="K4P9S2"></a></p> Om ett personuppgiftsbiträde, i strid med Försvarets radioanstalts instruktioner, bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.<p><a name="K4P9S3"></a></p><a class="paragraf" name="K4P10"><b>10 §</b></a>   Försvarets radioanstalts skyldigheter enligt 2 och 3 §§ gäller även för personuppgiftsbiträden som Försvarets radioanstalt anlitar.<p><a name="K4P10S2"></a></p><br /><h3 name="K5"><a name="K5">5 kap. Enskildas rättigheter </a></h3><p><a name="K4P10S2"></a></p><h4 name="Rätten till information"><a name="Rätten till information">Rätten till information</a></h4><p><a name="K4P10S3"></a></p><h4 name="Allmän information"><a name="Allmän information">Allmän information</a></h4><p><a name="K4P10S4"></a></p><a class="paragraf" name="K5P1"><b>1 §</b></a>   Försvarets radioanstalt ska göra följande information allmänt tillgänglig: <br />    1. myndighetens identitet och kontaktuppgifter, <br />    2. uppgifter om dataskyddsombudet, <br />    3. kategorier av ändamålen med behandlingen av personuppgifter, <br />    4. rätten enligt 2 § att begära att få information om behandlingen av personuppgifter och att få del av dem, och <br />    5. rätten att begära rättelse, radering eller begränsning av behandlingen enligt 5 §.<p><a name="K5P1S2"></a></p><h4 name="Information som ska lämnas efter begäran"><a name="Information som ska lämnas efter begäran">Information som ska lämnas efter begäran</a></h4><p><a name="K5P1S3"></a></p><a class="paragraf" name="K5P2"><b>2 §</b></a>   Försvarets radioanstalt är skyldig att en gång per kalenderår till den som begär det lämna skriftligt besked om huruvida personuppgifter som rör honom eller henne behandlas. Om sådana uppgifter behandlas ska sökanden få del av dem och få följande skriftliga information: <br />    1. vilka personuppgifter om den sökande som behandlas, <br />    2. varifrån personuppgifterna kommer, <br />    3. ändamålen med behandlingen, <br />    4. mottagare eller kategorier av mottagare av personuppgifterna, även i annat land eller internationella organisationer, <br />    5. hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det, och <br />    6. rätten att begära rättelse, radering eller begränsning av behandlingen enligt 5 §. <p><a name="K5P2S2"></a></p> Ett utlämnande av personuppgifter enligt första stycket behöver inte omfatta sådana personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas. <p><a name="K5P2S3"></a></p> En ansökan om information enligt första stycket ska göras skriftligen hos Försvarets radioanstalt och vara undertecknad av den sökande själv. Informationen ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.<p><a name="K5P2S4"></a></p><h4 name="Begränsning av rätten till information"><a name="Begränsning av rätten till information">Begränsning av rätten till information</a></h4><p><a name="K5P2S5"></a></p><a class="paragraf" name="K5P3"><b>3 §</b></a>   Informationsskyldigheten enligt 2 § gäller inte i den utsträckning sekretess hindrar att uppgifterna lämnas ut. <p><a name="K5P3S2"></a></p> Om det gäller sekretess är Försvarets radioanstalt inte skyldig att redovisa skälen för ett beslut enligt första stycket eller ett beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 5 §.<p><a name="K5P3S3"></a></p><a class="paragraf" name="K5P4"><b>4 §</b></a>   Informationsskyldigheten enligt 2 § gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör en minnesanteckning eller liknande. <p><a name="K5P4S2"></a></p> Informationsskyldigheten gäller dock om uppgifterna <br />    1. har lämnats ut till tredje part, med undantag för en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision, <br />    2. behandlas enbart för statistiska ändamål eller arkivändamål av allmänt intresse, eller <br />    3. har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.<p><a name="K5P4S3"></a></p><h4 name="Rätten till rättelse, radering och begränsning av behandlingen"><a name="Rätten till rättelse, radering och begränsning av behandlingen">Rätten till rättelse, radering och begränsning av behandlingen</a></h4><p><a name="K5P4S4"></a></p><a class="paragraf" name="K5P5"><b>5 §</b></a>   Försvarets radioanstalt ska på begäran av den registrerade snarast rätta, radera eller begränsa behandlingen av sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen. <p><a name="K5P5S2"></a></p> Om uppgifterna har lämnats ut till tredje part ska denne underrättas om en åtgärd enligt första stycket, om den registrerade begär det eller om en mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. <p><a name="K5P5S3"></a></p> Någon underrättelse behöver dock inte lämnas, om sekretess hindrar det eller detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.<p><a name="K5P5S4"></a></p><h4 name="Avgiftsfri information"><a name="Avgiftsfri information">Avgiftsfri information</a></h4><p><a name="K5P5S5"></a></p><a class="paragraf" name="K5P6"><b>6 §</b></a>   Information enligt 1 § och information och uppgifter enligt 2 § ska lämnas utan avgift.<p><a name="K5P6S2"></a></p><br /><h3 name="K6"><a name="K6">6 kap. Tillsyn </a></h3><p><a name="K5P6S2"></a></p><h4 name="Tillsyn över personuppgiftsbehandlingen"><a name="Tillsyn över personuppgiftsbehandlingen">Tillsyn över personuppgiftsbehandlingen</a></h4><p><a name="K5P6S3"></a></p><a class="paragraf" name="K6P1"><b>1 §</b></a>   Den myndighet som regeringen bestämmer utövar tillsyn över Försvarets radioanstalts behandling av personuppgifter enligt denna lag, enligt föreskrifter som har meddelats i anslutning till lagen och enligt beslut med stöd av lagen. <p><a name="K6P1S2"></a></p> Tillsynsmyndigheten ska, när det är motiverat, ge råd och stöd till Försvarets radioanstalt och personuppgiftsbiträden i frågor som gäller deras skyldigheter enligt lag eller annan författning.<p><a name="K6P1S3"></a></p><a class="paragraf" name="K6P2"><b>2 §</b></a>   I lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet finns det särskilda bestämmelser om kontroll som rör Försvarets radioanstalts behandling av personuppgifter i försvarsunderrättelse- och utvecklingsverksamheten.<p><a name="K6P2S2"></a></p><h4 name="Tillsynsmyndighetens befogenheter"><a name="Tillsynsmyndighetens befogenheter">Tillsynsmyndighetens befogenheter</a></h4><p><a name="K6P2S3"></a></p><h4 name="Undersökningsbefogenheter"><a name="Undersökningsbefogenheter">Undersökningsbefogenheter</a></h4><p><a name="K6P2S4"></a></p><a class="paragraf" name="K6P3"><b>3 §</b></a>   Tillsynsmyndigheten har rätt att av Försvarets radioanstalt eller av ett personuppgiftsbiträde på begäran få <br />    1. tillgång till personuppgifter som behandlas, <br />    2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder, <br />    3. tillträde till sådana lokaler som har anknytning till behandling av personuppgifter och tillgång till utrustning och andra medel för behandling av personuppgifter, och <br />    4. den hjälp och annan information som behövs för tillsynen.<p><a name="K6P3S2"></a></p><h4 name="Förebyggande befogenheter"><a name="Förebyggande befogenheter">Förebyggande befogenheter</a></h4><p><a name="K6P3S3"></a></p><a class="paragraf" name="K6P4"><b>4 §</b></a>   Om tillsynsmyndigheten bedömer att det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att motverka den risken. <p><a name="K6P4S2"></a></p> Tillsynsmyndigheten får besluta om en skriftlig varning, om en planerad behandling av personuppgifter riskerar att strida mot lag eller annan författning. Detsamma gäller om en pågående behandling riskerar att strida mot lag eller annan författning.<p><a name="K6P4S3"></a></p><h4 name="Korrigerande befogenheter"><a name="Korrigerande befogenheter">Korrigerande befogenheter</a></h4><p><a name="K6P4S4"></a></p><a class="paragraf" name="K6P5"><b>5 §</b></a>   Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Försvarets radioanstalt eller ett personuppgiftsbiträde på annat sätt inte fullgör sina skyldigheter, får tillsynsmyndigheten <br />    1. genom sådana åtgärder som anges i 4 § första stycket försöka förmå Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller för att fullgöra andra skyldigheter, eller <br />    2. besluta att förelägga Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller för att fullgöra andra skyldigheter. <p><a name="K6P5S2"></a></p> Av ett beslut om föreläggande ska det framgå när föreläggandet senast ska ha följts och, om det är lämpligt, vilka åtgärder som ska vidtas.<p><a name="K6P5S3"></a></p><br /><h3 name="K7"><a name="K7">7 kap. Skadestånd och överklagande </a></h3><p><a name="K6P5S2"></a></p><h4 name="Skadestånd"><a name="Skadestånd">Skadestånd</a></h4><p><a name="K6P5S3"></a></p><a class="paragraf" name="K7P1"><b>1 §</b></a>   Den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, föreskrifter som har meddelats i anslutning till lagen eller beslut med stöd av lagen. <p><a name="K7P1S2"></a></p> Ersättningsskyldigheten kan, i den utsträckning det är skäligt, jämkas om den personuppgiftsansvarige visar att felet inte berodde på denne.<p><a name="K7P1S3"></a></p><h4 name="Överklagande"><a name="Överklagande">Överklagande</a></h4><p><a name="K7P1S4"></a></p><h4 name="Överklagande av Försvarets radioanstalts beslut"><a name="Överklagande av Försvarets radioanstalts beslut">Överklagande av Försvarets radioanstalts beslut</a></h4><p><a name="K7P1S5"></a></p><a class="paragraf" name="K7P2"><b>2 §</b></a>   Försvarets radioanstalts beslut enligt 5 kap. 2 § att inte lämna information och beslut enligt 5 kap. 5 § i fråga om rättelse, radering, begränsning av behandlingen eller underrättelse till tredje part, får överklagas till allmän förvaltningsdomstol. <p><a name="K7P2S2"></a></p> Prövningstillstånd krävs vid överklagande till kammarrätten.<p><a name="K7P2S3"></a></p><h4 name="Överklagande av tillsynsmyndighetens beslut"><a name="Överklagande av tillsynsmyndighetens beslut">Överklagande av tillsynsmyndighetens beslut</a></h4><p><a name="K7P2S4"></a></p><a class="paragraf" name="K7P3"><b>3 §</b></a>   Tillsynsmyndighetens beslut om föreläggande enligt 6 kap. 5 § första stycket 2 får överklagas till allmän förvaltningsdomstol. När ett beslut överklagas är tillsynsmyndigheten motpart i domstolen. <p><a name="K7P3S2"></a></p> Prövningstillstånd krävs vid överklagande till kammarrätten.<p><a name="K7P3S3"></a></p><h4 name="Överklagandeförbud"><a name="Överklagandeförbud">Överklagandeförbud</a></h4><p><a name="K7P3S4"></a></p><a class="paragraf" name="K7P4"><b>4 §</b></a>   Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte överklagas.<p><a name="K7P4S2"></a></p><br /><h3 name="overgang"><a name="overgang">Övergångsbestämmelser</a></h3> 2021:1172<br />    1. Denna lag träder i kraft den 1 januari 2022.<br />    2. Genom lagen upphävs lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. <br />    3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har meddelats före ikraftträdandet.</div>Svensk författningssamlingdokumentartalartal2021utfardadutfardad2021-12-02andrattillochmedandrattillochmedt.o.m. SFS 2024:426utdragutdrag1 kap. Allmänna bestämmelser Syftet med lagen 1 § Syftet med denna lag är att säkerställa att Försvarets radioanstalt kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådanartalartal2021utfardadutfardad2021-12-02andrattillochmedandrattillochmedt.o.m. SFS 2024:426utdragutdrag1 kap. Allmänna bestämmelser Syftet med lagen 1 § Syftet med denna lag är att säkerställa att Försvarets radioanstalt kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan