SFS 2021:1207 Förordning om behandling av personuppgifter vid Försvarsmakten
Källa Regeringskansliets rättsdatabaser m.fl.
1
1 2 3 4 5 6
7 8 9 0
1
2
3
4
5
6
7
8
9
0
Svensk författningssamling
Förordning
om behandling av personuppgifter vid Försvarsmakten
Utfärdad den 9 december 2021
Regeringen föreskriver följande.
1 kap. Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter som ansluter till
lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten.
Ord och uttryck som används i denna förordning har samma innebörd som
i lagen.
2 § Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
2 kap. Behandling av personuppgifter
Överföring av personuppgifter till en mottagare utomlands
1 § Försvarsmakten får inom ramen för verksamhet som rör Sveriges
försvar och säkerhet överföra personuppgifter till en utländsk myndighet, en
internationell organisation eller en enskild, om överföringen är nödvändig
för att fullgöra myndighetens uppdrag.
2 § Försvarsmakten får inom ramen för internationellt försvars- och
säkerhetssamarbete överföra personuppgifter till en utländsk myndighet
eller en internationell organisation, om överföringen tjänar den svenska
statsledningen eller det svenska totalförsvaret.
Överföringen av personuppgifter får inte vara till skada för svenska
intressen.
3 kap. Gemensamt tillgängliga uppgifter
Uppgiftssamlingar
Försvarsunderrättelseverksamhet
1 § Vid Försvarsmakten får det finnas uppgiftssamlingar för försvars-
underrättelseverksamhet som innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för
att Försvarsmakten ska kunna bedriva verksamhet enligt lagen (2000:130)
om försvarsunderrättelseverksamhet.
2 § En uppgiftssamling för försvarsunderrättelseverksamhet får endast
innehålla
1. identifieringsuppgifter,
SFS
2021:1207
Publicerad
den
14 december 2021
2
SFS
2. uppgifter om de omständigheter och händelser som ger anledning att
anta att den registrerade har betydelse för försvarsunderrättelseverksam-
heten, och
3. upplysningar om varifrån uppgiften kommer och om en uppgifts-
lämnares trovärdighet.
Om de personuppgifter som finns i rapportunderlag och underrättelse-
rapporter inte längre behövs för de ändamål för vilka de behandlas, ska
personuppgifterna bevaras för arkivändamål av allmänt intresse eller för
vetenskapliga, statistiska eller historiska ändamål.
Militär säkerhetstjänst
3 § Vid Försvarsmakten får det finnas uppgiftssamlingar för säkerhets-
underrättelsetjänst som innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för
att upptäcka och klarlägga säkerhetshotande verksamhet som riktas mot
Försvarsmakten och dess säkerhetsintressen.
Om de personuppgifter som finns i rapportunderlag och underrättelse-
rapporter inte längre behövs för de ändamål för vilka de behandlas, ska
personuppgifterna bevaras för arkivändamål av allmänt intresse eller för
vetenskapliga, statistiska eller historiska ändamål.
4 § Vid Försvarsmakten får det finnas uppgiftssamlingar för säkerhets-
skyddstjänst som innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för
att förebygga och avvärja säkerhetshotande verksamhet som riktas mot
Försvarsmakten och dess säkerhetsintressen.
5 § Vid Försvarsmakten får det finnas uppgiftssamlingar för signalkontroll
som innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för
att förhindra obehörig insyn i och påverkan på totalförsvarets tele-
kommunikations- och informationssystem.
Personuppgifter i en uppgiftssamling för signalkontroll får inte behandlas
längre än ett år efter att behandlingen av uppgifterna påbörjades.
Direktåtkomst
Försvar och säkerhet
6 § Kustbevakningen får medges direktåtkomst till personuppgifter som
behandlas med stöd av 2 kap. 2 § lagen (2021:1171) om behandling av
personuppgifter vid Försvarsmakten och som rör sjölägesinformation som
är sammanställd för civila behov. Direktåtkomsten får endast avse person-
uppgifter som har gjorts gemensamt tillgängliga inom Försvarsmakten.
Vid sådan direktåtkomst har Kustbevakningen rätt att ta del av de person-
uppgifter som omfattas av åtkomsten.
7 § Försvarets materielverk får medges direktåtkomst till personuppgifter
som behandlas med stöd av 2 kap. 2 § lagen (2021:1171) om behandling av
personuppgifter vid Försvarsmakten. Direktåtkomsten får endast avse
personuppgifter som behandlas inom Försvarsmaktens materiel- och logistik-
försörjning och som har gjorts gemensamt tillgängliga inom Försvars-
makten.
Vid sådan direktåtkomst har Försvarets materielverk rätt att ta del av de
personuppgifter som omfattas av åtkomsten.
2021:1207
3
SFS
8 § Nationella operativa avdelningen i Polismyndigheten, Säkerhetspolisen,
Myndigheten för samhällsskydd och beredskap, Försvarets materielverk,
Försvarets radioanstalt och Post- och telestyrelsen får medges direktåtkomst
till personuppgifter som behandlas med stöd av 2 kap. 2 § lagen (2021:1171)
om behandling av personuppgifter vid Försvarsmakten. Direktåtkomsten får
endast avse personuppgifter som behandlas inom ramen för Försvars-
maktens deltagande i Nationellt cybersäkerhetscenter och som har gjorts
gemensamt tillgängliga inom Försvarsmakten.
Vid sådan direktåtkomst har myndigheterna rätt att ta del av de person-
uppgifter som omfattas av åtkomsten.
9 § Försvarsmakten får i andra fall än som anges i 6–8 §§ medge
direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 §
lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten
och som avser Försvarsmaktens personal, om det behövs för att genomföra
nödvändig verksamhet som rör Sveriges försvar och säkerhet. Direkt-
åtkomsten får endast avse personuppgifter som har gjorts gemensamt
tillgängliga inom Försvarsmakten.
Vid sådan direktåtkomst har mottagaren rätt att ta del av de person-
uppgifter som omfattas av åtkomsten.
10 § Finlands försvarsmakt får medges direktåtkomst till personuppgifter
som behandlas med stöd av 2 kap. 2 § lagen (2021:1171) om behandling av
personuppgifter vid Försvarsmakten om det behövs för planering,
förberedelser och genomförande av stöd inom ramen för lagen (2020:782)
om operativt militärt stöd mellan Sverige och Finland. Direktåtkomsten får
endast avse personuppgifter som har gjorts gemensamt tillgängliga inom
Försvarsmakten.
Försvarsunderrättelseverksamhet
11 § Regeringskansliet, Nationella operativa avdelningen i Polismyndig-
heten, Kustbevakningen, Myndigheten för samhällsskydd och beredskap,
Inspektionen för strategiska produkter, Försvarets materielverk, Total-
försvarets forskningsinstitut och Tullverket får medges direktåtkomst till
personuppgifter som utgör bearbetningsunderlag och analysresultat och som
finns i en uppgiftssamling för försvarsunderrättelseverksamhet.
Vid sådan direktåtkomst har myndigheterna rätt att ta del av de person-
uppgifter som omfattas av åtkomsten.
12 § Om det behövs för samarbetet mot terrorism eller vid svenskt
deltagande i annat internationellt underrättelse- och säkerhetssamarbete får
en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till
personuppgifter som behandlas enligt 2 kap. 3 § lagen (2021:1171) om
behandling av personuppgifter vid Försvarsmakten och som finns i en
uppgiftssamling för försvarsunderrättelseverksamhet som Försvarsmakten
har upprättat i syfte att ge mottagaren tillgång till uppgifterna.
Försvarsmakten ska underrätta Regeringskansliet (Försvarsdepartementet)
innan direktåtkomst medges en utländsk underrättelse- eller säkerhetstjänst.
Militär säkerhetstjänst
13 § Säkerhetspolisen, Nationella operativa avdelningen i Polismyndig-
heten, Myndigheten för samhällsskydd och beredskap, Kustbevakningen,
2021:1207
4
SFS
Migrationsverket, Försvarets materielverk, Försvarets radioanstalt, Total-
försvarets forskningsinstitut, Totalförsvarets plikt- och prövningsverk och
Fortifikationsverket får medges direktåtkomst till personuppgifter som
behandlas med stöd av 2 kap. 6 § 1 och 2 lagen (2021:1171) om behandling
av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling
för säkerhetsunderrättelsetjänst.
Vid sådan direktåtkomst har myndigheterna rätt att ta del av de person-
uppgifter som omfattas av åtkomsten.
14 § Säkerhetspolisen får medges direktåtkomst till personuppgifter som
behandlas med stöd av 2 kap. 6 § 5 lagen (2021:1171) om behandling av
personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för
säkerhetsskyddstjänst.
Vid sådan direktåtkomst har Säkerhetspolisen rätt att ta del av de person-
uppgifter som omfattas av åtkomsten.
15 § Om det behövs för samarbetet mot säkerhetshotande verksamhet som
riktas mot Försvarsmakten och dess säkerhetsintressen, får en utländsk
underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter
som behandlas med stöd av 2 kap. 6 § 1 och 2 lagen (2021:1171) om
behandling av personuppgifter vid Försvarsmakten och som finns i en
uppgiftssamling för säkerhetsskyddstjänst som Försvarsmakten har upp-
rättat i syfte att ge mottagaren tillgång till uppgifterna.
Försvarsmakten ska underrätta Regeringskansliet (Försvarsdepartementet)
innan direktåtkomst medges en utländsk underrättelse- eller säkerhetstjänst.
Omfattningen av direktåtkomsten
16 § Försvarsmakten beslutar om omfattningen av direktåtkomst som
följer av lag, förordning eller regeringens beslut i ett enskilt fall.
17 § Försvarsmakten ska säkerställa att förutsättningarna för direktåtkomsten
dokumenteras.
Tillgången till uppgifter hos mottagaren ska vara förbehållen de personer
som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna.
Direktåtkomst får inte medges innan Försvarsmakten har försäkrat sig om
att mottagaren uppfyller kraven på behörighet och säkerhet.
4 kap. Skyldigheter som personuppgiftsansvarig
Tekniska och organisatoriska åtgärder
1 § De åtgärder som Försvarsmakten ska vidta enligt 4 kap. 1 § lagen
(2021:1171) om behandling av personuppgifter vid Försvarsmakten ska vara
rimliga med beaktande av behandlingens art, omfattning, sammanhang och
ändamål och de särskilda riskerna med behandlingen.
Dokumentationsskyldighet
Förteckning över kategorier av behandlingar
2 § Försvarsmakten ska föra en förteckning över de kategorier av behand-
lingar av personuppgifter som myndigheten ansvarar för. Förteckningen ska
innehålla följande uppgifter:
1. namnet på och kontaktuppgifter till myndigheten,
2. namnet på dataskyddsombudet,
3. namnet på personuppgiftsbiträdet,
2021:1207
5
SFS
4. ändamålen med behandlingen,
5. de kategorier av registrerade som berörs av behandlingen,
6. de kategorier av personuppgifter som kan komma att behandlas,
7. de kategorier av tjänstemän som har tillgång till de personuppgifter som
behandlas,
8. de kategorier av mottagare som uppgifterna kan komma att överföras
till, inbegripet mottagare i ett annat land eller i en internationell organisation,
och
9. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder
som har vidtagits.
Loggning
3 § Försvarsmakten ska föra loggar i myndighetens informationssystem
som innehåller uppgiftssamlingar för försvarsunderrättelseverksamhet och
militär säkerhetstjänst. Av loggarna ska, så långt det är möjligt, framgå vem
som har läst, skapat, ändrat eller raderat personuppgifter i en uppgifts-
samling samt tidpunkten för åtgärden.
Tillgången till personuppgifter
4 § För tilldelning av behörighet för åtkomst till personuppgifter ska det
särskilt beaktas att det, utöver behovet av uppgifterna, kan finnas krav på
utbildning och erfarenhet.
Försvarsmakten ansvarar för att det inom myndigheten finns rutiner för
tilldelning, förändring, borttagning och regelbunden uppföljning av behörig-
heter för åtkomst till personuppgifter.
Säkerheten vid behandling av personuppgifter
5 § De skyddsåtgärder som ska vidtas enligt 4 kap. 3 § lagen (2021:1171)
om behandling av personuppgifter vid Försvarsmakten ska åstadkomma en
skyddsnivå som är lämplig med hänsyn till
1. de tekniska möjligheterna,
2. kostnaderna för åtgärderna,
3. behandlingens art, omfattning, sammanhang och ändamål,
4. de särskilda riskerna med behandlingen,
5. om känsliga personuppgifter behandlas, och
6. hur integritetskänsliga övriga personuppgifter som behandlas är.
Anmälan av överträdelser
6 § Försvarsmakten ska ha sådana interna rutiner för anmälan av över-
trädelser av bestämmelser om personuppgiftsbehandling som garanterar att
anmälarens identitet skyddas.
Dataskyddsombud
7 § Försvarsmakten ska säkerställa att dataskyddsombud ges möjlighet att
delta i arbetet med frågor som rör skyddet av personuppgifter.
Försvarsmakten ska se till att dataskyddsombud kan utföra de uppgifter
som anges i 4 kap. 5 § lagen (2021:1171) om behandling av personuppgifter
vid Försvarsmakten genom att tillhandahålla nödvändiga resurser, ge
tillgång till dokumentation om behandling av personuppgifter och vid behov
medge åtkomst till personuppgifter som behandlas. Försvarsmakten ska
också se till att dataskyddsombud har den sakkunskap som krävs och att de
ges möjlighet att upprätthålla denna.
2021:1207
6
SFS
Personuppgiftsbiträden
Avtalets eller överenskommelsens innehåll
8 § Ett avtal eller annan överenskommelse enligt 4 kap. 7 § lagen
(2021:1171) om behandling av personuppgifter vid Försvarsmakten ska
ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art
och ändamål, kategorier av personuppgifter, kategorier av registrerade samt
Försvarsmaktens skyldigheter och rättigheter. I avtalet eller överenskommelsen
ska det särskilt anges att personuppgiftsbiträdet ska
1. behandla personuppgifter enbart enligt instruktioner från Försvars-
makten,
2. säkerställa att personer som har tillstånd att behandla personuppgifter
har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lag-
stadgad tystnadsplikt,
3. hjälpa Försvarsmakten att säkerställa att bestämmelserna om registre-
rades rättigheter följs,
4. radera eller återlämna alla personuppgifter till Försvarsmakten när
uppdraget har slutförts och, om inte annat följer av lag eller förordning,
radera befintliga kopior,
5. ge Försvarsmakten tillgång till den information som krävs för att visa
att denna paragraf och 4 kap. 6–9 §§ lagen om behandling av person-
uppgifter vid Försvarsmakten följs, och
6. respektera de villkor som följer av denna paragraf och 4 kap. 8 § lagen
om behandling av personuppgifter vid Försvarsmakten om ett annat person-
uppgiftsbiträde anlitas.
Övriga skyldigheter
9 § Skyldigheterna enligt 4 § om tillgången till personuppgifter tillämpas
även för personuppgiftsbiträden.
5 kap. Bemyndiganden
1 § Riksarkivet får, efter att ha gett Försvarsmakten tillfälle att yttra sig,
meddela föreskrifter om att personuppgifter som inte längre får behandlas
enligt 2 kap. 21 § första stycket lagen (2021:1171) om behandling av
personuppgifter vid Försvarsmakten ska bevaras för arkivändamål av all-
mänt intresse eller för vetenskapliga, statistiska eller historiska ändamål.
Sådana föreskrifter får dock inte avse sådana personuppgifter som ska
bevaras enligt 3 kap. 2 § andra stycket och 3 § tredje stycket.
2 § Försvarsmakten får meddela ytterligare föreskrifter om verkställig-
heten av lagen (2021:1171) om behandling av personuppgifter vid Försvars-
makten och föreskrifter om verkställigheten av denna förordning.
Försvarsmakten ska ge Integritetsskyddsmyndigheten tillfälle att yttra sig
innan den meddelar föreskrifter om integritetsskyddet vid personuppgifts-
behandling.
1. Denna förordning träder i kraft den 1 januari 2022.
2. Genom förordningen upphävs förordningen (2007:260) om behandling
av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och
militära säkerhetstjänst.
3. Bestämmelserna i 4 kap. 2 § om innehållet i förteckningen över
kategorier av behandlingar av personuppgifter som Försvarsmakten ansvarar
2021:1207
7
SFS
för tillämpas första gången den 1 juli 2026 i fråga om de behandlingar av
personuppgifter som har förtecknats före ikraftträdandet.
4. Bestämmelserna i 4 kap. 3 § om loggning tillämpas första gången den
1 juli 2026 i fråga om uppgiftssamlingar som har inrättats före ikraft-
trädandet.
På regeringens vägnar
ANNA HALLBERG
Maria Diamant
(Försvarsdepartementet)
2021:1207