SFS 2021:1208 Förordning om behandling av personuppgifter vid Försvarets radioanstalt

SFS2021-1208.pdf

Källa Regeringskansliets rättsdatabaser m.fl.

background image

1

1 2 3 4 5 6

7 8 9 0

1

2

3

4

5

6

7

8

9

0

Svensk författningssamling

Förordning

om behandling av personuppgifter vid Försvarets

radioanstalt

Utfärdad den 9 december 2021

Regeringen föreskriver följande.

1 kap. Allmänna bestämmelser
1 §
Denna förordning innehåller föreskrifter som ansluter till lagen
(2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt.

Ord och uttryck som används i denna förordning har samma innebörd som

i lagen.

2 § Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.

2 kap. Behandling av personuppgifter
Överföring av personuppgifter till en mottagare utomlands
1 §
Försvarets radioanstalt får föra över personuppgifter till en utländsk
underrättelse- eller säkerhetstjänst, en utländsk organisation inom informations-
säkerhetsområdet eller en internationell organisation, om överföringen tjänar
den svenska statsledningen eller det svenska totalförsvaret.

Överföringen av personuppgifter får inte vara till skada för svenska

intressen.

Elektroniskt utlämnande

2 § Försvarets radioanstalt får lämna ut personuppgifter elektroniskt till
statliga myndigheter på annat sätt än genom direktåtkomst.

3 kap. Gemensamt tillgängliga uppgifter
Uppgiftssamlingar
Försvarsunderrättelse- och utvecklingsverksamhet
1 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för
råmaterial som innehåller personuppgifter.

Uppgiftssamlingarna får endast innehålla obearbetat och automatiskt

bearbetat material vars relevans för verksamheten ännu inte har bedömts.

Personuppgifter i en uppgiftssamling för råmaterial får inte behandlas

längre än ett år efter det att behandlingen av uppgifterna påbörjades.

2 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för analyser
som innehåller personuppgifter.

SFS

2021:1208

Publicerad
den

14 december 2021

background image

2

SFS

Uppgiftssamlingarna får endast innehålla bearbetningsunderlag och analys-

resultat.

3 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för
underrättelser som innehåller personuppgifter.

Uppgiftssamlingarna får endast innehålla rapportunderlag och färdiga

underrättelserapporter.

Om personuppgifter i rapportunderlag och underrättelserapporter inte längre

behövs för de ändamål för vilka de behandlas, ska personuppgifterna bevaras
för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller
historiska ändamål.

4 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för
information om signalmiljön som innehåller personuppgifter.

Uppgiftssamlingarna får endast innehålla information som rör signal-

miljön.

5 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för
information om företeelser mot vilka signalspaningen inriktas som inne-
håller personuppgifter.

Uppgiftssamlingarna får endast innehålla sådan information om fysiska

personer och andra källor som är nödvändig eller kan vara nödvändig för att
verkställa inriktningar av signalspaning.

6 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för
information om teknik- och metodikutveckling som innehåller person-
uppgifter.

Uppgiftssamlingarna får endast innehålla information som rör teknik- och

metodikutvecklingen.

7 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för signal-
skydd som innehåller personuppgifter.

Uppgiftssamlingarna får endast innehålla information som rör signal-

skyddet.

Informationssäkerhetsverksamhet
8 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för
informationssäkerhetsverksamhet som innehåller personuppgifter.

Uppgiftssamlingarna får endast innehålla information om uppdragsgivare,

information som rör it-angrepp samt bearbetningsunderlag och analys-
resultat.

Allmänt tillgänglig information
9 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för all-
mänt tillgänglig information som innehåller personuppgifter.

Uppgiftssamlingarna får endast innehålla information som finns eller har

funnits på internet eller i öppna databaser.

Direktåtkomst
Försvarsunderrättelseverksamhet
10 § Regeringskansliet, Säkerhetspolisen, Nationella operativa avdelningen
i Polismyndigheten, Myndigheten för samhällsskydd och beredskap,

2021:1208

background image

3

SFS

Inspektionen för strategiska produkter, Försvarsmakten, Försvarets materiel-
verk, Totalförsvarets forskningsinstitut och Tullverket får medges direkt-
åtkomst till personuppgifter som utgör underrättelser och som finns i
uppgiftssamlingar.

Vid sådan direktåtkomst har myndigheterna rätt att ta del av de person-

uppgifter som omfattas av åtkomsten.

Informationssäkerhetsverksamhet
11 § Säkerhetspolisen och Försvarsmakten får medges direktåtkomst till
personuppgifter som utgör analysresultat och som behandlas i en uppgifts-
samling för informationssäkerhetsverksamhet.

Vid sådan direktåtkomst har Säkerhetspolisen och Försvarsmakten rätt att

ta del av de personuppgifter som omfattas av åtkomsten.

Omfattningen av direktåtkomsten
12 § Försvarets radioanstalt beslutar om omfattningen av direktåtkomst
som följer av lag, förordning eller regeringens beslut i ett enskilt fall.

13 § Försvarets radioanstalt ska säkerställa att förutsättningarna för direkt-
åtkomsten dokumenteras.

Tillgången till uppgifter hos mottagaren ska vara förbehållen de personer

som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna.

Direktåtkomst får inte medges innan Försvarets radioanstalt har försäkrat

sig om att mottagaren uppfyller kraven på behörighet och säkerhet.

4 kap. Skyldigheter som personuppgiftsansvarig
Tekniska och organisatoriska åtgärder
1 §
De åtgärder som Försvarets radioanstalt ska vidta enligt 4 kap. 1 §
lagen (2021:1172) om behandling av personuppgifter vid Försvarets radio-
anstalt ska vara rimliga med beaktande av behandlingens art, omfattning,
sammanhang och ändamål och de särskilda riskerna med behandlingen.

Dokumentationsskyldighet
Förteckning över kategorier av behandlingar
2 § Försvarets radioanstalt ska föra en förteckning över de kategorier av
behandlingar av personuppgifter som myndigheten ansvarar för. Förteck-
ningen ska innehålla följande uppgifter:

1. namnet på och kontaktuppgifter till myndigheten,
2. namnet på dataskyddsombudet,
3. namnet på personuppgiftsbiträdet,
4. ändamålen med behandlingen,
5. de kategorier av registrerade som berörs av behandlingen,
6. de kategorier av personuppgifter som kan komma att behandlas,
7. de kategorier av tjänstemän som har tillgång till de personuppgifter som

behandlas,

8. de kategorier av mottagare som uppgifterna kan komma att överföras

till, inbegripet mottagare i ett annat land eller i en internationell organisation,
och

9. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder

som har vidtagits.

2021:1208

background image

4

SFS

Loggning
3 § Försvarets radioanstalt ska föra loggar i myndighetens informations-
system som innehåller uppgiftssamlingar för försvarsunderrättelseverksamhet
och informationssäkerhetsverksamhet. Av loggarna ska, så långt det är
möjligt, framgå vem som har läst, skapat, ändrat eller raderat personupp-
gifter i en uppgiftssamling samt tidpunkten för åtgärden.

Tillgången till personuppgifter
4 §
För tilldelning av behörighet för åtkomst till personuppgifter ska det
särskilt beaktas att det, utöver behovet av uppgifterna, kan finnas krav på
utbildning och erfarenhet.

Försvarets radioanstalt ansvarar för att det inom myndigheten finns

rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning
av behörigheter för åtkomst till personuppgifter.

Säkerheten vid behandling av personuppgifter
5 §
De skyddsåtgärder som ska vidtas enligt 4 kap. 3 § lagen (2021:1172)
om behandling av personuppgifter vid Försvarets radioanstalt ska åstad-
komma en skyddsnivå som är lämplig med hänsyn till

1. de tekniska möjligheterna,
2. kostnaderna för åtgärderna,
3. behandlingens art, omfattning, sammanhang och ändamål,
4. de särskilda riskerna med behandlingen,
5. om känsliga personuppgifter behandlas, och
6. hur integritetskänsliga övriga personuppgifter som behandlas är.

Anmälan av överträdelser
6 §
Försvarets radioanstalt ska ha sådana interna rutiner för anmälan av
överträdelser av bestämmelser om personuppgiftsbehandling som garanterar
att anmälarens identitet skyddas.

Dataskyddsombud
7 §
Försvarets radioanstalt ska säkerställa att dataskyddsombud ges
möjlighet att delta i arbetet med frågor som rör skyddet av personuppgifter.

Försvarets radioanstalt ska se till att dataskyddsombud kan utföra de

uppgifter som anges i 4 kap. 5 § lagen (2021:1172) om behandling av
personuppgifter vid Försvarets radioanstalt genom att tillhandahålla
nödvändiga resurser, ge tillgång till dokumentation om behandling av
personuppgifter och vid behov medge åtkomst till personuppgifter som
behandlas. Försvarets radioanstalt ska också se till att dataskyddsombud har
den sakkunskap som krävs och att de ges möjlighet att upprätthålla denna.

Personuppgiftsbiträden
Avtalets eller överenskommelsens innehåll
8 § Ett avtal eller annan överenskommelse enligt 4 kap. 7 § lagen
(2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt
ska ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess
art och ändamål, kategorier av personuppgifter, kategorier av registrerade
samt Försvarets radioanstalts skyldigheter och rättigheter. I avtalet eller
överenskommelsen ska det särskilt anges att personuppgiftsbiträdet ska

2021:1208

background image

5

SFS

1. behandla personuppgifter enbart enligt instruktioner från Försvarets

radioanstalt,

2. säkerställa att personer som har tillstånd att behandla personuppgifter

har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lag-
stadgad tystnadsplikt,

3. hjälpa Försvarets radioanstalt att säkerställa att bestämmelserna om

registrerades rättigheter följs,

4. radera eller återlämna alla personuppgifter till Försvarets radioanstalt

när uppdraget har slutförts och, om inte annat följer av lag eller förordning,
radera befintliga kopior,

5. ge Försvarets radioanstalt tillgång till den information som krävs för att

visa att denna paragraf och 4 kap. 6–9 §§ lagen om behandling av person-
uppgifter vid Försvarets radioanstalt följs, och

6. respektera de villkor som följer av denna paragraf och 4 kap. 8 § lagen

om behandling av personuppgifter vid Försvarets radioanstalt, om ett annat
personuppgiftsbiträde anlitas.

Övriga skyldigheter
9 § Skyldigheterna enligt 4 § om tillgången till personuppgifter tillämpas
även för personuppgiftsbiträden.

5 kap. Bemyndiganden
1 §
Riksarkivet får, efter att ha gett Försvarets radioanstalt tillfälle att yttra
sig, meddela föreskrifter om att personuppgifter som inte längre får
behandlas enligt 2 kap. 19 § första stycket lagen (2021:1172) om behandling
av personuppgifter vid Försvarets radioanstalt ska bevaras för arkivändamål
av allmänt intresse eller för vetenskapliga, statistiska eller historiska ända-
mål. Sådana föreskrifter får dock inte avse sådana personuppgifter som inte
längre får behandlas enligt 3 kap. 1 § eller som ska bevaras enligt 3 kap. 3 §
tredje stycket.

2 § Försvarets radioanstalt får meddela ytterligare föreskrifter om verk-
ställigheten av lagen (2021:1172) om behandling av personuppgifter vid
Försvarets radioanstalt och föreskrifter om verkställigheten av denna för-
ordning.

Försvarets radioanstalt ska ge Integritetsskyddsmyndigheten tillfälle att

yttra sig innan den meddelar föreskrifter om integritetsskyddet vid person-
uppgiftsbehandling.

1. Denna förordning träder i kraft den 1 januari 2022.
2. Genom förordningen upphävs förordningen (2007:261) om behandling

av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och
utvecklingsverksamhet.

3. Bestämmelserna i 4 kap. 3 § om loggning tillämpas första gången den

1 juli 2026 i fråga om uppgiftssamlingar som har inrättats före ikraftträdandet.

På regeringens vägnar

ANNA HALLBERG

Maria Diamant

(Försvarsdepartementet)

2021:1208