Post 415 av 10936 träffar
SFS-nummer ·
2021:1171 ·
Visa register
Lag (2021:1171) om behandling av personuppgifter vid Försvarsmakten
Departement: Försvarsdepartementet
Utfärdad: 2021-12-02
Ändring införd: t.o.m. SFS 2022:693
Ikraft: 2022-01-01 överg.best.
1 kap. Allmänna bestämmelser
Syftet med lagen
1 § Syftet med denna lag är att säkerställa att Försvarsmakten
kan behandla personuppgifter på ett ändamålsenligt sätt och
att skydda fysiska personers grundläggande fri- och
rättigheter i samband med sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid Försvarsmaktens behandling av
personuppgifter i verksamhet som rör Sveriges försvar och
säkerhet samt internationellt försvars- och
säkerhetssamarbete.
3 § Lagen gäller vid sådan behandling av personuppgifter som
är helt eller delvis automatiserad. Den gäller också
personuppgifter som ingår i eller är avsedda att ingå i en
strukturerad samling av personuppgifter som är tillgängliga
för sökning eller sammanställning enligt särskilda kriterier.
4 § Vid behandling av personuppgifter enligt denna lag gäller
inte Europaparlamentets och rådets förordning (EU) 2016/679 av
den 27 april 2016 om skydd för fysiska personer med avseende
på behandling av personuppgifter och om det fria flödet av
sådana uppgifter och om upphävande av direktiv 95/46/EG
(allmän dataskyddsförordning) och inte heller lagen (2018:218)
med kompletterande bestämmelser till EU:s
dataskyddsförordning.
Ord och uttryck i lagen
5 § I denna lag används följande ord och uttryck.
Ord och uttryck Betydelse
Behandling av
personuppgifter En åtgärd eller en kombination av
åtgärder som vidtas i fråga om
personuppgifter eller uppsättningar av
personuppgifter, oavsett om det görs
automatiserat eller inte, t.ex.
insamling, registrering, organisering,
strukturering, lagring, bearbetning
eller ändring, framtagning, läsning,
användning, utlämnande, spridning eller
tillhandahållande på annat sätt,
justering, sammanföring, begränsning,
radering eller förstöring.
Biometriska uppgifter Personuppgifter som rör en persons
fysiska, fysiologiska eller
beteendemässiga kännetecken, som tagits
fram genom särskild teknisk behandling
och som möjliggör eller bekräftar
identifiering av personen i fråga.
Dataskyddsombud En fysisk person som utses av den
personuppgiftsansvarige för att
självständigt kontrollera att
personuppgifter behandlas
författningsenligt och på ett korrekt
sätt.
Genetiska uppgifter Personuppgifter som rör en persons
nedärvda eller förvärvade genetiska
kännetecken och som framför allt härrör
från analys av ett spår av eller ett
biologiskt prov från personen i fråga.
Mottagare Den till vilken personuppgifter lämnas
ut, med undantag av en myndighet som
med stöd av författning utövar tillsyn,
kontroll eller revision.
Personuppgift Varje upplysning om en identifierad
eller identifierbar fysisk person som
är i livet.
Personuppgiftsansvarig Den som ensam eller tillsammans med
andra bestämmer ändamålen med och
medlen för behandlingen av
personuppgifter.
Personuppgiftsbiträde Den som behandlar personuppgifter för
den personuppgiftsansvariges räkning.
Registrerad Den fysiska person som personuppgiften
gäller.
Tredje part Någon annan än
- den registrerade,
- den personuppgiftsansvarige,
- dataskyddsombudet,
- personuppgiftsbiträdet, och
- sådana personer som under den
personuppgiftsansvariges eller
personuppgiftsbiträdets direkta ansvar
har rätt att behandla personuppgifter.
Uppgiftssamling En samling med uppgifter som med hjälp
av automatiserad behandling är
gemensamt tillgängliga.
Personuppgiftsansvar
6 § Försvarsmakten är personuppgiftsansvarig för all
behandling av personuppgifter som myndigheten utför, som
utförs under myndighetens ledning eller på dess vägnar.
2 kap. Behandling av personuppgifter
Grundläggande krav på behandlingen
Krav på ändamål
1 § Personuppgifter får bara behandlas för särskilda,
uttryckligt angivna och berättigade ändamål.
Personuppgifter får inte behandlas för något ändamål som är
oförenligt med det ändamål som de ursprungligen behandlades
för.
Försvar och säkerhet
2 § Försvarsmakten får behandla personuppgifter om det är
nödvändigt för att planera, förbereda och genomföra verksamhet
som rör
1. Sveriges försvar och säkerhet, eller
2. internationellt försvars- och säkerhetssamarbete.
Försvarsmaktens uppgift att bedriva sådan verksamhet som anges
i första stycket ska följa av lag, förordning, kollektivavtal
eller annat avtal, eller ett särskilt beslut där regeringen
har gett myndigheten i uppdrag att utföra uppgiften.
För Försvarsmaktens behandling av personuppgifter i
myndighetens försvarsunderrättelseverksamhet och militära
säkerhetstjänst gäller i stället 3-8 §§.
Försvarsunderrättelseverksamhet
3 § Personuppgifter får behandlas i Försvarsmaktens
försvarsunderrättelseverksamhet om det är nödvändigt för att
bedriva den verksamhet som anges i lagen (2000:130) om
försvarsunderrättelseverksamhet.
4 § De personuppgifter som Försvarsmakten har fått tillgång
till i myndighetens försvarsunderrättelseverksamhet får
fortsätta behandlas i den verksamheten, om det behövs för att
fullgöra den.
Första stycket gäller endast om inte något annat följer av
denna lag eller en förordning som regeringen har meddelat i
anslutning till lagen.
Militär säkerhetstjänst
5 § Personuppgifter får behandlas i Försvarsmaktens militära
säkerhetstjänst för att upptäcka, förebygga och avvärja
säkerhetshotande verksamhet som riktas mot Försvarsmakten och
dess säkerhetsintressen, om det är nödvändigt för att
1. klarlägga verksamhet som innefattar hot mot Sveriges
säkerhet, eller
2. vidta åtgärder som hindrar eller försvårar säkerhetshotande
verksamhet.
6 § Personuppgifter får behandlas för de ändamål som anges i
5 § endast om
1. personuppgifterna är nödvändiga för att kartlägga
verksamhet som innefattar brott som kan hota Sveriges säkerhet
eller terroristbrott enligt 4 § terroristbrottslagen
(2022:666) eller enligt motsvarande äldre föreskrifter,
2. personuppgifterna är nödvändiga för att kartlägga
underrättelseverksamhet som riktas mot Försvarsmakten och dess
säkerhetsintressen,
3. personuppgifterna är nödvändiga för att kartlägga annan
säkerhetshotande verksamhet än som avses i 1 och som
innefattar brott eller åsidosättande av skyldigheter i
anställning hos Försvarsmakten, och det finns särskilda skäl
till att uppgiften ska behandlas,
4. personuppgifterna är nödvändiga för att bedöma om en person
som har lämnat uppgifter om säkerhetshotande verksamhet är
trovärdig, eller
5. personuppgifterna är nödvändiga för att genomföra
säkerhetsprövning enligt säkerhetsskyddslagen (2018:585) eller
för att utföra en uppgift som rör säkerhetsskydd.
Lag (2022:693).
7 § Personuppgifter som behandlas enligt 6 § ska förses med
upplysning om på vilken av de angivna grunderna uppgiften
behandlas.
Om behandlingen av en personuppgift motiveras av något annat
än ett antagande om att en person har utövat eller kommer att
utöva brottslig verksamhet ska det särskilt anges att personen
inte är misstänkt för brottslig verksamhet, om det inte på
annat sätt klart framgår att en sådan misstanke inte finns.
Uppgifter om en person som inte heller kan antas ha utövat
eller komma att utöva annan säkerhetshotande verksamhet ska
förses med en särskild upplysning om detta, om det inte på
annat sätt klart framgår att ett sådant antagande inte finns.
Personuppgifter som behandlas enligt 6 § 1, 2 eller 3 ska i
förekommande fall förses med en upplysning om
uppgiftslämnarens trovärdighet och uppgifternas riktighet i
sak.
8 § Trots 6 § får personuppgifter som ingår i eller har
uppkommit i samband med användning av totalförsvarets
telekommunikations- och informationssystem behandlas för att
förhindra obehörig insyn i och påverkan på dessa system. Det
gäller även sådana uppgifter som avses i 15, 16, 18 och 19 §§.
Behandling som särskilt syftar till att identifiera en person
får dock endast utföras om bestämmelserna i 6 § 1, 2 eller 3
tillämpas.
Försvarsmakten ska föra en förteckning över de behandlingar
som särskilt syftar till att identifiera en person och de
uppgifter som har utgjort anledningen till behandlingen.
Övriga ändamål
9 § Försvarsmakten får behandla personuppgifter om det är
nödvändigt för diarieföring, arkivering, handläggning av ett
ärende eller för att utföra annan liknande uppgift som
myndigheten har.
10 § Försvarsmakten får behandla personuppgifter som utgör
allmänt tillgänglig information om det är nödvändigt för den
verksamhet som anges i 2, 3 och 5 §§.
11 § Försvarsmakten får behandla personuppgifter för
vetenskapliga, statistiska eller historiska ändamål inom denna
lags tillämpningsområde.
12 § Försvarsmakten får behandla personuppgifter om
lagöverträdelser om det är nödvändigt för myndighetens
verksamhet.
Författningsenlig och korrekt behandling
13 § Personuppgifter ska behandlas författningsenligt och på
ett korrekt sätt.
Personuppgifternas kvalitet
14 § Personuppgifter som behandlas ska vara riktiga och, om
det är nödvändigt, uppdaterade. Personuppgifterna ska vara
adekvata och relevanta i förhållande till ändamålen med
behandlingen.
Uppgifter som beskriver en persons utseende ska utformas på
ett objektivt sätt med respekt för människovärdet.
Fler personuppgifter får inte behandlas än vad som är
nödvändigt med hänsyn till ändamålen med behandlingen.
Känsliga personuppgifter
15 § Personuppgifter som avslöjar ras, etniskt ursprung,
politiska åsikter, religiös eller filosofisk övertygelse eller
medlemskap i fackförening eller som rör hälsa, sexualliv eller
sexuell läggning får inte behandlas.
När personuppgifter behandlas får de dock kompletteras med
sådana uppgifter som avses i första stycket, om det är absolut
nödvändigt med hänsyn till ändamålen med behandlingen.
16 § Biometriska uppgifter får behandlas om det är absolut
nödvändigt med hänsyn till ändamålen med behandlingen.
Genetiska uppgifter får inte behandlas.
17 § Vid sökning får personuppgifter som avslöjar ras, etniskt
ursprung, politiska åsikter, religiös eller filosofisk
övertygelse eller medlemskap i fackförening eller som rör
hälsa, sexualliv eller sexuell läggning användas som
sökbegrepp om det är absolut nödvändigt med hänsyn till
ändamålen med behandlingen. Detsamma gäller biometriska
uppgifter.
Personnummer och samordningsnummer
18 § Uppgifter om personnummer eller samordningsnummer får
behandlas bara när det är klart motiverat med hänsyn till
1. ändamålen med behandlingen,
2. vikten av en säker identifiering, eller
3. något annat beaktansvärt skäl.
Om den registrerade har lämnat sitt samtycke eller
offentliggjort personuppgifterna
19 § Trots 15, 16 och 18 §§ får andra personuppgifter än
genetiska uppgifter behandlas, om den registrerade har lämnat
sitt uttryckliga samtycke eller på ett tydligt sätt har
offentliggjort uppgifterna.
Behandling av personuppgifter i vissa fall
20 § Hantering av information som innebär behandling av
personuppgifter ska inte anses oförenlig med bestämmelserna i
1-3, 5, 6, 8, 10, 12-16 och 18 §§ i det skede av behandlingen
då det inte har kunnat fastställas vilka personuppgifter som
informationen innehåller.
Längsta tid som personuppgifter får behandlas
21 § Personuppgifter får inte behandlas under längre tid än
vad som behövs med hänsyn till ändamålen med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan
med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
att personuppgifter får behandlas under endast viss tid eller
fortsätta behandlas för arkivändamål av allmänt intresse eller
för vetenskapliga, statistiska eller historiska ändamål.
Regeringen eller den myndighet som regeringen bestämmer får
också besluta om sådan behandling i ett enskilt fall.
Överföring av personuppgifter till en mottagare utomlands
22 § Personuppgifter som behandlas med stöd av denna lag får
föras över till ett annat land eller en internationell
organisation endast om sekretess inte hindrar det och det är
nödvändigt för att Försvarsmakten ska kunna fullgöra sina
uppgifter inom ramen för det internationella försvars- och
säkerhetssamarbetet.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om att överföring får ske även i andra fall om
det är nödvändigt för verksamheten vid Försvarsmakten.
Regeringen får också besluta om sådan överföring i ett enskilt
fall.
Utlämnande av personuppgifter
23 § Personuppgifter får lämnas ut elektroniskt på annat sätt
än genom direktåtkomst, om det inte är olämpligt.
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om begränsning av möjligheten att lämna ut
personuppgifter elektroniskt på annat sätt än genom
direktåtkomst.
3 kap. Gemensamt tillgängliga personuppgifter
Personuppgifter som får göras gemensamt tillgängliga
1 § Personuppgifter får göras gemensamt tillgängliga om det
behövs för något av de ändamål som anges i 2 kap. Med att göra
personuppgifter gemensamt tillgängliga avses inte att endast
ett fåtal personer får tillgång till uppgifterna.
Regeringen eller den myndighet som regeringen bestämmer kan
med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om
vilka uppgiftssamlingar som får finnas och vilka uppgifter som
får behandlas i respektive uppgiftssamling.
Regeringen eller den myndighet som regeringen bestämmer får
också besluta om uppgiftssamlingar i ett enskilt fall.
Direktåtkomst
2 § Totalförsvarets plikt- och prövningsverk får medges
direktåtkomst till personuppgifter som rör Försvarsmaktens
personalförsörjning och krigsorganisation och som har gjorts
gemensamt tillgängliga inom Försvarsmakten.
Totalförsvarets plikt- och prövningsverk har rätt att vid
direktåtkomst ta del av de personuppgifter som omfattas av
åtkomsten.
3 § Säkerhetspolisen och Försvarets radioanstalt får medges
direktåtkomst till personuppgifter som utgör
bearbetningsunderlag och analysresultat inom
försvarsunderrättelseverksamheten och som finns i
uppgiftssamlingar.
Säkerhetspolisen och Försvarets radioanstalt har rätt att vid
direktåtkomst ta del av de personuppgifter som omfattas av
åtkomsten.
4 § Om det behövs för samarbetet mot terrorism eller vid
svenskt deltagande i annat internationellt underrättelse- och
säkerhetssamarbete, får en utländsk underrättelse- eller
säkerhetstjänst medges direktåtkomst till personuppgifter som
behandlas med stöd av 2 kap. 3 § och som finns i
uppgiftssamlingar.
Första stycket gäller enbart i den utsträckning som sådan
direktåtkomst följer av lag eller förordning eller om
regeringen har beslutat om den i ett enskilt fall.
5 § Om det behövs för samarbetet mot säkerhetshotande
verksamhet som riktas mot Försvarsmakten och dess
säkerhetsintressen, får en utländsk underrättelse- eller
säkerhetstjänst medges direktåtkomst till personuppgifter som
behandlas med stöd av 2 kap. 5 § och som finns i
uppgiftssamlingar.
Första stycket gäller enbart i den utsträckning som sådan
direktåtkomst följer av lag eller förordning eller om
regeringen har beslutat om den i ett enskilt fall.
Direktåtkomst i andra fall
6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen
meddela föreskrifter om direktåtkomst till gemensamt
tillgängliga uppgifter eller uppgiftssamlingar i andra fall än
de som anges i 2-5 §§.
Regeringen får också besluta om detta i ett enskilt fall.
Omfattningen av direktåtkomsten
7 § Regeringen eller den myndighet som regeringen bestämmer
kan med stöd av 8 kap. 7 § regeringsformen meddela
föreskrifter om omfattningen av direktåtkomsten och om
behörighet och säkerhet vid sådan åtkomst.
Regeringen får också besluta om detta i ett enskilt fall.
4 kap. Skyldigheter som personuppgiftsansvarig
Åtgärder för att säkerställa författningsenlig behandling
1 § Försvarsmakten ska, genom lämpliga tekniska och
organisatoriska åtgärder, säkerställa att behandlingen av
personuppgifter är författningsenlig och att de registrerades
rättigheter skyddas.
2 § Tillgången till personuppgifter ska begränsas till vad var
och en behöver för att kunna fullgöra sina arbetsuppgifter.
Säkerheten för personuppgifter
3 § Försvarsmakten ska vidta lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som
behandlas. Åtgärderna ska särskilt avse skydd mot obehörig
eller otillåten behandling eller förstöring och mot förlust
eller annan oavsiktlig skada.
Dataskyddsombud
4 § Försvarsmakten ska inom myndigheten utse ett eller flera
dataskyddsombud och anmäla till tillsynsmyndigheten när
dataskyddsombud utses och entledigas.
5 § Ett dataskyddsombud ska
1. självständigt kontrollera att Försvarsmakten behandlar
personuppgifter författningsenligt och på ett korrekt sätt
och i övrigt fullgör sina skyldigheter,
2. informera och ge råd till Försvarsmakten och till dem som
behandlar personuppgifter under myndighetens ledning om deras
skyldigheter vid behandling av personuppgifter,
3. vara kontaktpunkt för enskilda i frågor som rör
Försvarsmaktens behandling av personuppgifter, och
4. vid behov söka vägledning av tillsynsmyndigheten.
Personuppgiftsbiträden
6 § Försvarsmakten får, om det är lämpligt, anlita
personuppgiftsbiträden för behandling av personuppgifter på
Försvarsmaktens vägnar. Innan ett personuppgiftsbiträde
anlitas, ska Försvarsmakten försäkra sig om att biträdet
kommer att vidta de lämpliga tekniska och organisatoriska
åtgärder som krävs för att behandlingen av personuppgifter ska
vara författningsenlig och för att skydda registrerades
rättigheter.
7 § Personuppgiftsbiträdets behandling av personuppgifter ska
regleras i ett skriftligt avtal eller annan skriftlig
överenskommelse.
8 § Ett personuppgiftsbiträde får inte anlita ett annat
personuppgiftsbiträde utan skriftligt tillstånd av
Försvarsmakten.
9 § Ett personuppgiftsbiträde eller den eller de personer som
arbetar under biträdets eller Försvarsmaktens ledning ska
behandla personuppgifter i enlighet med instruktioner från
Försvarsmakten.
Om ett personuppgiftsbiträde, i strid med Försvarsmaktens
instruktioner, bestämmer ändamålen med och medlen för
behandlingen, ska biträdet anses vara personuppgiftsansvarig
enligt denna lag för den behandlingen.
10 § Försvarsmaktens skyldigheter enligt 2 och 3 §§ gäller
även för personuppgiftsbiträden som Försvarsmakten anlitar.
5 kap. Enskildas rättigheter
Rätten till information
Allmän information
1 § Försvarsmakten ska göra följande information allmänt
tillgänglig:
1. myndighetens identitet och kontaktuppgifter,
2. uppgifter om dataskyddsombudet,
3. kategorier av ändamål för behandlingen av personuppgifter,
4. rätten enligt 3 § att begära att få information om
behandlingen av personuppgifter och att få del av dem, och
5. rätten att begära rättelse, radering eller begränsning av
behandlingen enligt 6 §.
Information som ska lämnas om personuppgifterna samlas in från
den som uppgifterna avser
2 § Om personuppgifter samlas in från den som uppgifterna
avser ska Försvarsmakten, när myndigheten får
personuppgifterna, på eget initiativ lämna följande
information till den registrerade:
1. uppgift om att det är Försvarsmakten som är
personuppgiftsansvarig för behandlingen,
2. uppgift om ändamålen med behandlingen, och
3. all övrig information som behövs för att den registrerade
ska kunna ta till vara sina rättigheter i samband med
behandlingen, såsom information om uppgifternas mottagare, om
skyldighet att lämna uppgifter och om rätten att ansöka om
information och få rättelse.
Information som ska lämnas efter begäran
3 § Försvarsmakten är skyldig att en gång per kalenderår till
den som begär det lämna skriftligt besked om huruvida
personuppgifter som rör honom eller henne behandlas. Om sådana
uppgifter behandlas ska sökanden få del av dem och få följande
skriftliga information:
1. vilka personuppgifter om den sökande som behandlas,
2. varifrån personuppgifterna kommer,
3. ändamålen med behandlingen,
4. mottagare eller kategorier av mottagare av
personuppgifterna, även i annat land eller internationella
organisationer,
5. hur länge personuppgifterna får behandlas eller, om det
inte är möjligt att ange, kriterierna för att fastställa det,
och
6. rätten att begära rättelse, radering eller begränsning av
behandlingen enligt 6 §.
Ett utlämnande av personuppgifter enligt första stycket
behöver inte omfatta sådana personuppgifter som sökanden har
tagit del av, om inte han eller hon begär det. Det ska dock
framgå av informationen att personuppgifterna i fråga
behandlas.
En ansökan om information enligt första stycket ska göras
skriftligen hos Försvarsmakten och vara undertecknad av den
sökande själv. Informationen ska lämnas inom en månad från det
att ansökan gjordes. Om det finns särskilda skäl för det, får
information dock lämnas senast fyra månader efter det att
ansökan gjordes.
Begränsning av rätten till information
4 § Informationsskyldigheten enligt 2 och 3 §§ gäller inte i
den utsträckning sekretess hindrar att uppgifterna lämnas ut.
Om det gäller sekretess är Försvarsmakten inte skyldig att
redovisa skälen för ett beslut enligt första stycket eller ett
beslut i fråga om rättelse, radering eller begränsning av
behandlingen enligt 6 §.
5 § Informationsskyldigheten enligt 2 och 3 §§ gäller inte
personuppgifter i löpande text som inte fått sin slutliga
utformning när begäran gjordes eller som utgör en
minnesanteckning eller liknande.
Informationsskyldigheten gäller dock om uppgifterna
1. har lämnats ut till tredje part, med undantag för en
myndighet som med stöd av författning utövar tillsyn, kontroll
eller revision,
2. behandlas enbart för statistiska ändamål eller arkivändamål
av allmänt intresse, eller
3. har behandlats under längre tid än ett år i löpande text
som inte har fått sin slutliga utformning.
Rätten till rättelse, radering och begränsning av behandlingen
6 § Försvarsmakten ska på begäran av den registrerade snarast
rätta, radera eller begränsa behandlingen av sådana
personuppgifter som inte har behandlats i enlighet med denna
lag eller föreskrifter som har meddelats med stöd av lagen.
Om uppgifterna har lämnats ut till tredje part ska denne
underrättas om en åtgärd enligt första stycket, om den
registrerade begär det eller om en mera betydande skada eller
olägenhet för den registrerade skulle kunna undvikas genom en
underrättelse.
Någon underrättelse behöver dock inte lämnas, om sekretess
hindrar det eller detta är omöjligt eller skulle innebära en
oproportionerligt stor arbetsinsats.
Avgiftsfri information
7 § Information enligt 1 och 2 §§ och information och
uppgifter enligt 3 § ska lämnas utan avgift.
6 kap. Tillsyn
Tillsyn över personuppgiftsbehandlingen
1 § Den myndighet som regeringen bestämmer utövar tillsyn över
Försvarsmaktens behandling av personuppgifter enligt denna
lag, enligt föreskrifter som har meddelats i anslutning till
lagen och enligt beslut med stöd av lagen.
Tillsynsmyndigheten ska, när det är motiverat, ge råd och stöd
till Försvarsmakten och personuppgiftsbiträden i frågor som
gäller deras skyldigheter enligt lag eller annan författning.
Tillsynsmyndighetens befogenheter
Undersökningsbefogenheter
2 § Tillsynsmyndigheten har rätt att av Försvarsmakten eller
av ett personuppgiftsbiträde på begäran få
1. tillgång till personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av
personuppgifter och säkerhets- och skyddsåtgärder,
3. tillträde till sådana lokaler som har anknytning till
behandling av personuppgifter och tillgång till utrustning och
andra medel för behandling av personuppgifter, och
4. den hjälp och annan information som behövs för tillsynen.
Förebyggande befogenheter
3 § Om tillsynsmyndigheten bedömer att det finns risk för att
personuppgifter kan komma att behandlas i strid med lag eller
annan författning, ska myndigheten genom råd, rekommendationer
eller påpekanden försöka förmå Försvarsmakten eller
personuppgiftsbiträdet att vidta åtgärder för att motverka den
risken.
Tillsynsmyndigheten får besluta om en skriftlig varning, om en
planerad behandling av personuppgifter riskerar att strida mot
lag eller annan författning. Detsamma gäller om en pågående
behandling riskerar att strida mot lag eller annan
författning.
Korrigerande befogenheter
4 § Om tillsynsmyndigheten konstaterar att personuppgifter
behandlas i strid med lag eller annan författning, eller att
Försvarsmakten eller ett personuppgiftsbiträde på annat sätt
inte fullgör sina skyldigheter, får tillsynsmyndigheten
1. genom sådana åtgärder som anges i 3 § första stycket
försöka förmå Försvarsmakten eller personuppgiftsbiträdet att
vidta åtgärder för att behandlingen ska bli författningsenlig
eller för att fullgöra andra skyldigheter, eller
2. besluta att förelägga Försvarsmakten eller
personuppgiftsbiträdet att vidta åtgärder för att behandlingen
ska bli författningsenlig eller för att fullgöra andra
skyldigheter.
Av ett beslut om föreläggande ska det framgå när föreläggandet
senast ska ha följts och, om det är lämpligt, vilka åtgärder
som ska vidtas.
7 kap. Skadestånd och överklagande
Skadestånd
1 § Den personuppgiftsansvarige ska ersätta den registrerade
för den skada och kränkning av den personliga integriteten som
orsakats av behandling av personuppgifter i strid med denna
lag, föreskrifter som har meddelats i anslutning till lagen
eller beslut med stöd av lagen.
Ersättningsskyldigheten kan, i den utsträckning det är
skäligt, jämkas om den personuppgiftsansvarige visar att felet
inte berodde på denne.
Överklagande
Överklagande av Försvarsmaktens beslut
2 § Försvarsmaktens beslut enligt 5 kap. 2 och 3 §§ att inte
lämna information och beslut enligt 5 kap. 6 § i fråga om
rättelse, radering, begränsning av behandlingen eller
underrättelse till tredje part, får överklagas till allmän
förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagande av tillsynsmyndighetens beslut
3 § Tillsynsmyndighetens beslut om föreläggande enligt 6 kap.
4 § första stycket 2 får överklagas till allmän
förvaltningsdomstol. När ett beslut överklagas är
tillsynsmyndigheten motpart i domstolen.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Överklagandeförbud
4 § Andra beslut enligt denna lag än de som anges i 2 och 3 §§
får inte överklagas.
Övergångsbestämmelser
2021:1171
1. Denna lag träder i kraft den 1 januari 2022.
2. Genom lagen upphävs lagen (2007:258) om behandling av
personuppgifter i Försvarsmaktens
försvarsunderrättelseverksamhet och militära säkerhetstjänst.
3. Äldre föreskrifter gäller fortfarande för överklagande av
beslut som har meddelats före ikraftträdandet.