SFS 2007:258 Lag om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst

070258.PDF

Källa Regeringskansliets rättsdatabaser m.fl.

background image

1

Svensk författningssamling

Lag
om behandling av personuppgifter i
Försvarsmaktens försvarsunderrättelseverksamhet
och militära säkerhetstjänst;

utfärdad den 10 maj 2007.

Enligt riksdagens beslut

1 föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde m.m.

1 § Denna lag gäller vid behandling av personuppgifter i Försvarsmaktens
försvarsunderrättelseverksamhet och militära säkerhetstjänst, om behand-
lingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är
avsedda att ingå i en strukturerad samling av personuppgifter som är till-
gängliga för sökning eller sammanställning enligt särskilda kriterier.

Personuppgiftslagen (1998:204) gäller inte vid sådan behandling av per-

sonuppgifter som anges i första stycket.

2 § Syftet med lagen är att skydda människor mot att deras personliga inte-
gritet kränks genom behandling av personuppgifter i Försvarsmaktens för-
svarsunderrättelseverksamhet och militära säkerhetstjänst.

Förhållandet till offentlighetsprincipen

3 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle
inskränka Försvarsmaktens skyldighet enligt 2 kap. tryckfrihetsförordningen
att lämna ut personuppgifter.

Definitioner

4 § I denna lag används följande beteckningar med nedan angiven be-
tydelse.

1 Prop. 2006/07:46, bet. 2006/07:FöU6, rskr. 2006/07:144.

SFS 2007:258

Utkom från trycket
den 23 maj 2007

background image

2

SFS 2007:258

Personuppgiftsansvar

5 § Försvarsmakten är personuppgiftsansvarig för den behandling av per-
sonuppgifter som myndigheten utför.

Beteckning

Betydelse

Behandling
(av personuppgifter)

Varje åtgärd eller serie av åtgärder som vidtas i
fråga om personuppgifter, vare sig det sker på
automatisk väg eller inte, t.ex. insamling, registre-
ring, organisering, lagring, bearbetning eller änd-
ring, återvinning, inhämtande, användning, utläm-
nande genom översändande, spridning eller annat
tillhandahållande av uppgifter, sammanställning
eller samkörning, blockering, utplåning eller för-
störing.

Blockering
(av personuppgifter)

En åtgärd som vidtas för att personuppgifterna
skall vara förknippade med information om att de
är spärrade och om anledningen till spärren och för
att personuppgifterna inte skall lämnas ut till tredje
man annat än med stöd av 2 kap. tryckfrihetsför-
ordningen.

Mottagare

Den till vilken personuppgifter lämnas ut. När per-
sonuppgifter lämnas ut från Försvarsmakten för att
en annan myndighet skall kunna utföra sådan till-
syn, kontroll eller revision som den är skyldig att
sköta, anses dock inte den myndigheten som mot-
tagare.

Personuppgifter

All slags information som direkt eller indirekt kan
hänföras till en fysisk person som är i livet.

Personuppgiftsbiträde

Den som behandlar personuppgifter för den per-
sonuppgiftsansvariges räkning.

Personuppgiftsombud

Den fysiska person som, efter förordnande av den
personuppgiftsansvarige, självständigt skall se till
att personuppgifter behandlas på ett korrekt och
lagligt sätt.

Den registrerade

Den som en personuppgift avser.

Tredje man

Någon annan än den registrerade, den personupp-
giftsansvarige, personuppgiftsombudet, person-
uppgiftsbiträdet och sådana personer som under
den personuppgiftsansvariges eller personuppgifts-
biträdets direkta ansvar har befogenhet att be-
handla personuppgifter.

Uppgiftssamling

En samling med uppgifter som med hjälp av auto-
matiserad behandling används gemensamt.

background image

3

SFS 2007:258

Grundläggande krav på behandling av personuppgifter

6 § Försvarsmakten skall se till att

1. personuppgifter behandlas bara om det är lagligt,
2. personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med

god sed,

3. personuppgifter samlas in bara för särskilda, uttryckligt angivna och

berättigade ändamål,

4. personuppgifter inte behandlas för något ändamål som är oförenligt

med det för vilket uppgifterna samlades in,

5. de personuppgifter som behandlas är adekvata och relevanta i förhål-

lande till ändamålen med behandlingen,

6. inte fler personuppgifter behandlas än som är nödvändigt med hänsyn

till ändamålen med behandlingen,

7. de personuppgifter som behandlas är riktiga och, om det är nödvändigt,

aktuella, och

8. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana

personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamå-
len med behandlingen.

Uppgiftssamlingar

7 § I Försvarsmaktens försvarsunderrättelseverksamhet och militära säker-
hetstjänst får, under de förutsättningar som anges i denna lag, personuppgif-
ter behandlas i uppgiftssamlingar.

Regeringen meddelar föreskrifter eller beslut i enskilda fall om vilka upp-

giftssamlingar som får finnas och vilka uppgifter som får behandlas i respek-
tive samling.

När behandling av personuppgifter är tillåten

Försvarsunderrättelseverksamhet

8 § Personuppgifter får behandlas i Försvarsmaktens försvarsunderrättel-
severksamhet om det är nödvändigt för att bedriva den verksamhet som
anges i lagen (2000:130) om försvarsunderrättelseverksamhet.

Uppgifter om en person får endast behandlas om personen har anknytning

till en preciserad inriktning för försvarsunderrättelseverksamheten och be-
handlingen är nödvändig för att fullfölja den inriktningen.

Den militära säkerhetstjänsten

9 § Personuppgifter får behandlas i Försvarsmaktens militära säkerhets-
tjänst för att upptäcka, förebygga och avvärja säkerhetshotande verksamhet
som riktas mot Försvarsmakten och dess säkerhetsintressen, om det är nöd-
vändigt för att

1. klarlägga verksamhet som innefattar hot mot rikets säkerhet, eller
2. vidta åtgärder som hindrar eller försvårar säkerhetshotande verksamhet.

10 § Uppgifter om en person får behandlas för de ändamål som anges i 9 §
endast om

background image

4

SFS 2007:258

1. uppgifterna ger grundad anledning att anta att personen har utövat eller

kan komma att utöva verksamhet som innefattar brott som kan hota rikets
säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terro-
ristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,

2. uppgifterna ger grundad anledning att anta att personen har utövat eller

kan komma att utöva underrättelseverksamhet riktad mot Försvarsmakten
och dess säkerhetsintressen,

3. uppgifterna ger grundad anledning att anta att personen utövar annan

säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller
åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns
särskilda skäl till att uppgiften skall behandlas,

4. personen har lämnat uppgifter om säkerhetshotande verksamhet och

personuppgifterna är nödvändiga för att bedöma personens trovärdighet,
eller

5. uppgifterna avser information som har framkommit i samband med att

en person har genomgått registerkontroll eller särskild personutredning en-
ligt säkerhetsskyddslagen (1996:627).

Uppgifter om en person skall förses med upplysning om på vilken av de i

första stycket angivna grunderna uppgiften behandlas. Om behandlingen av
en personuppgift föranleds av något annat än antagande om att personen har
utövat eller kommer att utöva brottslig verksamhet skall det särskilt anges att
personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt
klart framgår att sådan misstanke inte finns. Uppgifter om en person som
inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande
verksamhet skall förses med en särskild upplysning om detta, om det inte på
annat sätt klart framgår att sådant antagande inte finns.

Uppgifter om en person som avses i första stycket 1�3 skall förses med en

upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i
sak.

11 § Trots vad som sägs i 10 § får personuppgifter som ingår i eller har
uppkommit i samband med användning av totalförsvarets telekommunika-
tions- och informationssystem behandlas för att förhindra obehörig insyn i
och påverkan av dessa system. Det gäller även sådana uppgifter som avses i
12 och 13 §§. Behandling som särskilt syftar till att identifiera en person får
dock endast utföras om bestämmelserna i 10 § första stycket 1, 2 eller 3 till-
lämpas.

Försvarsmakten skall föra en förteckning över de behandlingar som sär-

skilt syftar till att identifiera en person och de uppgifter som utgjort anled-
ningen till behandlingen.

Behandling av känsliga personuppgifter

12 § Personuppgifter får inte behandlas enbart på grund av vad som är
känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller
filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund får de kompletteras

med sådana uppgifter som avses i första stycket när det är absolut nödvän-
digt för syftet med behandlingen. Uppgifter som beskriver en persons utse-

background image

5

SFS 2007:258

ende skall alltid utformas på ett objektivt sätt med respekt för människovär-
det.

Vid sökning får personuppgifter som avslöjar ras eller etniskt ursprung,

politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackför-
ening eller som rör hälsa eller sexualliv användas som sökbegrepp endast
om det är absolut nödvändigt för syftet med behandlingen.

Behandling av personnummer

13 § Uppgifter om personnummer eller samordningsnummer får behand-
las bara när det är klart motiverat med hänsyn till

1. ändamålet med behandlingen,
2. vikten av en säker identifiering, eller
3. något annat beaktansvärt skäl.

Utlämnande av personuppgifter på medium för automatiserad
behandling

14 § Endast enstaka personuppgifter får lämnas ut på medium för automa-
tiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett
enskilt fall beslutat om att uppgifter får lämnas ut på sådant medium även i
andra fall.

Direktåtkomst

15 § Regeringen meddelar föreskrifter om vilka myndigheter som får ha
direktåtkomst till uppgiftssamlingar.

Regeringen, eller den myndighet som regeringen bestämmer, meddelar

ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direkt-
åtkomsten.

Tillgången till personuppgifter

16 § Tillgången till personuppgifter skall alltid begränsas till vad var och
en behöver för att kunna fullgöra sina arbetsuppgifter.

�verföring av personuppgifter till andra länder

17 § Personuppgifter som behandlas med stöd av denna lag får föras över
till andra länder eller mellanfolkliga organisationer endast om sekretess inte
hindrar det och det är nödvändigt för att Försvarsmakten skall kunna full-
göra sina uppgifter inom ramen för det internationella försvarsunderrättelse-
och säkerhetssamarbetet, om inte regeringen har meddelat föreskrifter eller i
ett enskilt fall beslutat om att överföring får ske även i andra fall då det är
nödvändigt för verksamheten vid Försvarsmakten.

background image

6

SFS 2007:258

2 kap. Information till den enskilde, rättelse och skadestånd

Information till den enskilde

Information skall lämnas självmant

1 § Om uppgifter om en person samlas in i den militära säkerhetstjänsten
från personen själv skall Försvarsmakten i samband därmed självmant
lämna den registrerade information om behandlingen av uppgifterna. Infor-
mationen skall omfatta

1. uppgift om att det är Försvarsmakten som är personuppgiftsansvarig för

behandlingen,

2. uppgift om ändamålen med behandlingen, och
3. all övrig information som behövs för att den registrerade skall kunna ta

till vara sina rättigheter i samband med behandlingen, såsom information om
mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att an-
söka om information och få rättelse.

Information enligt första stycket behöver inte lämnas om sådant som den

registrerade redan känner till.

Information skall lämnas efter ansökan

2 § Försvarsmakten är skyldig att till var och en som ansöker om det en
gång per kalenderår gratis lämna besked om huruvida personuppgifter som
rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig
information lämnas också om

1. vilka uppgifter om den sökande som behandlas,
2. varifrån dessa uppgifter har hämtats,
3. ändamålen med behandlingen, och
4. till vilka mottagare eller kategorier av mottagare som uppgifterna läm-

nas ut.

En ansökan enligt första stycket skall göras skriftligen hos Försvarsmak-

ten och vara undertecknad av den sökande själv. Information enligt första
stycket skall lämnas inom en månad från det att ansökan gjordes. Om det
finns särskilda skäl för det, får information dock lämnas senast fyra månader
efter det att ansökan gjordes.

3 § Information enligt 2 § behöver inte lämnas om personuppgifter i lö-
pande text som inte fått sin slutliga utformning när ansökan gjordes eller
som utgör minnesanteckning eller liknande. Detta gäller dock inte om upp-
gifterna har lämnats ut till tredje man eller, när det gäller löpande text som
inte fått sin slutliga utformning, om uppgifterna har behandlats under längre
tid än ett år.

Undantag från informationsskyldigheten vid sekretess

4 § Bestämmelserna i 1 och 2 §§ gäller inte i den utsträckning sekretess
hindrar att uppgifterna lämnas ut till den registrerade.

background image

7

SFS 2007:258

Rättelse

5 § Försvarsmakten är skyldig att på begäran av den registrerade snarast
rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i
enlighet med denna lag eller föreskrifter som har meddelats med stöd av la-
gen. Försvarsmakten skall också underrätta tredje man till vilken uppgifterna
har lämnats ut om åtgärden, om den registrerade begär det eller om mera be-
tydande skada eller olägenhet för den registrerade skulle kunna undvikas ge-
nom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas,
om detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsin-
sats.

Skadestånd

6 § Staten skall ersätta den registrerade för skada och kränkning av den
personliga integriteten som en behandling av personuppgifter i strid med
denna lag eller föreskrifter som har meddelats med stöd av lagen har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om

Försvarsmakten visar att felet inte berodde på myndigheten.

3 kap. Säkerheten vid behandling

1 § Ett personuppgiftsbiträde och den eller de personer som arbetar under
biträdets eller Försvarsmaktens ledning får behandla personuppgifter bara i
enlighet med instruktioner från Försvarsmakten.

Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling

av personuppgifter för Försvarsmaktens räkning. I det avtalet skall det sär-
skilt anges att personuppgiftsbiträdet får behandla personuppgifterna bara i
enlighet med instruktioner från Försvarsmakten och att personuppgiftsbiträ-
det är skyldigt att vidta de åtgärder som avses i 2 § första stycket.

I fråga om sekretess och tystnadsplikt i det allmännas verksamhet tilläm-

pas bestämmelserna i sekretesslagen (1980:100) i stället för vad som sägs i
första stycket.

2 § Försvarsmakten skall vidta lämpliga tekniska och organisatoriska åt-
gärder för att skydda de personuppgifter som behandlas. �&tgärderna skall
åstadkomma en säkerhetsnivå som är lämplig med beaktande av

1. de tekniska möjligheter som finns,
2. vad det skulle kosta att genomföra åtgärderna,
3. de särskilda risker som finns med behandlingen av personuppgifterna,

och

4. hur pass känsliga de behandlade personuppgifterna är.
När Försvarsmakten anlitar ett personuppgiftsbiträde, skall Försvarsmak-

ten förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåt-
gärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vid-
tar åtgärderna.

background image

8

SFS 2007:258

4 kap. Personuppgiftsombud

1 § Försvarsmakten skall utse ett eller flera personuppgiftsombud och an-
mäla dessa till den tillsynsmyndighet som avses i 5 kap. �ven ett entle-
digande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten.

2 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att
Försvarsmakten behandlar personuppgifter på ett lagligt och korrekt sätt och
i enlighet med god sed samt påpeka eventuella brister för myndigheten.

Har personuppgiftsombudet anledning att misstänka att Försvarsmakten

bryter mot de bestämmelser som gäller för behandlingen av personuppgifter
och vidtas inte rättelse så snart det kan ske efter påpekande, skall personupp-
giftsombudet anmäla förhållandet till tillsynsmyndigheten.

Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndig-

heten vid tveksamhet om hur de bestämmelser som gäller för behandlingen
av personuppgifter skall tillämpas.

3 § Personuppgiftsombudet skall över de behandlingar som Försvarsmak-
ten genomför och som är helt eller delvis automatiserade föra en förteckning
som avser försvarsunderrättelseverksamheten och en förteckning som avser
den militära säkerhetstjänsten.

Regeringen, eller den myndighet som regeringen bestämmer, meddelar

föreskrifter om vad förteckningen skall innehålla.

4 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det
finns anledning att misstänka att behandlade personuppgifter är felaktiga
eller ofullständiga.

5 kap. Tillsynsmyndigheten

1 § Den myndighet som regeringen bestämmer skall utöva tillsyn över
Försvarsmaktens behandling av personuppgifter enligt denna lag.

2 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

1. tillgång till de personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av personuppgif-

ter och säkerheten vid denna, och

3. tillträde till sådana lokaler som har anknytning till behandlingen av per-

sonuppgifter.

3 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas el-
ler kan komma att behandlas på ett olagligt sätt, skall myndigheten genom
påpekanden eller liknande förfaranden försöka åstadkomma rättelse.

4 § Tillsynsmyndigheten får hos länsrätten i det län där tillsynsmyndighe-
ten är belägen ansöka om att sådana personuppgifter som har behandlats på
ett olagligt sätt skall utplånas.

Beslut om utplånande får inte meddelas om det är oskäligt.

background image

9

SFS 2007:258

6 kap. �vriga bestämmelser

Gallring

1 § Personuppgifter som behandlas automatiserat skall gallras så snart
uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om
inte regeringen eller den myndighet som regeringen bestämmer har medde-
lat föreskrifter eller i enskilt fall beslutat att gallring skall ske senast vid viss
tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller veten-
skapliga ändamål.

Straff

2 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt,
till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsam-
het

1. lämnar osann uppgift i sådan information till registrerade som före-

skrivs i 2 kap., i anmälan till tillsynsmyndigheten enligt 4 kap. 1 § eller till
tillsynsmyndigheten när myndigheten begär information enligt 5 kap. 2 §,
eller

2. behandlar personuppgifter i strid med 1 kap. 12 §.
I ringa fall döms inte till ansvar.

�verklagande

3 § Försvarsmaktens beslut om information som skall lämnas enligt 2 kap.
1 och 2 §§ och om rättelse och underrättelse till tredje man enligt 2 kap. 5 §
får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna
lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

1. Denna lag träder i kraft den 1 juli 2007.
2. Bestämmelserna i 1 kap. 6 § om grundläggande krav på behandling av

personuppgifter och i 1 kap. 12 § om behandling av känsliga personupp-
gifter skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan
manuell behandling av personuppgifter som påbörjats före den 24 oktober
1998 eller manuell behandling som utförs för ett visst bestämt ändamål om
manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

3. Bestämmelserna i 2 kap. 6 § om skadestånd skall tillämpas endast om

den omständighet som yrkandet hänför sig till har inträffat efter det att lagen
har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas
äldre bestämmelser.

På regeringens vägnar

FREDRIK REINFELDT

MIKAEL ODENBERG
(Försvarsdepartementet)

background image

Thomson Fakta, tel. 08-587 671 00

Elanders, Vällingby 2007