Post 406 av 10936 träffar
SFS-nummer ·
2021:1207 ·
Visa register
Förordning (2021:1207) om behandling av personuppgifter vid Försvarsmakten
Departement: Försvarsdepartementet
Utfärdad: 2021-12-09
Ikraft: 2022-01-01 överg.best.
1 kap. Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter som ansluter till
lagen (2021:1171) om behandling av personuppgifter vid
Försvarsmakten.
Ord och uttryck som används i denna förordning har samma
innebörd som i lagen.
2 § Förordningen är meddelad med stöd av 8 kap. 7 §
regeringsformen.
2 kap. Behandling av personuppgifter
Överföring av personuppgifter till en mottagare utomlands
1 § Försvarsmakten får inom ramen för verksamhet som rör
Sveriges försvar och säkerhet överföra personuppgifter till en
utländsk myndighet, en internationell organisation eller en
enskild, om överföringen är nödvändig för att fullgöra
myndighetens uppdrag.
2 § Försvarsmakten får inom ramen för internationellt
försvars- och säkerhetssamarbete överföra personuppgifter till
en utländsk myndighet eller en internationell organisation, om
överföringen tjänar den svenska statsledningen eller det
svenska totalförsvaret.
Överföringen av personuppgifter får inte vara till skada för
svenska intressen.
3 kap. Gemensamt tillgängliga uppgifter
Uppgiftssamlingar
Försvarsunderrättelseverksamhet
1 § Vid Försvarsmakten får det finnas uppgiftssamlingar för
försvarsunderrättelseverksamhet som innehåller
personuppgifter.
Uppgiftssamlingarna får endast innehålla uppgifter som är
nödvändiga för att Försvarsmakten ska kunna bedriva verksamhet
enligt lagen (2000:130) om försvarsunderrättelseverksamhet.
2 § En uppgiftssamling för försvarsunderrättelseverksamhet får
endast innehålla
1. identifieringsuppgifter,
2. uppgifter om de omständigheter och händelser som ger
anledning att anta att den registrerade har betydelse för
försvarsunderrättelseverksamheten, och
3. upplysningar om varifrån uppgiften kommer och om en
uppgiftslämnares trovärdighet.
Om de personuppgifter som finns i rapportunderlag och
underrättelserapporter inte längre behövs för de ändamål för
vilka de behandlas, ska personuppgifterna bevaras för
arkivändamål av allmänt intresse eller för vetenskapliga,
statistiska eller historiska ändamål.
Militär säkerhetstjänst
3 § Vid Försvarsmakten får det finnas uppgiftssamlingar för
säkerhetsunderrättelsetjänst som innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla uppgifter som är
nödvändiga för att upptäcka och klarlägga säkerhetshotande
verksamhet som riktas mot Försvarsmakten och dess
säkerhetsintressen.
Om de personuppgifter som finns i rapportunderlag och
underrättelserapporter inte längre behövs för de ändamål för
vilka de behandlas, ska personuppgifterna bevaras för
arkivändamål av allmänt intresse eller för vetenskapliga,
statistiska eller historiska ändamål.
4 § Vid Försvarsmakten får det finnas uppgiftssamlingar för
säkerhetsskyddstjänst som innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla uppgifter som är
nödvändiga för att förebygga och avvärja säkerhetshotande
verksamhet som riktas mot Försvarsmakten och dess
säkerhetsintressen.
5 § Vid Försvarsmakten får det finnas uppgiftssamlingar för
signalkontroll som innehåller personuppgifter.
Uppgiftssamlingarna får endast innehålla uppgifter som är
nödvändiga för att förhindra obehörig insyn i och påverkan på
totalförsvarets telekommunikations- och informationssystem.
Personuppgifter i en uppgiftssamling för signalkontroll får
inte behandlas längre än ett år efter att behandlingen av
uppgifterna påbörjades.
Direktåtkomst
Försvar och säkerhet
6 § Kustbevakningen får medges direktåtkomst till
personuppgifter som behandlas med stöd av 2 kap. 2 § lagen
(2021:1171) om behandling av personuppgifter vid
Försvarsmakten och som rör sjölägesinformation som är
sammanställd för civila behov. Direktåtkomsten får endast avse
personuppgifter som har gjorts gemensamt tillgängliga inom
Försvarsmakten.
Vid sådan direktåtkomst har Kustbevakningen rätt att ta del av
de personuppgifter som omfattas av åtkomsten.
7 § Försvarets materielverk får medges direktåtkomst till
personuppgifter som behandlas med stöd av 2 kap. 2 § lagen
(2021:1171) om behandling av personuppgifter vid
Försvarsmakten. Direktåtkomsten får endast avse
personuppgifter som behandlas inom Försvarsmaktens materiel-
och logistikförsörjning och som har gjorts gemensamt
tillgängliga inom Försvarsmakten.
Vid sådan direktåtkomst har Försvarets materielverk rätt att
ta del av de personuppgifter som omfattas av åtkomsten.
8 § Nationella operativa avdelningen i Polismyndigheten,
Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap,
Försvarets materielverk, Försvarets radioanstalt och Post- och
telestyrelsen får medges direktåtkomst till personuppgifter
som behandlas med stöd av 2 kap. 2 § lagen (2021:1171) om
behandling av personuppgifter vid Försvarsmakten.
Direktåtkomsten får endast avse personuppgifter som behandlas
inom ramen för Försvarsmaktens deltagande i Nationellt
cybersäkerhetscenter och som har gjorts gemensamt tillgängliga
inom Försvarsmakten.
Vid sådan direktåtkomst har myndigheterna rätt att ta del av
de personuppgifter som omfattas av åtkomsten.
9 § Försvarsmakten får i andra fall än som anges i 6-8 §§
medge direktåtkomst till personuppgifter som behandlas med
stöd av 2 kap. 2 § lagen (2021:1171) om behandling av
personuppgifter vid Försvarsmakten och som avser
Försvarsmaktens personal, om det behövs för att genomföra
nödvändig verksamhet som rör Sveriges försvar och säkerhet.
Direktåtkomsten får endast avse personuppgifter som har gjorts
gemensamt tillgängliga inom Försvarsmakten.
Vid sådan direktåtkomst har mottagaren rätt att ta del av de
personuppgifter som omfattas av åtkomsten.
10 § Finlands försvarsmakt får medges direktåtkomst till
personuppgifter som behandlas med stöd av 2 kap. 2 § lagen
(2021:1171) om behandling av personuppgifter vid
Försvarsmakten om det behövs för planering, förberedelser och
genomförande av stöd inom ramen för lagen (2020:782) om
operativt militärt stöd mellan Sverige och Finland.
Direktåtkomsten får endast avse personuppgifter som har gjorts
gemensamt tillgängliga inom Försvarsmakten.
Försvarsunderrättelseverksamhet
11 § Regeringskansliet, Nationella operativa avdelningen i
Polismyndigheten, Kustbevakningen, Myndigheten för
samhällsskydd och beredskap, Inspektionen för strategiska
produkter, Försvarets materielverk, Totalförsvarets
forskningsinstitut och Tullverket får medges direktåtkomst
till personuppgifter som utgör bearbetningsunderlag och
analysresultat och som finns i en uppgiftssamling för
försvarsunderrättelseverksamhet.
Vid sådan direktåtkomst har myndigheterna rätt att ta del av
de personuppgifter som omfattas av åtkomsten.
12 § Om det behövs för samarbetet mot terrorism eller vid
svenskt deltagande i annat internationellt underrättelse- och
säkerhetssamarbete får en utländsk underrättelse- eller
säkerhetstjänst medges direktåtkomst till personuppgifter som
behandlas enligt 2 kap. 3 § lagen (2021:1171) om behandling av
personuppgifter vid Försvarsmakten och som finns i en
uppgiftssamling för försvarsunderrättelseverksamhet som
Försvarsmakten har upprättat i syfte att ge mottagaren
tillgång till uppgifterna.
Försvarsmakten ska underrätta Regeringskansliet
(Försvarsdepartementet) innan direktåtkomst medges en utländsk
underrättelse- eller säkerhetstjänst.
Militär säkerhetstjänst
13 § Säkerhetspolisen, Nationella operativa avdelningen i
Polismyndigheten, Myndigheten för samhällsskydd och beredskap,
Kustbevakningen, Migrationsverket, Försvarets materielverk,
Försvarets radioanstalt, Totalförsvarets forskningsinstitut,
Totalförsvarets plikt- och prövningsverk och
Fortifikationsverket får medges direktåtkomst till
personuppgifter som behandlas med stöd av 2 kap. 6 § 1 och 2
lagen (2021:1171) om behandling av personuppgifter vid
Försvarsmakten och som finns i en uppgiftssamling för
säkerhetsunderrättelsetjänst.
Vid sådan direktåtkomst har myndigheterna rätt att ta del av
de personuppgifter som omfattas av åtkomsten.
14 § Säkerhetspolisen får medges direktåtkomst till
personuppgifter som behandlas med stöd av 2 kap. 6 § 5 lagen
(2021:1171) om behandling av personuppgifter vid
Försvarsmakten och som finns i en uppgiftssamling för
säkerhetsskyddstjänst.
Vid sådan direktåtkomst har Säkerhetspolisen rätt att ta del
av de personuppgifter som omfattas av åtkomsten.
15 § Om det behövs för samarbetet mot säkerhetshotande
verksamhet som riktas mot Försvarsmakten och dess
säkerhetsintressen, får en utländsk underrättelse- eller
säkerhetstjänst medges direktåtkomst till personuppgifter som
behandlas med stöd av 2 kap. 6 § 1 och 2 lagen (2021:1171) om
behandling av personuppgifter vid Försvarsmakten och som finns
i en uppgiftssamling för säkerhetsskyddstjänst som
Försvarsmakten har upprättat i syfte att ge mottagaren
tillgång till uppgifterna.
Försvarsmakten ska underrätta Regeringskansliet
(Försvarsdepartementet) innan direktåtkomst medges en utländsk
underrättelse- eller säkerhetstjänst.
Omfattningen av direktåtkomsten
16 § Försvarsmakten beslutar om omfattningen av direktåtkomst
som följer av lag, förordning eller regeringens beslut i ett
enskilt fall.
17 § Försvarsmakten ska säkerställa att förutsättningarna för
direktåtkomsten dokumenteras.
Tillgången till uppgifter hos mottagaren ska vara förbehållen
de personer som på grund av sina arbetsuppgifter behöver ha
tillgång till uppgifterna.
Direktåtkomst får inte medges innan Försvarsmakten har
försäkrat sig om att mottagaren uppfyller kraven på behörighet
och säkerhet.
4 kap. Skyldigheter som personuppgiftsansvarig
Tekniska och organisatoriska åtgärder
1 § De åtgärder som Försvarsmakten ska vidta enligt 4 kap. 1 §
lagen (2021:1171) om behandling av personuppgifter vid
Försvarsmakten ska vara rimliga med beaktande av behandlingens
art, omfattning, sammanhang och ändamål och de särskilda
riskerna med behandlingen.
Dokumentationsskyldighet
Förteckning över kategorier av behandlingar
2 § Försvarsmakten ska föra en förteckning över de kategorier
av behandlingar av personuppgifter som myndigheten ansvarar
för. Förteckningen ska innehålla följande uppgifter:
1. namnet på och kontaktuppgifter till myndigheten,
2. namnet på dataskyddsombudet,
3. namnet på personuppgiftsbiträdet,
4. ändamålen med behandlingen,
5. de kategorier av registrerade som berörs av behandlingen,
6. de kategorier av personuppgifter som kan komma att
behandlas,
7. de kategorier av tjänstemän som har tillgång till de
personuppgifter som behandlas,
8. de kategorier av mottagare som uppgifterna kan komma att
överföras till, inbegripet mottagare i ett annat land eller i
en internationell organisation, och
9. om det är möjligt, en allmän beskrivning av vilka
säkerhetsåtgärder som har vidtagits.
Loggning
3 § Försvarsmakten ska föra loggar i myndighetens
informationssystem som innehåller uppgiftssamlingar för
försvarsunderrättelseverksamhet och militär säkerhetstjänst.
Av loggarna ska, så långt det är möjligt, framgå vem som har
läst, skapat, ändrat eller raderat personuppgifter i en
uppgiftssamling samt tidpunkten för åtgärden.
Tillgången till personuppgifter
4 § För tilldelning av behörighet för åtkomst till
personuppgifter ska det särskilt beaktas att det, utöver
behovet av uppgifterna, kan finnas krav på utbildning och
erfarenhet.
Försvarsmakten ansvarar för att det inom myndigheten finns
rutiner för tilldelning, förändring, borttagning och
regelbunden uppföljning av behörigheter för åtkomst till
personuppgifter.
Säkerheten vid behandling av personuppgifter
5 § De skyddsåtgärder som ska vidtas enligt 4 kap. 3 § lagen
(2021:1171) om behandling av personuppgifter vid
Försvarsmakten ska åstadkomma en skyddsnivå som är lämplig med
hänsyn till
1. de tekniska möjligheterna,
2. kostnaderna för åtgärderna,
3. behandlingens art, omfattning, sammanhang och ändamål,
4. de särskilda riskerna med behandlingen,
5. om känsliga personuppgifter behandlas, och
6. hur integritetskänsliga övriga personuppgifter som
behandlas är.
Anmälan av överträdelser
6 § Försvarsmakten ska ha sådana interna rutiner för anmälan
av överträdelser av bestämmelser om personuppgiftsbehandling
som garanterar att anmälarens identitet skyddas.
Dataskyddsombud
7 § Försvarsmakten ska säkerställa att dataskyddsombud ges
möjlighet att delta i arbetet med frågor som rör skyddet av
personuppgifter.
Försvarsmakten ska se till att dataskyddsombud kan utföra de
uppgifter som anges i 4 kap. 5 § lagen (2021:1171) om
behandling av personuppgifter vid Försvarsmakten genom att
tillhandahålla nödvändiga resurser, ge tillgång till
dokumentation om behandling av personuppgifter och vid behov
medge åtkomst till personuppgifter som behandlas.
Försvarsmakten ska också se till att dataskyddsombud har den
sakkunskap som krävs och att de ges möjlighet att upprätthålla
denna.
Personuppgiftsbiträden
Avtalets eller överenskommelsens innehåll
8 § Ett avtal eller annan överenskommelse enligt 4 kap. 7 §
lagen (2021:1171) om behandling av personuppgifter vid
Försvarsmakten ska ange vad behandlingen ska avse, hur länge
behandlingen ska pågå, dess art och ändamål, kategorier av
personuppgifter, kategorier av registrerade samt
Försvarsmaktens skyldigheter och rättigheter. I avtalet eller
överenskommelsen ska det särskilt anges att
personuppgiftsbiträdet ska
1. behandla personuppgifter enbart enligt instruktioner från
Försvarsmakten,
2. säkerställa att personer som har tillstånd att behandla
personuppgifter har förbundit sig att iaktta regler om
tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,
3. hjälpa Försvarsmakten att säkerställa att bestämmelserna om
registrerades rättigheter följs,
4. radera eller återlämna alla personuppgifter till
Försvarsmakten när uppdraget har slutförts och, om inte annat
följer av lag eller förordning, radera befintliga kopior,
5. ge Försvarsmakten tillgång till den information som krävs
för att visa att denna paragraf och 4 kap. 6-9 §§ lagen om
behandling av personuppgifter vid Försvarsmakten följs, och
6. respektera de villkor som följer av denna paragraf och
4 kap. 8 § lagen om behandling av personuppgifter vid
Försvarsmakten om ett annat personuppgiftsbiträde anlitas.
Övriga skyldigheter
9 § Skyldigheterna enligt 4 § om tillgången till
personuppgifter tillämpas även för personuppgiftsbiträden.
5 kap. Bemyndiganden
1 § Riksarkivet får, efter att ha gett Försvarsmakten
tillfälle att yttra sig, meddela föreskrifter om att
personuppgifter som inte längre får behandlas enligt 2 kap.
21 § första stycket lagen (2021:1171) om behandling av
personuppgifter vid Försvarsmakten ska bevaras för
arkivändamål av allmänt intresse eller för vetenskapliga,
statistiska eller historiska ändamål. Sådana föreskrifter får
dock inte avse sådana personuppgifter som ska bevaras enligt
3 kap. 2 § andra stycket och 3 § tredje stycket.
2 § Försvarsmakten får meddela ytterligare föreskrifter om
verkställigheten av lagen (2021:1171) om behandling av
personuppgifter vid Försvarsmakten och föreskrifter om
verkställigheten av denna förordning.
Försvarsmakten ska ge Integritetsskyddsmyndigheten tillfälle
att yttra sig innan den meddelar föreskrifter om
integritetsskyddet vid personuppgiftsbehandling.
Övergångsbestämmelser
2021:1207
1. Denna förordning träder i kraft den 1 januari 2022.
2. Genom förordningen upphävs förordningen (2007:260) om
behandling av personuppgifter i Försvarsmaktens
försvarsunderrättelseverksamhet och militära säkerhetstjänst.
3. Bestämmelserna i 4 kap. 2 § om innehållet i förteckningen
över kategorier av behandlingar av personuppgifter som
Försvarsmakten ansvarar för tillämpas första gången den 1 juli
2026 i fråga om de behandlingar av personuppgifter som har
förtecknats före ikraftträdandet.
4. Bestämmelserna i 4 kap. 3 § om loggning tillämpas första
gången den 1 juli 2026 i fråga om uppgiftssamlingar som har
inrättats före ikraftträdandet.