SFS 2007:259 Lag om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet

070259.PDF

Källa Regeringskansliets rättsdatabaser m.fl.

background image

1

Svensk författningssamling

Lag
om behandling av personuppgifter i Försvarets
radioanstalts försvarsunderrättelse- och
utvecklingsverksamhet;

utfärdad den 10 maj 2007.

Enligt riksdagens beslut

1 föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde m.m.

1 § Denna lag gäller vid behandling av personuppgifter i Försvarets radio-
anstalts försvarsunderrättelse- och utvecklingsverksamhet, om behandlingen
är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda
att ingå i en strukturerad samling av personuppgifter som är tillgängliga för
sökning eller sammanställning enligt särskilda kriterier.

Personuppgiftslagen (1998:204) gäller inte vid sådan behandling av per-

sonuppgifter som anges i första stycket.

2 § Syftet med lagen är att skydda människor mot att deras personliga inte-
gritet kränks genom behandling av personuppgifter i Försvarets radioanstalts
försvarsunderrättelse- och utvecklingsverksamhet.

Förhållandet till offentlighetsprincipen

3 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle
inskränka Försvarets radioanstalts skyldighet enligt 2 kap. tryckfrihetsför-
ordningen att lämna ut personuppgifter.

Definitioner

4 § I denna lag används följande beteckningar med nedan angiven bety-
delse.

1 Prop. 2006/07:46, bet. 2006/07:FöU6, rskr. 2006/07:144.

SFS 2007:259

Utkom från trycket
den 23 maj 2007

background image

2

SFS 2007:259

Personuppgiftsansvar

5 § Försvarets radioanstalt är personuppgiftsansvarig för den behandling
av personuppgifter som myndigheten utför.

Beteckning

Betydelse

Behandling
(av personuppgifter)

Varje åtgärd eller serie av åtgärder som vidtas i
fråga om personuppgifter, vare sig det sker på au-
tomatisk väg eller inte, t.ex. insamling, registre-
ring, organisering, lagring, bearbetning eller änd-
ring, återvinning, inhämtande, användning, utläm-
nande genom översändande, spridning eller annat
tillhandahållande av uppgifter, sammanställning
eller samkörning, blockering, utplåning eller för-
störing.

Blockering
(av personuppgifter)

En åtgärd som vidtas för att personuppgifterna
skall vara förknippade med information om att de
är spärrade och om anledningen till spärren och för
att personuppgifterna inte skall lämnas ut till tredje
man annat än med stöd av 2 kap. tryckfrihetsför-
ordningen.

Mottagare

Den till vilken personuppgifter lämnas ut. När per-
sonuppgifter lämnas ut från Försvarets radioanstalt
för att en annan myndighet skall kunna utföra så-
dan tillsyn, kontroll eller revision som den är skyl-
dig att sköta, anses dock inte den myndigheten som
mottagare.

Personuppgifter

All slags information som direkt eller indirekt kan
hänföras till en fysisk person som är i livet.

Personuppgiftsbiträde

Den som behandlar personuppgifter för den per-
sonuppgiftsansvariges räkning.

Personuppgiftsombud

Den fysiska person som, efter förordnande av den
personuppgiftsansvarige, självständigt skall se till
att personuppgifter behandlas på ett korrekt och
lagligt sätt.

Den registrerade

Den som en personuppgift avser.

Tredje man

Någon annan än den registrerade, den personupp-
giftsansvarige, personuppgiftsombudet, person-
uppgiftsbiträdet och sådana personer som under
den personuppgiftsansvariges eller personuppgifts-
biträdets direkta ansvar har befogenhet att be-
handla personuppgifter.

Uppgiftssamling

En samling med uppgifter som med hjälp av auto-
matiserad behandling används gemensamt.

background image

3

SFS 2007:259

Grundläggande krav på behandling av personuppgifter

6 § Försvarets radioanstalt skall se till att

1. personuppgifter behandlas bara om det är lagligt,
2. personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med

god sed,

3. personuppgifter samlas in bara för särskilda, uttryckligt angivna och

berättigade ändamål,

4. personuppgifter inte behandlas för något ändamål som är oförenligt

med det för vilket uppgifterna samlades in,

5. de personuppgifter som behandlas är adekvata och relevanta i förhål-

lande till ändamålen med behandlingen,

6. inte fler personuppgifter behandlas än som är nödvändigt med hänsyn

till ändamålen med behandlingen,

7. de personuppgifter som behandlas är riktiga och, om det är nödvändigt,

aktuella, och

8. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana

personuppgifter som är felaktiga eller ofullständiga med hänsyn till ända-
målen med behandlingen.

Uppgiftssamlingar

7 § I Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverk-
samhet får, under de förutsättningar som anges i denna lag, personuppgifter
behandlas i uppgiftssamlingar.

Regeringen meddelar närmare föreskrifter eller beslut i enskilda fall om

vilka uppgiftssamlingar som får finnas och vilka uppgifter som får behand-
las i respektive samling.

När behandling av personuppgifter är tillåten

Försvarsunderrättelseverksamhet

8 § Personuppgifter får behandlas i Försvarets radioanstalts försvarsunder-
rättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som
anges i lagen (2000:130) om försvarsunderrättelseverksamhet.

Uppgifter om en person får endast behandlas om personen har anknytning

till en preciserad inriktning för försvarsunderrättelseverksamheten och be-
handlingen är nödvändig för att fullfölja den inriktningen.

Utvecklingsverksamhet

9 § Personuppgifter får behandlas av Försvarets radioanstalt om det är
nödvändigt för att

1. följa förändringar av signalmiljön i omvärlden, den tekniska utveck-

lingen och signalskyddet, och

2. fortlöpande utveckla den teknik och metodik som behövs för att be-

driva verksamheten.

background image

4

SFS 2007:259

10 § Personuppgifter får behandlas av Försvarets radioanstalt om det är
nödvändigt för att biträda andra myndigheter vid värdering, utveckling, an-
skaffning och drift av signalspaningssystem.

Oavsett vad som föreskrivs i denna lag om behandling av uppgifter för an-

nat ändamål än det för vilka uppgifterna samlats in och utlämnande av upp-
gifter, får personuppgifter som behandlas med stöd av första stycket inte an-
vändas för andra ändamål eller lämnas ut i annat fall än som avses i 3 §.

Behandling av känsliga personuppgifter

11 § Personuppgifter får inte behandlas enbart på grund av vad som är
känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller
filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund får de kompletteras

med sådana uppgifter som avses i första stycket när det är absolut nödvän-
digt för syftet med behandlingen. Uppgifter som beskriver en persons ut-
seende skall alltid utformas på ett objektivt sätt med respekt för människo-
värdet.

Vid sökning får personuppgifter som avslöjar ras eller etniskt ursprung,

politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackför-
ening eller som rör hälsa eller sexualliv användas som sökbegrepp endast
om det är absolut nödvändigt för syftet med behandlingen.

Behandling av personnummer

12 § Uppgifter om personnummer eller samordningsnummer får behand-
las bara när det är klart motiverat med hänsyn till

1. ändamålet med behandlingen,
2. vikten av en säker identifiering, eller
3. något annat beaktansvärt skäl.

Behandling av personuppgifter i vissa fall

13 § Behandling som innebär inhämtning av uppgifter genom signal-
spaning, lagring av uppgifter som sker omedelbart därefter samt bearbetning
av information i form av kryptoforcering och språklig översättning skall inte
anses som oförenlig med bestämmelserna i 6 och 8�12 §§ i det skede av be-
handlingen då det ännu inte kunnat fastställas om informationen innehåller
personuppgifter.

Utlämnande av personuppgifter på medium för automatiserad
behandling

14 § Endast enstaka personuppgifter får lämnas ut på medium för automa-
tiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett
enskilt fall beslutat om att uppgifter får lämnas ut på sådant medium även i
andra fall.

background image

5

SFS 2007:259

Direktåtkomst

15 § Regeringen meddelar föreskrifter om vilka myndigheter som får ha
direktåtkomst till uppgiftssamlingar.

Regeringen, eller den myndighet som regeringen bestämmer, meddelar

ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direkt-
åtkomsten.

Tillgången till personuppgifter

16 § Tillgången till personuppgifter skall alltid begränsas till vad var och
en behöver för att kunna fullgöra sina arbetsuppgifter.

�verföring av personuppgifter till andra länder

17 § Personuppgifter som behandlas med stöd av denna lag får föras över
till andra länder eller mellanfolkliga organisationer endast om sekretess inte
hindrar det och det är nödvändigt för att Försvarets radioanstalt skall kunna
fullgöra sina uppgifter inom ramen för det internationella försvarsunder-
rättelse- och säkerhetssamarbetet, om inte regeringen har meddelat föreskrif-
ter eller i ett enskilt fall beslutat om att överföring får ske även i andra fall då
det är nödvändigt för verksamheten vid Försvarets radioanstalt.

2 kap. Information till den enskilde, rättelse och skadestånd

Information till den enskilde

Information skall lämnas efter ansökan

1 § Försvarets radioanstalt är skyldig att till var och en som ansöker om
det en gång per kalenderår gratis lämna besked om huruvida personuppgifter
som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall
skriftlig information lämnas också om

1. vilka uppgifter om den sökande som behandlas,
2. varifrån dessa uppgifter har hämtats,
3. ändamålen med behandlingen, och
4. till vilka mottagare eller kategorier av mottagare som uppgifterna läm-

nas ut.

En ansökan enligt första stycket skall göras skriftligen hos Försvarets ra-

dioanstalt och vara undertecknad av den sökande själv. Information enligt
första stycket skall lämnas inom en månad från det att ansökan gjordes. Om
det finns särskilda skäl för det, får information dock lämnas senast fyra må-
nader efter det att ansökan gjordes.

2 § Information enligt 1 § behöver inte lämnas om personuppgifter i lö-
pande text som inte fått sin slutliga utformning när ansökan gjordes eller
som utgör minnesanteckning eller liknande. Detta gäller dock inte om upp-
gifterna har lämnats ut till tredje man eller, när det gäller löpande text som
inte fått sin slutliga utformning, om uppgifterna har behandlats under längre
tid än ett år.

4 SFS 2007:231�264

background image

6

SFS 2007:259

Undantag från informationsskyldigheten vid sekretess

3 § Bestämmelserna i 1 § gäller inte i den utsträckning sekretess hindrar
att uppgifterna lämnas ut till den registrerade.

Rättelse

4 § Försvarets radioanstalt är skyldig att på begäran av den registrerade
snarast rätta, blockera eller utplåna sådana personuppgifter som inte har be-
handlats i enlighet med denna lag eller föreskrifter som har meddelats med
stöd av lagen. Försvarets radioanstalt skall också underrätta tredje man till
vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär
det eller om mera betydande skada eller olägenhet för den registrerade skulle
kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver
dock inte lämnas, om detta är omöjligt eller skulle innebära en oproportio-
nerligt stor arbetsinsats.

Skadestånd

5 § Staten skall ersätta den registrerade för skada och kränkning av den
personliga integriteten som en behandling av personuppgifter i strid med
denna lag eller föreskrifter som har meddelats med stöd av lagen har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om

Försvarets radioanstalt visar att felet inte berodde på myndigheten.

3 kap. Säkerheten vid behandling

1 § Ett personuppgiftsbiträde och den eller de personer som arbetar under
biträdets eller Försvarets radioanstalts ledning får behandla personuppgifter
bara i enlighet med instruktioner från Försvarets radioanstalt.

Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling

av personuppgifter för Försvarets radioanstalts räkning. I det avtalet skall det
särskilt anges att personuppgiftsbiträdet får behandla personuppgifterna bara
i enlighet med instruktioner från Försvarets radioanstalt och att personupp-
giftsbiträdet är skyldigt att vidta de åtgärder som avses i 2 § första stycket.

I fråga om sekretess och tystnadsplikt i det allmännas verksamhet tilläm-

pas bestämmelserna i sekretesslagen (1980:100) i stället för vad som sägs i
första stycket.

2 § Försvarets radioanstalt skall vidta lämpliga tekniska och organisato-
riska åtgärder för att skydda de personuppgifter som behandlas. �&tgärderna
skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av

1. de tekniska möjligheter som finns,
2. vad det skulle kosta att genomföra åtgärderna,
3. de särskilda risker som finns med behandlingen av personuppgifterna,

och

4. hur pass känsliga de behandlade personuppgifterna är.
När Försvarets radioanstalt anlitar ett personuppgiftsbiträde, skall myn-

digheten förvissa sig om att personuppgiftsbiträdet kan genomföra de säker-

background image

7

SFS 2007:259

hetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen
vidtar åtgärderna.

4 kap. Personuppgiftsombud

1 § Försvarets radioanstalt skall utse ett eller flera personuppgiftsombud
och anmäla dessa till den tillsynsmyndighet som avses i 5 kap. �ven ett ent-
ledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndighe-
ten.

2 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att
Försvarets radioanstalt behandlar personuppgifter på ett lagligt och korrekt
sätt och i enlighet med god sed samt påpeka eventuella brister för myndighe-
ten.

Har personuppgiftsombudet anledning att misstänka att Försvarets radio-

anstalt bryter mot de bestämmelser som gäller för behandlingen av person-
uppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall
personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten.

Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndig-

heten vid tveksamhet om hur de bestämmelser som gäller för behandlingen
av personuppgifter skall tillämpas.

3 § Personuppgiftsombudet skall föra en förteckning över de behandlingar
som Försvarets radioanstalt genomför och som är helt eller delvis auto-
matiserade.

Regeringen, eller den myndighet som regeringen bestämmer, meddelar

föreskrifter om vad förteckningen skall innehålla.

4 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det
finns anledning att misstänka att behandlade personuppgifter är felaktiga
eller ofullständiga.

5 kap. Tillsynsmyndigheten

1 § Den myndighet som regeringen bestämmer skall utöva tillsyn över
Försvarets radioanstalts behandling av personuppgifter enligt denna lag.

2 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

1. tillgång till de personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av personupp-

gifter och säkerheten vid denna, och

3. tillträde till sådana lokaler som har anknytning till behandlingen av per-

sonuppgifter.

3 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas
eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom
påpekanden eller liknande förfaranden försöka åstadkomma rättelse.

background image

8

SFS 2007:259

4 § Tillsynsmyndigheten får hos länsrätten i det län där tillsynsmyndighe-
ten är belägen ansöka om att sådana personuppgifter som har behandlats på
ett olagligt sätt skall utplånas.

Beslut om utplånande får inte meddelas om det är oskäligt.

6 kap. �vriga bestämmelser

Gallring

1 § Personuppgifter som behandlas automatiserat skall gallras så snart
uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om
inte regeringen eller den myndighet som regeringen bestämmer har medde-
lat föreskrifter eller i enskilt fall beslutat att gallring skall ske senast vid viss
tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller veten-
skapliga ändamål.

Straff

2 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt,
till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsam-
het

1. lämnar osann uppgift i sådan information till registrerade som före-

skrivs i 2 kap., i anmälan till tillsynsmyndigheten enligt 4 kap. 1 § eller till
tillsynsmyndigheten när myndigheten begär information enligt 5 kap. 2 §,
eller

2. behandlar personuppgifter i strid med 1 kap. 11 §.
I ringa fall döms inte till ansvar.

�verklagande

3 § Försvarets radioanstalts beslut om information som skall lämnas enligt
2 kap. 1 § och om rättelse och underrättelse till tredje man enligt 2 kap. 4 §
får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna
lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

1. Denna lag träder i kraft den 1 juli 2007.
2. Bestämmelserna i 1 kap. 6 § om grundläggande krav på behandling av

personuppgifter och 1 kap. 11 § om behandling av känsliga personuppgifter
skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manu-
ell behandling av personuppgifter som påbörjats före den 24 oktober 1998
eller manuell behandling som utförs för ett visst bestämt ändamål om manu-
ell behandling för ändamålet påbörjats före den 24 oktober 1998.

3. Bestämmelserna i 2 kap. 5 § om skadestånd skall tillämpas endast om

den omständighet som yrkandet hänför sig till har inträffat efter det att lagen
har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas
äldre bestämmelser.

background image

9

SFS 2007:259

På regeringens vägnar

FREDRIK REINFELDT

MIKAEL ODENBERG
(Försvarsdepartementet)

5 SFS 2007:231�264

background image

Thomson Fakta, tel. 08-587 671 00

Elanders, Vällingby 2007