SFS 2021:1171 Lag om behandling av personuppgifter vid Försvarsmakten

SFS2021-1171.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

background image

1

1 2 3 4 5 6

7 8 9 0

1

2

3

4

5

6

7

8

9

0

Svensk författningssamling

Lag

om behandling av personuppgifter vid Försvarsmakten

Utfärdad den 2 december 2021

Enligt riksdagens beslut1 föreskrivs följande.

1 kap. Allmänna bestämmelser
Syftet med lagen
1 §
Syftet med denna lag är att säkerställa att Försvarsmakten kan
behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska
personers grundläggande fri- och rättigheter i samband med sådan
behandling.

Lagens tillämpningsområde
2 §
Denna lag gäller vid Försvarsmaktens behandling av personuppgifter
i verksamhet som rör Sveriges försvar och säkerhet samt internationellt
försvars- och säkerhetssamarbete.

3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller
delvis automatiserad. Den gäller också personuppgifter som ingår i eller är
avsedda att ingå i en strukturerad samling av personuppgifter som är
tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

4 § Vid behandling av personuppgifter enligt denna lag gäller inte
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april
2016 om skydd för fysiska personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter och om upp-
hävande av direktiv 95/46/EG (allmän dataskyddsförordning) och inte heller
lagen (2018:218) med kompletterande bestämmelser till EU:s data-
skyddsförordning.

Ord och uttryck i lagen
5 §
I denna lag används följande ord och uttryck.

Ord och uttryck

Betydelse

Behandling av personuppgifter

En åtgärd eller en kombination av
åtgärder som vidtas i fråga om
personuppgifter eller uppsättningar
av personuppgifter, oavsett om det

1 Prop. 2020/21:224, bet. 2021/22:FöU2, rskr. 2021/22:45.

SFS

2021:1171

Publicerad
den

7 december 2021

background image

SFS

2

görs automatiserat eller inte, t.ex.
insamling, registrering, organise-
ring, strukturering, lagring, be-
arbetning eller ändring, fram-
tagning, läsning, användning,
utlämnande, spridning eller till-
handahållande på annat sätt,
justering, sammanföring,
begränsning, radering eller
förstöring.

Biometriska uppgifter

Personuppgifter som rör en
persons fysiska, fysiologiska eller
beteendemässiga kännetecken,
som tagits fram genom särskild
teknisk behandling och som
möjliggör eller bekräftar
identifiering av personen i fråga.

Dataskyddsombud

En fysisk person som utses av den
personuppgiftsansvarige för att
självständigt kontrollera att
personuppgifter behandlas
författningsenligt och på ett
korrekt sätt.

Genetiska uppgifter

Personuppgifter som rör en
persons nedärvda eller förvärvade
genetiska kännetecken och som
framför allt härrör från analys av
ett spår av eller ett biologiskt prov
från personen i fråga.

Mottagare

Den till vilken personuppgifter
lämnas ut, med undantag av en
myndighet som med stöd av
författning utövar tillsyn, kontroll
eller revision.

Personuppgift

Varje upplysning om en
identifierad eller identifierbar
fysisk person som är i livet.

Personuppgiftsansvarig

Den som ensam eller tillsammans
med andra bestämmer ändamålen
med och medlen för behandlingen
av personuppgifter.

Personuppgiftsbiträde

Den som behandlar person-
uppgifter för den personuppgifts-
ansvariges räkning.

Registrerad

Den fysiska person som person-
uppgiften gäller.

Tredje part

Någon annan än
– den registrerade,
– den personuppgiftsansvarige,
– dataskyddsombudet,

2021:1171

background image

SFS

3

– personuppgiftsbiträdet, och
– sådana personer som under den
personuppgiftsansvariges eller
personuppgiftsbiträdets direkta
ansvar har rätt att behandla
personuppgifter.

Uppgiftssamling

En samling med uppgifter som
med hjälp av automatiserad
behandling är gemensamt
tillgängliga.

Personuppgiftsansvar
6 §
Försvarsmakten är personuppgiftsansvarig för all behandling av
personuppgifter som myndigheten utför, som utförs under myndighetens
ledning eller på dess vägnar.

2 kap. Behandling av personuppgifter
Grundläggande krav på behandlingen
Krav på ändamål
1 § Personuppgifter får bara behandlas för särskilda, uttryckligt angivna
och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oförenligt

med det ändamål som de ursprungligen behandlades för.

Försvar och säkerhet
2 § Försvarsmakten får behandla personuppgifter om det är nödvändigt för
att planera, förbereda och genomföra verksamhet som rör

1. Sveriges försvar och säkerhet, eller
2. internationellt försvars- och säkerhetssamarbete.
Försvarsmaktens uppgift att bedriva sådan verksamhet som anges i första

stycket ska följa av lag, förordning, kollektivavtal eller annat avtal, eller ett
särskilt beslut där regeringen har gett myndigheten i uppdrag att utföra
uppgiften.

För Försvarsmaktens behandling av personuppgifter i myndighetens

försvarsunderrättelseverksamhet och militära säkerhetstjänst gäller i stället
3–8 §§.

Försvarsunderrättelseverksamhet
3 § Personuppgifter får behandlas i Försvarsmaktens försvarsunder-
rättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som
anges i lagen (2000:130) om försvarsunderrättelseverksamhet.

4 § De personuppgifter som Försvarsmakten har fått tillgång till i myndig-
hetens försvarsunderrättelseverksamhet får fortsätta behandlas i den verk-
samheten, om det behövs för att fullgöra den.

Första stycket gäller endast om inte något annat följer av denna lag eller

en förordning som regeringen har meddelat i anslutning till lagen.

Militär säkerhetstjänst
5 § Personuppgifter får behandlas i Försvarsmaktens militära säkerhets-
tjänst för att upptäcka, förebygga och avvärja säkerhetshotande verksamhet

2021:1171

background image

SFS

4

som riktas mot Försvarsmakten och dess säkerhetsintressen, om det är
nödvändigt för att

1. klarlägga verksamhet som innefattar hot mot Sveriges säkerhet, eller
2. vidta åtgärder som hindrar eller försvårar säkerhetshotande verksam-

het.

6 § Personuppgifter får behandlas för de ändamål som anges i 5 § endast
om

1. personuppgifterna är nödvändiga för att kartlägga verksamhet som

innefattar brott som kan hota Sveriges säkerhet eller terroristbrott enligt 2 §
lagen (2003:148) om straff för terroristbrott eller enligt motsvarande äldre
föreskrifter,

2. personuppgifterna är nödvändiga för att kartlägga underrättelse-

verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen,

3. personuppgifterna är nödvändiga för att kartlägga annan säkerhets-

hotande verksamhet än som avses i 1 och som innefattar brott eller åsido-
sättande av skyldigheter i anställning hos Försvarsmakten, och det finns
särskilda skäl till att uppgiften ska behandlas,

4. personuppgifterna är nödvändiga för att bedöma om en person som har

lämnat uppgifter om säkerhetshotande verksamhet är trovärdig, eller

5. personuppgifterna är nödvändiga för att genomföra säkerhetsprövning

enligt säkerhetsskyddslagen (2018:585) eller för att utföra en uppgift som
rör säkerhetsskydd.

7 § Personuppgifter som behandlas enligt 6 § ska förses med upplysning
om på vilken av de angivna grunderna uppgiften behandlas.

Om behandlingen av en personuppgift motiveras av något annat än ett

antagande om att en person har utövat eller kommer att utöva brottslig
verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig
verksamhet, om det inte på annat sätt klart framgår att en sådan misstanke
inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller
komma att utöva annan säkerhetshotande verksamhet ska förses med en
särskild upplysning om detta, om det inte på annat sätt klart framgår att ett
sådant antagande inte finns.

Personuppgifter som behandlas enligt 6 § 1, 2 eller 3 ska i förekommande

fall förses med en upplysning om uppgiftslämnarens trovärdighet och
uppgifternas riktighet i sak.

8 § Trots 6 § får personuppgifter som ingår i eller har uppkommit i
samband med användning av totalförsvarets telekommunikations- och
informationssystem behandlas för att förhindra obehörig insyn i och
påverkan på dessa system. Det gäller även sådana uppgifter som avses i 15,
16, 18 och 19 §§. Behandling som särskilt syftar till att identifiera en person
får dock endast utföras om bestämmelserna i 6 § 1, 2 eller 3 tillämpas.

Försvarsmakten ska föra en förteckning över de behandlingar som särskilt

syftar till att identifiera en person och de uppgifter som har utgjort
anledningen till behandlingen.

Övriga ändamål
9 § Försvarsmakten får behandla personuppgifter om det är nödvändigt för
diarieföring, arkivering, handläggning av ett ärende eller för att utföra annan
liknande uppgift som myndigheten har.

2021:1171

background image

SFS

5

10 § Försvarsmakten får behandla personuppgifter som utgör allmänt
tillgänglig information om det är nödvändigt för den verksamhet som anges
i 2, 3 och 5 §§.

11 § Försvarsmakten får behandla personuppgifter för vetenskapliga,
statistiska eller historiska ändamål inom denna lags tillämpningsområde.

12 § Försvarsmakten får behandla personuppgifter om lagöverträdelser
om det är nödvändigt för myndighetens verksamhet.

Författningsenlig och korrekt behandling
13 § Personuppgifter ska behandlas författningsenligt och på ett korrekt
sätt.

Personuppgifternas kvalitet
14 § Personuppgifter som behandlas ska vara riktiga och, om det är
nödvändigt, uppdaterade. Personuppgifterna ska vara adekvata och
relevanta i förhållande till ändamålen med behandlingen.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt

sätt med respekt för människovärdet.

Fler personuppgifter får inte behandlas än vad som är nödvändigt med

hänsyn till ändamålen med behandlingen.

Känsliga personuppgifter
15 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter,
religiös eller filosofisk övertygelse eller medlemskap i fackförening eller
som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

När personuppgifter behandlas får de dock kompletteras med sådana

uppgifter som avses i första stycket, om det är absolut nödvändigt med
hänsyn till ändamålen med behandlingen.

16 § Biometriska uppgifter får behandlas om det är absolut nödvändigt
med hänsyn till ändamålen med behandlingen.

Genetiska uppgifter får inte behandlas.

17 § Vid sökning får personuppgifter som avslöjar ras, etniskt ursprung,
politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i
fackförening eller som rör hälsa, sexualliv eller sexuell läggning användas
som sökbegrepp om det är absolut nödvändigt med hänsyn till ändamålen
med behandlingen. Detsamma gäller biometriska uppgifter.

Personnummer och samordningsnummer
18 § Uppgifter om personnummer eller samordningsnummer får
behandlas bara när det är klart motiverat med hänsyn till

1. ändamålen med behandlingen,
2. vikten av en säker identifiering, eller
3. något annat beaktansvärt skäl.

2021:1171

background image

SFS

6

Om den registrerade har lämnat sitt samtycke eller offentliggjort

personuppgifterna
19 § Trots 15, 16 och 18 §§ får andra personuppgifter än genetiska
uppgifter behandlas, om den registrerade har lämnat sitt uttryckliga
samtycke eller på ett tydligt sätt har offentliggjort uppgifterna.

Behandling av personuppgifter i vissa fall
20 § Hantering av information som innebär behandling av personuppgifter
ska inte anses oförenlig med bestämmelserna i 1–3, 5, 6, 8, 10, 12–16 och
18 §§ i det skede av behandlingen då det inte har kunnat fastställas vilka
personuppgifter som informationen innehåller.

Längsta tid som personuppgifter får behandlas
21 §
Personuppgifter får inte behandlas under längre tid än vad som
behövs med hänsyn till ändamålen med behandlingen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd

av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter
får behandlas under endast viss tid eller fortsätta behandlas för arkivändamål
av allmänt intresse eller för vetenskapliga, statistiska eller historiska
ändamål.

Regeringen eller den myndighet som regeringen bestämmer får också

besluta om sådan behandling i ett enskilt fall.

Överföring av personuppgifter till en mottagare utomlands
22 §
Personuppgifter som behandlas med stöd av denna lag får föras över
till ett annat land eller en internationell organisation endast om sekretess inte
hindrar det och det är nödvändigt för att Försvarsmakten ska kunna fullgöra
sina uppgifter inom ramen för det internationella försvars- och säkerhets-
samarbetet.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela före-

skrifter om att överföring får ske även i andra fall om det är nödvändigt för
verksamheten vid Försvarsmakten.

Regeringen får också besluta om sådan överföring i ett enskilt fall.

Utlämnande av personuppgifter
23 §
Personuppgifter får lämnas ut elektroniskt på annat sätt än genom
direktåtkomst, om det inte är olämpligt.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela

föreskrifter om begränsning av möjligheten att lämna ut personuppgifter
elektroniskt på annat sätt än genom direktåtkomst.

3 kap. Gemensamt tillgängliga personuppgifter
Personuppgifter som får göras gemensamt tillgängliga
1 §
Personuppgifter får göras gemensamt tillgängliga om det behövs för
något av de ändamål som anges i 2 kap. Med att göra personuppgifter
gemensamt tillgängliga avses inte att endast ett fåtal personer får tillgång till
uppgifterna.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd

av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifts-
samlingar som får finnas och vilka uppgifter som får behandlas i respektive
uppgiftssamling.

2021:1171

background image

SFS

7

Regeringen eller den myndighet som regeringen bestämmer får också

besluta om uppgiftssamlingar i ett enskilt fall.

Direktåtkomst
2 §
Totalförsvarets plikt- och prövningsverk får medges direktåtkomst till
personuppgifter som rör Försvarsmaktens personalförsörjning och krigs-
organisation och som har gjorts gemensamt tillgängliga inom Försvars-
makten.

Totalförsvarets plikt- och prövningsverk har rätt att vid direktåtkomst ta

del av de personuppgifter som omfattas av åtkomsten.

3 § Säkerhetspolisen och Försvarets radioanstalt får medges direktåtkomst
till personuppgifter som utgör bearbetningsunderlag och analysresultat inom
försvarsunderrättelseverksamheten och som finns i uppgiftssamlingar.

Säkerhetspolisen och Försvarets radioanstalt har rätt att vid direktåtkomst

ta del av de personuppgifter som omfattas av åtkomsten.

4 § Om det behövs för samarbetet mot terrorism eller vid svenskt
deltagande i annat internationellt underrättelse- och säkerhetssamarbete, får
en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till
personuppgifter som behandlas med stöd av 2 kap. 3 § och som finns i
uppgiftssamlingar.

Första stycket gäller enbart i den utsträckning som sådan direktåtkomst

följer av lag eller förordning eller om regeringen har beslutat om den i ett
enskilt fall.

5 § Om det behövs för samarbetet mot säkerhetshotande verksamhet som
riktas mot Försvarsmakten och dess säkerhetsintressen, får en utländsk
underrättelse- eller säkerhetstjänst medges direktåtkomst till person-
uppgifter som behandlas med stöd av 2 kap. 5 § och som finns i uppgifts-
samlingar.

Första stycket gäller enbart i den utsträckning som sådan direktåtkomst

följer av lag eller förordning eller om regeringen har beslutat om den i ett
enskilt fall.

Direktåtkomst i andra fall
6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om direktåtkomst till gemensamt tillgängliga uppgifter eller
uppgiftssamlingar i andra fall än de som anges i 2–5 §§.

Regeringen får också besluta om detta i ett enskilt fall.

Omfattningen av direktåtkomsten
7 § Regeringen eller den myndighet som regeringen bestämmer kan med
stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om omfattningen av
direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst.

Regeringen får också besluta om detta i ett enskilt fall.

4 kap. Skyldigheter som personuppgiftsansvarig
Åtgärder för att säkerställa författningsenlig behandling
1 §
Försvarsmakten ska, genom lämpliga tekniska och organisatoriska
åtgärder, säkerställa att behandlingen av personuppgifter är författnings-
enlig och att de registrerades rättigheter skyddas.

2021:1171

background image

SFS

8

2 § Tillgången till personuppgifter ska begränsas till vad var och en
behöver för att kunna fullgöra sina arbetsuppgifter.

Säkerheten för personuppgifter
3 §
Försvarsmakten ska vidta lämpliga tekniska och organisatoriska
åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska
särskilt avse skydd mot obehörig eller otillåten behandling eller förstöring
och mot förlust eller annan oavsiktlig skada.

Dataskyddsombud
4 §
Försvarsmakten ska inom myndigheten utse ett eller flera data-
skyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud
utses och entledigas.

5 § Ett dataskyddsombud ska

1. självständigt kontrollera att Försvarsmakten behandlar person-

uppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina
skyldigheter,

2. informera och ge råd till Försvarsmakten och till dem som behandlar

personuppgifter under myndighetens ledning om deras skyldigheter vid
behandling av personuppgifter,

3. vara kontaktpunkt för enskilda i frågor som rör Försvarsmaktens

behandling av personuppgifter, och

4. vid behov söka vägledning av tillsynsmyndigheten.

Personuppgiftsbiträden
6 §
Försvarsmakten får, om det är lämpligt, anlita personuppgiftsbiträden
för behandling av personuppgifter på Försvarsmaktens vägnar. Innan ett
personuppgiftsbiträde anlitas, ska Försvarsmakten försäkra sig om att
biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder
som krävs för att behandlingen av personuppgifter ska vara författningsenlig
och för att skydda registrerades rättigheter.

7 § Personuppgiftsbiträdets behandling av personuppgifter ska regleras i
ett skriftligt avtal eller annan skriftlig överenskommelse.

8 § Ett personuppgiftsbiträde får inte anlita ett annat personuppgiftsbiträde
utan skriftligt tillstånd av Försvarsmakten.

9 § Ett personuppgiftsbiträde eller den eller de personer som arbetar under
biträdets eller Försvarsmaktens ledning ska behandla personuppgifter i
enlighet med instruktioner från Försvarsmakten.

Om ett personuppgiftsbiträde, i strid med Försvarsmaktens instruktioner,

bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses
vara personuppgiftsansvarig enligt denna lag för den behandlingen.

10 § Försvarsmaktens skyldigheter enligt 2 och 3 §§ gäller även för
personuppgiftsbiträden som Försvarsmakten anlitar.

2021:1171

background image

SFS

9

5 kap. Enskildas rättigheter
Rätten till information
Allmän information
1 § Försvarsmakten ska göra följande information allmänt tillgänglig:

1. myndighetens identitet och kontaktuppgifter,
2. uppgifter om dataskyddsombudet,
3. kategorier av ändamål för behandlingen av personuppgifter,
4. rätten enligt 3 § att begära att få information om behandlingen av

personuppgifter och att få del av dem, och

5. rätten att begära rättelse, radering eller begränsning av behandlingen

enligt 6 §.

Information som ska lämnas om personuppgifterna samlas in från den som

uppgifterna avser
2 § Om personuppgifter samlas in från den som uppgifterna avser ska
Försvarsmakten, när myndigheten får personuppgifterna, på eget initiativ
lämna följande information till den registrerade:

1. uppgift om att det är Försvarsmakten som är personuppgiftsansvarig

för behandlingen,

2. uppgift om ändamålen med behandlingen, och
3. all övrig information som behövs för att den registrerade ska kunna ta

till vara sina rättigheter i samband med behandlingen, såsom information om
uppgifternas mottagare, om skyldighet att lämna uppgifter och om rätten att
ansöka om information och få rättelse.

Information som ska lämnas efter begäran
3 § Försvarsmakten är skyldig att en gång per kalenderår till den som
begär det lämna skriftligt besked om huruvida personuppgifter som rör
honom eller henne behandlas. Om sådana uppgifter behandlas ska sökanden
få del av dem och få följande skriftliga information:

1. vilka personuppgifter om den sökande som behandlas,
2. varifrån personuppgifterna kommer,
3. ändamålen med behandlingen,
4. mottagare eller kategorier av mottagare av personuppgifterna, även i

annat land eller internationella organisationer,

5. hur länge personuppgifterna får behandlas eller, om det inte är möjligt

att ange, kriterierna för att fastställa det, och

6. rätten att begära rättelse, radering eller begränsning av behandlingen

enligt 6 §.

Ett utlämnande av personuppgifter enligt första stycket behöver inte

omfatta sådana personuppgifter som sökanden har tagit del av, om inte han
eller hon begär det. Det ska dock framgå av informationen att person-
uppgifterna i fråga behandlas.

En ansökan om information enligt första stycket ska göras skriftligen hos

Försvarsmakten och vara undertecknad av den sökande själv. Informationen
ska lämnas inom en månad från det att ansökan gjordes. Om det finns
särskilda skäl för det, får information dock lämnas senast fyra månader efter
det att ansökan gjordes.

Begränsning av rätten till information
4 §
Informationsskyldigheten enligt 2 och 3 §§ gäller inte i den
utsträckning sekretess hindrar att uppgifterna lämnas ut.

2021:1171

background image

SFS

10

Om det gäller sekretess är Försvarsmakten inte skyldig att redovisa skälen

för ett beslut enligt första stycket eller ett beslut i fråga om rättelse, radering
eller begränsning av behandlingen enligt 6 §.

5 § Informationsskyldigheten enligt 2 och 3 §§ gäller inte personuppgifter
i löpande text som inte fått sin slutliga utformning när begäran gjordes eller
som utgör en minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna
1. har lämnats ut till tredje part, med undantag för en myndighet som med

stöd av författning utövar tillsyn, kontroll eller revision,

2. behandlas enbart för statistiska ändamål eller arkivändamål av allmänt

intresse, eller

3. har behandlats under längre tid än ett år i löpande text som inte har fått

sin slutliga utformning.

Rätten till rättelse, radering och begränsning av behandlingen
6 §
Försvarsmakten ska på begäran av den registrerade snarast rätta, radera
eller begränsa behandlingen av sådana personuppgifter som inte har
behandlats i enlighet med denna lag eller föreskrifter som har meddelats med
stöd av lagen.

Om uppgifterna har lämnats ut till tredje part ska denne underrättas om en

åtgärd enligt första stycket, om den registrerade begär det eller om en mera
betydande skada eller olägenhet för den registrerade skulle kunna undvikas
genom en underrättelse.

Någon underrättelse behöver dock inte lämnas, om sekretess hindrar det

eller detta är omöjligt eller skulle innebära en oproportionerligt stor
arbetsinsats.

Avgiftsfri information
7 §
Information enligt 1 och 2 §§ och information och uppgifter enligt 3 §
ska lämnas utan avgift.

6 kap. Tillsyn
Tillsyn över personuppgiftsbehandlingen
1 §
Den myndighet som regeringen bestämmer utövar tillsyn över
Försvarsmaktens behandling av personuppgifter enligt denna lag, enligt
föreskrifter som har meddelats i anslutning till lagen och enligt beslut med
stöd av lagen.

Tillsynsmyndigheten ska, när det är motiverat, ge råd och stöd till

Försvarsmakten och personuppgiftsbiträden i frågor som gäller deras
skyldigheter enligt lag eller annan författning.

Tillsynsmyndighetens befogenheter
Undersökningsbefogenheter
2 § Tillsynsmyndigheten har rätt att av Försvarsmakten eller av ett person-
uppgiftsbiträde på begäran få

1. tillgång till personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av person-

uppgifter och säkerhets- och skyddsåtgärder,

3. tillträde till sådana lokaler som har anknytning till behandling av

personuppgifter och tillgång till utrustning och andra medel för behandling
av personuppgifter, och

2021:1171

background image

SFS

11

4. den hjälp och annan information som behövs för tillsynen.

Förebyggande befogenheter
3 § Om tillsynsmyndigheten bedömer att det finns risk för att person-
uppgifter kan komma att behandlas i strid med lag eller annan författning,
ska myndigheten genom råd, rekommendationer eller påpekanden försöka
förmå Försvarsmakten eller personuppgiftsbiträdet att vidta åtgärder för att
motverka den risken.

Tillsynsmyndigheten får besluta om en skriftlig varning, om en planerad

behandling av personuppgifter riskerar att strida mot lag eller annan
författning. Detsamma gäller om en pågående behandling riskerar att strida
mot lag eller annan författning.

Korrigerande befogenheter
4 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i
strid med lag eller annan författning, eller att Försvarsmakten eller ett
personuppgiftsbiträde på annat sätt inte fullgör sina skyldigheter, får
tillsynsmyndigheten

1. genom sådana åtgärder som anges i 3 § första stycket försöka förmå

Försvarsmakten eller personuppgiftsbiträdet att vidta åtgärder för att
behandlingen ska bli författningsenlig eller för att fullgöra andra skyldig-
heter, eller

2. besluta att förelägga Försvarsmakten eller personuppgiftsbiträdet att

vidta åtgärder för att behandlingen ska bli författningsenlig eller för att
fullgöra andra skyldigheter.

Av ett beslut om föreläggande ska det framgå när föreläggandet senast

ska ha följts och, om det är lämpligt, vilka åtgärder som ska vidtas.

7 kap. Skadestånd och överklagande
Skadestånd
1 §
Den personuppgiftsansvarige ska ersätta den registrerade för den skada
och kränkning av den personliga integriteten som orsakats av behandling av
personuppgifter i strid med denna lag, föreskrifter som har meddelats i
anslutning till lagen eller beslut med stöd av lagen.

Ersättningsskyldigheten kan, i den utsträckning det är skäligt, jämkas om

den personuppgiftsansvarige visar att felet inte berodde på denne.

Överklagande
Överklagande av Försvarsmaktens beslut
2 § Försvarsmaktens beslut enligt 5 kap. 2 och 3 §§ att inte lämna in-
formation och beslut enligt 5 kap. 6 § i fråga om rättelse, radering, begräns-
ning av behandlingen eller underrättelse till tredje part, får överklagas till
allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Överklagande av tillsynsmyndighetens beslut
3 § Tillsynsmyndighetens beslut om föreläggande enligt 6 kap. 4 § första
stycket 2 får överklagas till allmän förvaltningsdomstol. När ett beslut
överklagas är tillsynsmyndigheten motpart i domstolen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

2021:1171

background image

SFS

12

Överklagandeförbud
4 § Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte
överklagas.

1. Denna lag träder i kraft den 1 januari 2022.
2. Genom lagen upphävs lagen (2007:258) om behandling av person-

uppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära
säkerhetstjänst.

3. Äldre föreskrifter gäller fortfarande för överklagande av beslut som har

meddelats före ikraftträdandet.

På regeringens vägnar

MAGDALENA ANDERSSON

PETER HULTQVIST

(Försvarsdepartementet)

2021:1171