sfs-2021-120820212021:1208sfssfstFörsvarsdepartementet120802021-12-09 00:00:002026-01-03 04:39:082026-01-03 04:39:08Förordning (2021:1208) om behandling av personuppgifter vid Försvarets radioanstaltt.o.m. SFS 2025:11591 kap. Allmänna bestämmelser 1 § Denna förordning innehåller föreskrifter som ansluter till lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt. Ord och uttryck som används i denna förordning har samma innebörd som i lagen. 2 § Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen. 2 kap. Behandling av personuppgifter Överföring av personuppgifter till en mottagare utomlands 1 § Försvarets radioanstalt får föra över personuppgifter till en utländsk underrättelse- eller säkerhetstjänst, en utländsk organisation inom informationssäkerhetsområdet eller en internationell organisation, om överföringen tjänar den svenska statsledningen eller det svenska totalförsvaret. Överföringen av personuppgifter får inte vara till skada för svenska intressen. Elektroniskt utlämnande 2 § Försvarets radioanstalt får lämna ut personuppgifter elektroniskt till statliga myndigheter på annat sätt än genom direktåtkomst. 3 kap. Gemensamt tillgängliga uppgifter Uppgiftssamlingar Försvarsunderrättelse- och utvecklingsverksamhet 1 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för råmaterial som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla obearbetat och automatiskt bearbetat material vars relevans för verksamheten ännu inte har bedömts. Personuppgifter i en uppgiftssamling för råmaterial får inte behandlas längre än ett år efter det att behandlingen av uppgifterna påbörjades. 2 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för analyser som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla bearbetningsunderlag och analysresultat. 3 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för underrättelser som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla rapportunderlag och färdiga underrättelserapporter. Om personuppgifter i rapportunderlag och underrättelserapporter inte längre behövs för de ändamål för vilka de behandlas, ska personuppgifterna bevaras för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. 4 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för information om signalmiljön som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla information som rör signalmiljön. 5 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för information om företeelser mot vilka signalspaningen inriktas som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla sådan information om fysiska personer och andra källor som är nödvändig eller kan vara nödvändig för att verkställa inriktningar av signalspaning. 6 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för information om teknik- och metodikutveckling som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla information som rör teknik- och metodikutvecklingen. 7 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för signalskydd som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla information som rör signalskyddet. Informationssäkerhetsverksamhet 8 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för informationssäkerhetsverksamhet som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla information om uppdragsgivare, information som rör it-angrepp samt bearbetningsunderlag och analysresultat. Allmänt tillgänglig information 9 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för allmänt tillgänglig information som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla information som finns eller har funnits på internet eller i öppna databaser. Direktåtkomst Försvarsunderrättelseverksamhet 10 § Regeringskansliet, Säkerhetspolisen, Nationella operativa avdelningen i Polismyndigheten, Myndigheten för civilt försvar, Inspektionen för strategiska produkter, Försvarsmakten, Försvarets materielverk, Totalförsvarets forskningsinstitut och Tullverket får medges direktåtkomst till personuppgifter som utgör underrättelser och som finns i uppgiftssamlingar. Vid sådan direktåtkomst har myndigheterna rätt att ta del av de personuppgifter som omfattas av åtkomsten. Förordning (2025:1159). Informationssäkerhetsverksamhet 11 § Säkerhetspolisen och Försvarsmakten får medges direktåtkomst till personuppgifter som utgör analysresultat och som behandlas i en uppgiftssamling för informationssäkerhetsverksamhet. Vid sådan direktåtkomst har Säkerhetspolisen och Försvarsmakten rätt att ta del av de personuppgifter som omfattas av åtkomsten. Omfattningen av direktåtkomsten 12 § Försvarets radioanstalt beslutar om omfattningen av direktåtkomst som följer av lag, förordning eller regeringens beslut i ett enskilt fall. 13 § Försvarets radioanstalt ska säkerställa att förutsättningarna för direktåtkomsten dokumenteras. Tillgången till uppgifter hos mottagaren ska vara förbehållen de personer som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna. Direktåtkomst får inte medges innan Försvarets radioanstalt har försäkrat sig om att mottagaren uppfyller kraven på behörighet och säkerhet. 4 kap. Skyldigheter som personuppgiftsansvarig Tekniska och organisatoriska åtgärder 1 § De åtgärder som Försvarets radioanstalt ska vidta enligt 4 kap. 1 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska vara rimliga med beaktande av behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. Dokumentationsskyldighet Förteckning över kategorier av behandlingar 2 § Försvarets radioanstalt ska föra en förteckning över de kategorier av behandlingar av personuppgifter som myndigheten ansvarar för. Förteckningen ska innehålla följande uppgifter: 1. namnet på och kontaktuppgifter till myndigheten, 2. namnet på dataskyddsombudet, 3. namnet på personuppgiftsbiträdet, 4. ändamålen med behandlingen, 5. de kategorier av registrerade som berörs av behandlingen, 6. de kategorier av personuppgifter som kan komma att behandlas, 7. de kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas, 8. de kategorier av mottagare som uppgifterna kan komma att överföras till, inbegripet mottagare i ett annat land eller i en internationell organisation, och 9. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder som har vidtagits. Loggning 3 § Försvarets radioanstalt ska föra loggar i myndighetens informationssystem som innehåller uppgiftssamlingar för försvarsunderrättelseverksamhet och informationssäkerhetsverksamhet. Av loggarna ska, så långt det är möjligt, framgå vem som har läst, skapat, ändrat eller raderat personuppgifter i en uppgiftssamling samt tidpunkten för åtgärden. Tillgången till personuppgifter 4 § För tilldelning av behörighet för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, kan finnas krav på utbildning och erfarenhet. Försvarets radioanstalt ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter. Säkerheten vid behandling av personuppgifter 5 § De skyddsåtgärder som ska vidtas enligt 4 kap. 3 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska åstadkomma en skyddsnivå som är lämplig med hänsyn till 1. de tekniska möjligheterna, 2. kostnaderna för åtgärderna, 3. behandlingens art, omfattning, sammanhang och ändamål, 4. de särskilda riskerna med behandlingen, 5. om känsliga personuppgifter behandlas, och 6. hur integritetskänsliga övriga personuppgifter som behandlas är. Anmälan av överträdelser 6 § Försvarets radioanstalt ska ha sådana interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas. Dataskyddsombud 7 § Försvarets radioanstalt ska säkerställa att dataskyddsombud ges möjlighet att delta i arbetet med frågor som rör skyddet av personuppgifter. Försvarets radioanstalt ska se till att dataskyddsombud kan utföra de uppgifter som anges i 4 kap. 5 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Försvarets radioanstalt ska också se till att dataskyddsombud har den sakkunskap som krävs och att de ges möjlighet att upprätthålla denna. Personuppgiftsbiträden Avtalets eller överenskommelsens innehåll 8 § Ett avtal eller annan överenskommelse enligt 4 kap. 7 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, kategorier av personuppgifter, kategorier av registrerade samt Försvarets radioanstalts skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt anges att personuppgiftsbiträdet ska 1. behandla personuppgifter enbart enligt instruktioner från Försvarets radioanstalt, 2. säkerställa att personer som har tillstånd att behandla personuppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt, 3. hjälpa Försvarets radioanstalt att säkerställa att bestämmelserna om registrerades rättigheter följs, 4. radera eller återlämna alla personuppgifter till Försvarets radioanstalt när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior, 5. ge Försvarets radioanstalt tillgång till den information som krävs för att visa att denna paragraf och 4 kap. 6-9 §§ lagen om behandling av personuppgifter vid Försvarets radioanstalt följs, och 6. respektera de villkor som följer av denna paragraf och 4 kap. 8 § lagen om behandling av personuppgifter vid Försvarets radioanstalt, om ett annat personuppgiftsbiträde anlitas. Övriga skyldigheter 9 § Skyldigheterna enligt 4 § om tillgången till personuppgifter tillämpas även för personuppgiftsbiträden. 5 kap. Bemyndiganden 1 § Riksarkivet får, efter att ha gett Försvarets radioanstalt tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som inte längre får behandlas enligt 2 kap. 19 § första stycket lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska bevaras för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. Sådana föreskrifter får dock inte avse sådana personuppgifter som inte längre får behandlas enligt 3 kap. 1 § eller som ska bevaras enligt 3 kap. 3 § tredje stycket. 2 § Försvarets radioanstalt får meddela ytterligare föreskrifter om verkställigheten av lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt och föreskrifter om verkställigheten av denna förordning. Försvarets radioanstalt ska ge Integritetsskyddsmyndigheten tillfälle att yttra sig innan den meddelar föreskrifter om integritetsskyddet vid personuppgiftsbehandling. Övergångsbestämmelser 2021:1208 1. Denna förordning träder i kraft den 1 januari 2022. 2. Genom förordningen upphävs förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. 3. Bestämmelserna i 4 kap. 3 § om loggning tillämpas första gången den 1 juli 2026 i fråga om uppgiftssamlingar som har inrättats före ikraftträdandet. <style> .document div { overflow: visible !important; width: 550px !important; } </style> <b>SFS nr</b>: 2021:1208<br /> <b>Departement/myndighet</b>: Försvarsdepartementet <br /> <b>Utfärdad</b>: 2021-12-09 <br /> <b>Ändrad</b>: t.o.m. SFS 2025:1159<br /> <b>Ändringsregister</b>: <a href="http://rkrattsbaser.gov.se/sfsr?bet=2021:1208">SFSR (Regeringskansliet)</a> <br /> <b>Källa</b>: <a href="http://rkrattsbaser.gov.se/sfst?bet=2021:1208">Fulltext (Regeringskansliet)</a> <br /> <hr /> <style><!-- div.sfstoc {padding:10px;position:relative;width:90%;border-bottom:#ccc 1px solid;font-size:85%;} --></style> <div class="sfstoc"><h3>Innehåll:</h3> <ul> <li><a href="#K1">1 kap. Allmänna bestämmelser </a></li> <li><a href="#K2">2 kap. Behandling av personuppgifter </a></li> <li><a href="#K3">3 kap. Gemensamt tillgängliga uppgifter </a></li> <li><a href="#K4">4 kap. Skyldigheter som personuppgiftsansvarig </a></li> <li><a href="#K5">5 kap. Bemyndiganden </a></li> <li><a href="#overgang">Övergångsbestämmelser</a></li> </ul> </div> <div><p><a name="S1"></a></p><br /><h3 name="K1"><a name="K1">1 kap. Allmänna bestämmelser </a></h3><p><a name="S2"></a></p><a class="paragraf" name="K1P1"><b>1 §</b></a>   Denna förordning innehåller föreskrifter som ansluter till lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt.<p><a name="K1P1S2"></a></p> Ord och uttryck som används i denna förordning har samma innebörd som i lagen. <p><a name="K1P1S3"></a></p><a class="paragraf" name="K1P2"><b>2 §</b></a>   Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.<p><a name="K1P2S2"></a></p><br /><h3 name="K2"><a name="K2">2 kap. Behandling av personuppgifter </a></h3><p><a name="K1P2S2"></a></p><h4 name="Överföring av personuppgifter till en mottagare utomlands"><a name="Överföring av personuppgifter till en mottagare utomlands">Överföring av personuppgifter till en mottagare utomlands</a></h4><p><a name="K1P2S3"></a></p><a class="paragraf" name="K2P1"><b>1 §</b></a>   Försvarets radioanstalt får föra över personuppgifter till en utländsk underrättelse- eller säkerhetstjänst, en utländsk organisation inom informationssäkerhetsområdet eller en internationell organisation, om överföringen tjänar den svenska statsledningen eller det svenska totalförsvaret.<p><a name="K2P1S2"></a></p> Överföringen av personuppgifter får inte vara till skada för svenska intressen.<p><a name="K2P1S3"></a></p><h4 name="Elektroniskt utlämnande"><a name="Elektroniskt utlämnande">Elektroniskt utlämnande</a></h4><p><a name="K2P1S4"></a></p><a class="paragraf" name="K2P2"><b>2 §</b></a>   Försvarets radioanstalt får lämna ut personuppgifter elektroniskt till statliga myndigheter på annat sätt än genom direktåtkomst. <p><a name="K2P2S2"></a></p><br /><h3 name="K3"><a name="K3">3 kap. Gemensamt tillgängliga uppgifter </a></h3><p><a name="K2P2S2"></a></p><h4 name="Uppgiftssamlingar"><a name="Uppgiftssamlingar">Uppgiftssamlingar</a></h4><p><a name="K2P2S3"></a></p><h4 name="Försvarsunderrättelse- och utvecklingsverksamhet"><a name="Försvarsunderrättelse- och utvecklingsverksamhet">Försvarsunderrättelse- och utvecklingsverksamhet</a></h4><p><a name="K2P2S4"></a></p><a class="paragraf" name="K3P1"><b>1 §</b></a>   Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för råmaterial som innehåller personuppgifter. <p><a name="K3P1S2"></a></p> Uppgiftssamlingarna får endast innehålla obearbetat och automatiskt bearbetat material vars relevans för verksamheten ännu inte har bedömts. <p><a name="K3P1S3"></a></p> Personuppgifter i en uppgiftssamling för råmaterial får inte behandlas längre än ett år efter det att behandlingen av uppgifterna påbörjades. <p><a name="K3P1S4"></a></p><a class="paragraf" name="K3P2"><b>2 §</b></a>   Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för analyser som innehåller personuppgifter. <p><a name="K3P2S2"></a></p> Uppgiftssamlingarna får endast innehålla bearbetningsunderlag och analysresultat. <p><a name="K3P2S3"></a></p><a class="paragraf" name="K3P3"><b>3 §</b></a>   Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för underrättelser som innehåller personuppgifter. <p><a name="K3P3S2"></a></p> Uppgiftssamlingarna får endast innehålla rapportunderlag och färdiga underrättelserapporter.<p><a name="K3P3S3"></a></p> Om personuppgifter i rapportunderlag och underrättelserapporter inte längre behövs för de ändamål för vilka de behandlas, ska personuppgifterna bevaras för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål.<p><a name="K3P3S4"></a></p><a class="paragraf" name="K3P4"><b>4 §</b></a>   Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för information om signalmiljön som innehåller personuppgifter.<p><a name="K3P4S2"></a></p> Uppgiftssamlingarna får endast innehålla information som rör signalmiljön.<p><a name="K3P4S3"></a></p><a class="paragraf" name="K3P5"><b>5 §</b></a>   Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för information om företeelser mot vilka signalspaningen inriktas som innehåller personuppgifter. <p><a name="K3P5S2"></a></p> Uppgiftssamlingarna får endast innehålla sådan information om fysiska personer och andra källor som är nödvändig eller kan vara nödvändig för att verkställa inriktningar av signalspaning.<p><a name="K3P5S3"></a></p><a class="paragraf" name="K3P6"><b>6 §</b></a>   Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för information om teknik- och metodikutveckling som innehåller personuppgifter. <p><a name="K3P6S2"></a></p> Uppgiftssamlingarna får endast innehålla information som rör teknik- och metodikutvecklingen.<p><a name="K3P6S3"></a></p><a class="paragraf" name="K3P7"><b>7 §</b></a>   Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för signalskydd som innehåller personuppgifter. <p><a name="K3P7S2"></a></p> Uppgiftssamlingarna får endast innehålla information som rör signalskyddet.<p><a name="K3P7S3"></a></p><h4 name="Informationssäkerhetsverksamhet"><a name="Informationssäkerhetsverksamhet">Informationssäkerhetsverksamhet</a></h4><p><a name="K3P7S4"></a></p><a class="paragraf" name="K3P8"><b>8 §</b></a>   Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för informationssäkerhetsverksamhet som innehåller personuppgifter.<p><a name="K3P8S2"></a></p> Uppgiftssamlingarna får endast innehålla information om uppdragsgivare, information som rör it-angrepp samt bearbetningsunderlag och analysresultat. <p><a name="K3P8S3"></a></p><h4 name="Allmänt tillgänglig information"><a name="Allmänt tillgänglig information">Allmänt tillgänglig information</a></h4><p><a name="K3P8S4"></a></p><a class="paragraf" name="K3P9"><b>9 §</b></a>   Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för allmänt tillgänglig information som innehåller personuppgifter. <p><a name="K3P9S2"></a></p> Uppgiftssamlingarna får endast innehålla information som finns eller har funnits på internet eller i öppna databaser. <p><a name="K3P9S3"></a></p><h4 name="Direktåtkomst"><a name="Direktåtkomst">Direktåtkomst</a></h4><p><a name="K3P9S4"></a></p><h4 name="Försvarsunderrättelseverksamhet"><a name="Försvarsunderrättelseverksamhet">Försvarsunderrättelseverksamhet</a></h4><p><a name="K3P9S5"></a></p><a class="paragraf" name="K3P10"><b>10 §</b></a>   Regeringskansliet, Säkerhetspolisen, Nationella operativa avdelningen i Polismyndigheten, Myndigheten för civilt försvar, Inspektionen för strategiska produkter, Försvarsmakten, Försvarets materielverk, Totalförsvarets forskningsinstitut och Tullverket får medges direktåtkomst till personuppgifter som utgör underrättelser och som finns i uppgiftssamlingar.<p><a name="K3P10S2"></a></p> Vid sådan direktåtkomst har myndigheterna rätt att ta del av de personuppgifter som omfattas av åtkomsten. Förordning (2025:1159).<p><a name="K3P10S3"></a></p><h4 name="Informationssäkerhetsverksamhet"><a name="Informationssäkerhetsverksamhet">Informationssäkerhetsverksamhet</a></h4><p><a name="K3P10S4"></a></p><a class="paragraf" name="K3P11"><b>11 §</b></a>   Säkerhetspolisen och Försvarsmakten får medges direktåtkomst till personuppgifter som utgör analysresultat och som behandlas i en uppgiftssamling för informationssäkerhetsverksamhet.<p><a name="K3P11S2"></a></p> Vid sådan direktåtkomst har Säkerhetspolisen och Försvarsmakten rätt att ta del av de personuppgifter som omfattas av åtkomsten. <p><a name="K3P11S3"></a></p><h4 name="Omfattningen av direktåtkomsten"><a name="Omfattningen av direktåtkomsten">Omfattningen av direktåtkomsten</a></h4><p><a name="K3P11S4"></a></p><a class="paragraf" name="K3P12"><b>12 §</b></a>   Försvarets radioanstalt beslutar om omfattningen av direktåtkomst som följer av lag, förordning eller regeringens beslut i ett enskilt fall. <p><a name="K3P12S2"></a></p><a class="paragraf" name="K3P13"><b>13 §</b></a>   Försvarets radioanstalt ska säkerställa att förutsättningarna för direktåtkomsten dokumenteras. <p><a name="K3P13S2"></a></p> Tillgången till uppgifter hos mottagaren ska vara förbehållen de personer som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna. <p><a name="K3P13S3"></a></p> Direktåtkomst får inte medges innan Försvarets radioanstalt har försäkrat sig om att mottagaren uppfyller kraven på behörighet och säkerhet. <p><a name="K3P13S4"></a></p><br /><h3 name="K4"><a name="K4">4 kap. Skyldigheter som personuppgiftsansvarig </a></h3><p><a name="K3P13S2"></a></p><h4 name="Tekniska och organisatoriska åtgärder"><a name="Tekniska och organisatoriska åtgärder">Tekniska och organisatoriska åtgärder</a></h4><p><a name="K3P13S3"></a></p><a class="paragraf" name="K4P1"><b>1 §</b></a>   De åtgärder som Försvarets radioanstalt ska vidta enligt 4 kap. 1 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska vara rimliga med beaktande av behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen.<p><a name="K4P1S2"></a></p><h4 name="Dokumentationsskyldighet"><a name="Dokumentationsskyldighet">Dokumentationsskyldighet</a></h4><p><a name="K4P1S3"></a></p><h4 name="Förteckning över kategorier av behandlingar"><a name="Förteckning över kategorier av behandlingar">Förteckning över kategorier av behandlingar</a></h4><p><a name="K4P1S4"></a></p><a class="paragraf" name="K4P2"><b>2 §</b></a>   Försvarets radioanstalt ska föra en förteckning över de kategorier av behandlingar av personuppgifter som myndigheten ansvarar för. Förteckningen ska innehålla följande uppgifter: <br />    1. namnet på och kontaktuppgifter till myndigheten, <br />    2. namnet på dataskyddsombudet, <br />    3. namnet på personuppgiftsbiträdet,<br />    4. ändamålen med behandlingen, <br />    5. de kategorier av registrerade som berörs av behandlingen,<br />    6. de kategorier av personuppgifter som kan komma att behandlas, <br />    7. de kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas, <br />    8. de kategorier av mottagare som uppgifterna kan komma att överföras till, inbegripet mottagare i ett annat land eller i en internationell organisation, och<br />    9. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder som har vidtagits. <p><a name="K4P2S2"></a></p><h4 name="Loggning"><a name="Loggning">Loggning</a></h4><p><a name="K4P2S3"></a></p><a class="paragraf" name="K4P3"><b>3 §</b></a>   Försvarets radioanstalt ska föra loggar i myndighetens informationssystem som innehåller uppgiftssamlingar för försvarsunderrättelseverksamhet och informationssäkerhetsverksamhet. Av loggarna ska, så långt det är möjligt, framgå vem som har läst, skapat, ändrat eller raderat personuppgifter i en uppgiftssamling samt tidpunkten för åtgärden. <p><a name="K4P3S2"></a></p><h4 name="Tillgången till personuppgifter"><a name="Tillgången till personuppgifter">Tillgången till personuppgifter</a></h4><p><a name="K4P3S3"></a></p><a class="paragraf" name="K4P4"><b>4 §</b></a>   För tilldelning av behörighet för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, kan finnas krav på utbildning och erfarenhet. <p><a name="K4P4S2"></a></p> Försvarets radioanstalt ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter. <p><a name="K4P4S3"></a></p><h4 name="Säkerheten vid behandling av personuppgifter "><a name="Säkerheten vid behandling av personuppgifter ">Säkerheten vid behandling av personuppgifter </a></h4><p><a name="K4P4S4"></a></p><a class="paragraf" name="K4P5"><b>5 §</b></a>   De skyddsåtgärder som ska vidtas enligt 4 kap. 3 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska åstadkomma en skyddsnivå som är lämplig med hänsyn till <br />    1. de tekniska möjligheterna, <br />    2. kostnaderna för åtgärderna, <br />    3. behandlingens art, omfattning, sammanhang och ändamål, <br />    4. de särskilda riskerna med behandlingen, <br />    5. om känsliga personuppgifter behandlas, och <br />    6. hur integritetskänsliga övriga personuppgifter som behandlas är.<p><a name="K4P5S2"></a></p><h4 name="Anmälan av överträdelser"><a name="Anmälan av överträdelser">Anmälan av överträdelser</a></h4><p><a name="K4P5S3"></a></p><a class="paragraf" name="K4P6"><b>6 §</b></a>   Försvarets radioanstalt ska ha sådana interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas. <p><a name="K4P6S2"></a></p><h4 name="Dataskyddsombud"><a name="Dataskyddsombud">Dataskyddsombud</a></h4><p><a name="K4P6S3"></a></p><a class="paragraf" name="K4P7"><b>7 §</b></a>   Försvarets radioanstalt ska säkerställa att dataskyddsombud ges möjlighet att delta i arbetet med frågor som rör skyddet av personuppgifter.<p><a name="K4P7S2"></a></p> Försvarets radioanstalt ska se till att dataskyddsombud kan utföra de uppgifter som anges i 4 kap. 5 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Försvarets radioanstalt ska också se till att dataskyddsombud har den sakkunskap som krävs och att de ges möjlighet att upprätthålla denna. <p><a name="K4P7S3"></a></p><h4 name="Personuppgiftsbiträden"><a name="Personuppgiftsbiträden">Personuppgiftsbiträden</a></h4><p><a name="K4P7S4"></a></p><h4 name="Avtalets eller överenskommelsens innehåll"><a name="Avtalets eller överenskommelsens innehåll">Avtalets eller överenskommelsens innehåll</a></h4><p><a name="K4P7S5"></a></p><a class="paragraf" name="K4P8"><b>8 §</b></a>   Ett avtal eller annan överenskommelse enligt 4 kap. 7 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, kategorier av personuppgifter, kategorier av registrerade samt Försvarets radioanstalts skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt anges att personuppgiftsbiträdet ska<br />    1. behandla personuppgifter enbart enligt instruktioner från Försvarets radioanstalt, <br />    2. säkerställa att personer som har tillstånd att behandla personuppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt, <br />    3. hjälpa Försvarets radioanstalt att säkerställa att bestämmelserna om registrerades rättigheter följs, <br />    4. radera eller återlämna alla personuppgifter till Försvarets radioanstalt när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior, <br />    5. ge Försvarets radioanstalt tillgång till den information som krävs för att visa att denna paragraf och 4 kap. 6-9 §§ lagen om behandling av personuppgifter vid Försvarets radioanstalt följs, och <br />    6. respektera de villkor som följer av denna paragraf och 4 kap. 8 § lagen om behandling av personuppgifter vid Försvarets radioanstalt, om ett annat personuppgiftsbiträde anlitas. <p><a name="K4P8S2"></a></p><h4 name="Övriga skyldigheter"><a name="Övriga skyldigheter">Övriga skyldigheter</a></h4><p><a name="K4P8S3"></a></p><a class="paragraf" name="K4P9"><b>9 §</b></a>   Skyldigheterna enligt 4 § om tillgången till personuppgifter tillämpas även för personuppgiftsbiträden. <p><a name="K4P9S2"></a></p><br /><h3 name="K5"><a name="K5">5 kap. Bemyndiganden </a></h3><p><a name="K4P9S2"></a></p><a class="paragraf" name="K5P1"><b>1 §</b></a>   Riksarkivet får, efter att ha gett Försvarets radioanstalt tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som inte längre får behandlas enligt 2 kap. 19 § första stycket lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska bevaras för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. Sådana föreskrifter får dock inte avse sådana personuppgifter som inte längre får behandlas enligt 3 kap. 1 § eller som ska bevaras enligt 3 kap. 3 § tredje stycket.<p><a name="K5P1S2"></a></p><a class="paragraf" name="K5P2"><b>2 §</b></a>   Försvarets radioanstalt får meddela ytterligare föreskrifter om verkställigheten av lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt och föreskrifter om verkställigheten av denna förordning.<p><a name="K5P2S2"></a></p> Försvarets radioanstalt ska ge Integritetsskyddsmyndigheten tillfälle att yttra sig innan den meddelar föreskrifter om integritetsskyddet vid personuppgiftsbehandling. <p><a name="K5P2S3"></a></p><br /><h3 name="overgang"><a name="overgang">Övergångsbestämmelser</a></h3> 2021:1208<br />    1. Denna förordning träder i kraft den 1 januari 2022.<br />    2. Genom förordningen upphävs förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet.<br />    3. Bestämmelserna i 4 kap. 3 § om loggning tillämpas första gången den 1 juli 2026 i fråga om uppgiftssamlingar som har inrättats före ikraftträdandet.</div>Svensk författningssamlingdokumentartalartal2021utfardadutfardad2021-12-09andrattillochmedandrattillochmedt.o.m. SFS 2025:1159utdragutdrag1 kap. Allmänna bestämmelser 1 § Denna förordning innehåller föreskrifter som ansluter till lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt. Ord och uttryck som används i denna förordning har samma innebörd som i lagen. 2 §artalartal2021utfardadutfardad2021-12-09andrattillochmedandrattillochmedt.o.m. SFS 2025:1159utdragutdrag1 kap. Allmänna bestämmelser 1 § Denna förordning innehåller föreskrifter som ansluter till lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt. Ord och uttryck som används i denna förordning har samma innebörd som i lagen. 2 §