Post 405 av 10936 träffar
SFS-nummer ·
2021:1208 ·
Visa register
Förordning (2021:1208) om behandling av personuppgifter vid Försvarets radioanstalt
Departement: Försvarsdepartementet
Utfärdad: 2021-12-09
Ikraft: 2022-01-01 överg.best.
1 kap. Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter som ansluter till
lagen (2021:1172) om behandling av personuppgifter vid
Försvarets radioanstalt.
Ord och uttryck som används i denna förordning har samma
innebörd som i lagen.
2 § Förordningen är meddelad med stöd av 8 kap. 7 §
regeringsformen.
2 kap. Behandling av personuppgifter
Överföring av personuppgifter till en mottagare utomlands
1 § Försvarets radioanstalt får föra över personuppgifter till
en utländsk underrättelse- eller säkerhetstjänst, en utländsk
organisation inom informationssäkerhetsområdet eller en
internationell organisation, om överföringen tjänar den
svenska statsledningen eller det svenska totalförsvaret.
Överföringen av personuppgifter får inte vara till skada för
svenska intressen.
Elektroniskt utlämnande
2 § Försvarets radioanstalt får lämna ut personuppgifter
elektroniskt till statliga myndigheter på annat sätt än genom
direktåtkomst.
3 kap. Gemensamt tillgängliga uppgifter
Uppgiftssamlingar
Försvarsunderrättelse- och utvecklingsverksamhet
1 § Vid Försvarets radioanstalt får det finnas
uppgiftssamlingar för råmaterial som innehåller
personuppgifter.
Uppgiftssamlingarna får endast innehålla obearbetat och
automatiskt bearbetat material vars relevans för verksamheten
ännu inte har bedömts.
Personuppgifter i en uppgiftssamling för råmaterial får inte
behandlas längre än ett år efter det att behandlingen av
uppgifterna påbörjades.
2 § Vid Försvarets radioanstalt får det finnas
uppgiftssamlingar för analyser som innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla bearbetningsunderlag
och analysresultat.
3 § Vid Försvarets radioanstalt får det finnas
uppgiftssamlingar för underrättelser som innehåller
personuppgifter.
Uppgiftssamlingarna får endast innehålla rapportunderlag och
färdiga underrättelserapporter.
Om personuppgifter i rapportunderlag och
underrättelserapporter inte längre behövs för de ändamål för
vilka de behandlas, ska personuppgifterna bevaras för
arkivändamål av allmänt intresse eller för vetenskapliga,
statistiska eller historiska ändamål.
4 § Vid Försvarets radioanstalt får det finnas
uppgiftssamlingar för information om signalmiljön som
innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla information som rör
signalmiljön.
5 § Vid Försvarets radioanstalt får det finnas
uppgiftssamlingar för information om företeelser mot vilka
signalspaningen inriktas som innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla sådan information om
fysiska personer och andra källor som är nödvändig eller kan
vara nödvändig för att verkställa inriktningar av
signalspaning.
6 § Vid Försvarets radioanstalt får det finnas
uppgiftssamlingar för information om teknik- och
metodikutveckling som innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla information som rör
teknik- och metodikutvecklingen.
7 § Vid Försvarets radioanstalt får det finnas
uppgiftssamlingar för signalskydd som innehåller
personuppgifter.
Uppgiftssamlingarna får endast innehålla information som rör
signalskyddet.
Informationssäkerhetsverksamhet
8 § Vid Försvarets radioanstalt får det finnas
uppgiftssamlingar för informationssäkerhetsverksamhet som
innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla information om
uppdragsgivare, information som rör it-angrepp samt
bearbetningsunderlag och analysresultat.
Allmänt tillgänglig information
9 § Vid Försvarets radioanstalt får det finnas
uppgiftssamlingar för allmänt tillgänglig information som
innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla information som finns
eller har funnits på internet eller i öppna databaser.
Direktåtkomst
Försvarsunderrättelseverksamhet
10 § Regeringskansliet, Säkerhetspolisen, Nationella operativa
avdelningen i Polismyndigheten, Myndigheten för samhällsskydd
och beredskap, Inspektionen för strategiska produkter,
Försvarsmakten, Försvarets materielverk, Totalförsvarets
forskningsinstitut och Tullverket får medges direktåtkomst
till personuppgifter som utgör underrättelser och som finns i
uppgiftssamlingar.
Vid sådan direktåtkomst har myndigheterna rätt att ta del av
de personuppgifter som omfattas av åtkomsten.
Informationssäkerhetsverksamhet
11 § Säkerhetspolisen och Försvarsmakten får medges
direktåtkomst till personuppgifter som utgör analysresultat
och som behandlas i en uppgiftssamling för
informationssäkerhetsverksamhet.
Vid sådan direktåtkomst har Säkerhetspolisen och
Försvarsmakten rätt att ta del av de personuppgifter som
omfattas av åtkomsten.
Omfattningen av direktåtkomsten
12 § Försvarets radioanstalt beslutar om omfattningen av
direktåtkomst som följer av lag, förordning eller regeringens
beslut i ett enskilt fall.
13 § Försvarets radioanstalt ska säkerställa att
förutsättningarna för direktåtkomsten dokumenteras.
Tillgången till uppgifter hos mottagaren ska vara förbehållen
de personer som på grund av sina arbetsuppgifter behöver ha
tillgång till uppgifterna.
Direktåtkomst får inte medges innan Försvarets radioanstalt
har försäkrat sig om att mottagaren uppfyller kraven på
behörighet och säkerhet.
4 kap. Skyldigheter som personuppgiftsansvarig
Tekniska och organisatoriska åtgärder
1 § De åtgärder som Försvarets radioanstalt ska vidta enligt
4 kap. 1 § lagen (2021:1172) om behandling av personuppgifter
vid Försvarets radioanstalt ska vara rimliga med beaktande av
behandlingens art, omfattning, sammanhang och ändamål och de
särskilda riskerna med behandlingen.
Dokumentationsskyldighet
Förteckning över kategorier av behandlingar
2 § Försvarets radioanstalt ska föra en förteckning över de
kategorier av behandlingar av personuppgifter som myndigheten
ansvarar för. Förteckningen ska innehålla följande uppgifter:
1. namnet på och kontaktuppgifter till myndigheten,
2. namnet på dataskyddsombudet,
3. namnet på personuppgiftsbiträdet,
4. ändamålen med behandlingen,
5. de kategorier av registrerade som berörs av behandlingen,
6. de kategorier av personuppgifter som kan komma att
behandlas,
7. de kategorier av tjänstemän som har tillgång till de
personuppgifter som behandlas,
8. de kategorier av mottagare som uppgifterna kan komma att
överföras till, inbegripet mottagare i ett annat land eller i
en internationell organisation, och
9. om det är möjligt, en allmän beskrivning av vilka
säkerhetsåtgärder som har vidtagits.
Loggning
3 § Försvarets radioanstalt ska föra loggar i myndighetens
informationssystem som innehåller uppgiftssamlingar för
försvarsunderrättelseverksamhet och
informationssäkerhetsverksamhet. Av loggarna ska, så långt det
är möjligt, framgå vem som har läst, skapat, ändrat eller
raderat personuppgifter i en uppgiftssamling samt tidpunkten
för åtgärden.
Tillgången till personuppgifter
4 § För tilldelning av behörighet för åtkomst till
personuppgifter ska det särskilt beaktas att det, utöver
behovet av uppgifterna, kan finnas krav på utbildning och
erfarenhet.
Försvarets radioanstalt ansvarar för att det inom myndigheten
finns rutiner för tilldelning, förändring, borttagning och
regelbunden uppföljning av behörigheter för åtkomst till
personuppgifter.
Säkerheten vid behandling av personuppgifter
5 § De skyddsåtgärder som ska vidtas enligt 4 kap. 3 § lagen
(2021:1172) om behandling av personuppgifter vid Försvarets
radioanstalt ska åstadkomma en skyddsnivå som är lämplig med
hänsyn till
1. de tekniska möjligheterna,
2. kostnaderna för åtgärderna,
3. behandlingens art, omfattning, sammanhang och ändamål,
4. de särskilda riskerna med behandlingen,
5. om känsliga personuppgifter behandlas, och
6. hur integritetskänsliga övriga personuppgifter som
behandlas är.
Anmälan av överträdelser
6 § Försvarets radioanstalt ska ha sådana interna rutiner för
anmälan av överträdelser av bestämmelser om
personuppgiftsbehandling som garanterar att anmälarens
identitet skyddas.
Dataskyddsombud
7 § Försvarets radioanstalt ska säkerställa att
dataskyddsombud ges möjlighet att delta i arbetet med frågor
som rör skyddet av personuppgifter.
Försvarets radioanstalt ska se till att dataskyddsombud kan
utföra de uppgifter som anges i 4 kap. 5 § lagen (2021:1172)
om behandling av personuppgifter vid Försvarets radioanstalt
genom att tillhandahålla nödvändiga resurser, ge tillgång till
dokumentation om behandling av personuppgifter och vid behov
medge åtkomst till personuppgifter som behandlas. Försvarets
radioanstalt ska också se till att dataskyddsombud har den
sakkunskap som krävs och att de ges möjlighet att upprätthålla
denna.
Personuppgiftsbiträden
Avtalets eller överenskommelsens innehåll
8 § Ett avtal eller annan överenskommelse enligt 4 kap. 7 §
lagen (2021:1172) om behandling av personuppgifter vid
Försvarets radioanstalt ska ange vad behandlingen ska avse,
hur länge behandlingen ska pågå, dess art och ändamål,
kategorier av personuppgifter, kategorier av registrerade samt
Försvarets radioanstalts skyldigheter och rättigheter. I
avtalet eller överenskommelsen ska det särskilt anges att
personuppgiftsbiträdet ska
1. behandla personuppgifter enbart enligt instruktioner från
Försvarets radioanstalt,
2. säkerställa att personer som har tillstånd att behandla
personuppgifter har förbundit sig att iaktta regler om
tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,
3. hjälpa Försvarets radioanstalt att säkerställa att
bestämmelserna om registrerades rättigheter följs,
4. radera eller återlämna alla personuppgifter till Försvarets
radioanstalt när uppdraget har slutförts och, om inte annat
följer av lag eller förordning, radera befintliga kopior,
5. ge Försvarets radioanstalt tillgång till den information
som krävs för att visa att denna paragraf och 4 kap. 6-9 §§
lagen om behandling av personuppgifter vid Försvarets
radioanstalt följs, och
6. respektera de villkor som följer av denna paragraf och
4 kap. 8 § lagen om behandling av personuppgifter vid
Försvarets radioanstalt, om ett annat personuppgiftsbiträde
anlitas.
Övriga skyldigheter
9 § Skyldigheterna enligt 4 § om tillgången till
personuppgifter tillämpas även för personuppgiftsbiträden.
5 kap. Bemyndiganden
1 § Riksarkivet får, efter att ha gett Försvarets radioanstalt
tillfälle att yttra sig, meddela föreskrifter om att
personuppgifter som inte längre får behandlas enligt 2 kap.
19 § första stycket lagen (2021:1172) om behandling av
personuppgifter vid Försvarets radioanstalt ska bevaras för
arkivändamål av allmänt intresse eller för vetenskapliga,
statistiska eller historiska ändamål. Sådana föreskrifter får
dock inte avse sådana personuppgifter som inte längre får
behandlas enligt 3 kap. 1 § eller som ska bevaras enligt
3 kap. 3 § tredje stycket.
2 § Försvarets radioanstalt får meddela ytterligare
föreskrifter om verkställigheten av lagen (2021:1172) om
behandling av personuppgifter vid Försvarets radioanstalt och
föreskrifter om verkställigheten av denna förordning.
Försvarets radioanstalt ska ge Integritetsskyddsmyndigheten
tillfälle att yttra sig innan den meddelar föreskrifter om
integritetsskyddet vid personuppgiftsbehandling.
Övergångsbestämmelser
2021:1208
1. Denna förordning träder i kraft den 1 januari 2022.
2. Genom förordningen upphävs förordningen (2007:261) om
behandling av personuppgifter i Försvarets radioanstalts
försvarsunderrättelse- och utvecklingsverksamhet.
3. Bestämmelserna i 4 kap. 3 § om loggning tillämpas första
gången den 1 juli 2026 i fråga om uppgiftssamlingar som har
inrättats före ikraftträdandet.