Regeringskansliets rättsdatabaser

Regeringskansliets rättsdatabaser innehåller lagar, förordningar, kommittédirektiv och kommittéregistret.

Testa betasidan för Regeringskansliets rättsdatabaser

Söker du efter lagar och förordningar? Testa gärna betasidan för den nya webbplatsen för Regeringskansliets rättsdatabaser.

Klicka här för att komma dit

 
Post 1052 av 7187 träffar
Propositionsnummer · 2019/20:51 · Hämta Doc · Hämta Pdf
Totalförsvarsdatalag - personuppgiftsbehandling vid Totalförsvarets rekryteringsmyndighet Prop. 2019/20:51
Ansvarig myndighet: Försvarsdepartementet
Dokument: Prop. 51
Regeringens proposition 2019/20:51 Totalförsvarsdatalag - personuppgiftsbehandling vid Totalförsvarets rekryteringsmyndighet Prop. 2019/20:51 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 28 november 2019 Stefan Löfven Peter Hultqvist (Försvarsdepartementet) Propositionens huvudsakliga innehåll Regeringen föreslår att lagen om behandling av personuppgifter om totalförsvarspliktiga upphävs och att en ny totalförsvarsdatalag införs. Förslaget innebär dels en modernisering av den nuvarande registerlagen, dels en anpassning till bestämmelserna i EU:s dataskyddsförordning. Den nya lagen föreslås reglera behandlingen av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret i Totalförsvarets rekryteringsmyndighets verksamhet. Lagen föreslås träda i kraft den 1 maj 2020. Innehållsförteckning 1 Förslag till riksdagsbeslut 5 2 Lagtext 6 2.1 Förslag till totalförsvarsdatalag 6 2.2 Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 10 3 Ärendet och dess beredning 11 4 Personalförsörjningen inom totalförsvaret och Totalförsvarets rekryteringsmyndighet 12 4.1 Totalförsvaret - den verksamhet som behövs för att förbereda Sverige för krig 12 4.2 Totalförsvarsplikten och totalförsvarspliktiga 12 4.3 Annan personal inom totalförsvaret 13 4.3.1 Anställd personal 14 4.3.2 Avtalspersonal 14 4.4 Verksamheten vid Totalförsvarets rekryteringsmyndighet 15 4.4.1 Mönstring, inskrivning och krigsplacering av totalförsvarspliktiga 15 4.4.2 Stöd och service till bemanningsansvariga inom totalförsvaret 17 4.4.3 Personalredovisning av totalförsvaret 17 4.4.4 Uppdragsverksamheten 18 4.5 Personuppgiftsbehandlingen vid Totalförsvarets rekryteringsmyndighet 19 5 Regler om personuppgiftsbehandling och enskildas rätt till personlig integritet 19 5.1 Internationella regleringar 19 5.1.1 Europeiska unionen 19 5.1.2 Europarådet 21 5.2 Nationell reglering 21 5.2.1 Regeringsformen 21 5.2.2 Offentlighets- och sekretesslagen 22 5.2.3 Dataskyddslagen 22 5.2.4 Särskilda registerförfattningar 23 5.2.5 Lagen om behandling av personuppgifter om totalförsvarspliktiga 23 6 Allmänna utgångspunkter för en ny reglering 26 6.1 En ny lag införs och lagen om behandling av totalförsvarspliktiga upphävs 26 6.2 Lagens namn 28 6.3 Förhållandet till annan reglering 29 7 Lagens syfte och tillämpningsområde 31 7.1 Lagens syfte 31 7.2 Lagens tillämpningsområde 31 7.3 Personuppgiftsbehandling som inte omfattas av den nya lagen 33 7.4 Helt eller delvis automatiserad behandling 35 8 Personuppgiftsansvar 35 9 Rättslig grund och tillåtna ändamål 37 9.1 Rättslig grund för behandlingen av personuppgifter 37 9.2 Ändamålsbestämmelser 40 9.2.1 Primära ändamål för behandling av personuppgifter 42 9.2.2 Sekundära ändamål för behandling av personuppgifter 44 10 Behandling av vissa kategorier av personuppgifter 46 10.1 Känsliga personuppgifter 46 10.2 Personnummer och samordningsnummer 51 10.3 Personuppgifter om lagöverträdelser 51 11 Sökbegränsningar 52 12 Rätten att göra invändningar 55 13 Tillgången till personuppgifter 56 14 Direktåtkomst 57 15 En sekretessbrytande regel för direktåtkomst 61 16 Försvarsmakten får föra in och rätta uppgifter 63 17 Tillsynsmyndighetens befogenheter 65 18 Personuppgiftsincidenter 66 19 Vissa andra frågor av särskild vikt för dataskyddet 68 19.1 Säkerheten för personuppgifter 68 19.2 Rättelse och annan korrigering 70 19.3 Dataskyddsombud 71 19.4 Information och tillgång till personuppgifter 71 19.5 Skadestånd 72 19.6 Administrativa sanktionsavgifter 73 20 Bevarande och gallring 73 20.1 Bevarande för arkivändamål 73 20.2 Bevarande av känsliga personuppgifter 78 21 Sekretess 78 21.1 Sekretess i Totalförsvarets rekryteringsmyndighets verksamhet 78 21.1.1 Försvarssekretess 78 21.1.2 Kunskapsprov 79 21.1.3 Hälsotillstånd och hälso- och sjukvård 79 21.1.4 Behandling i strid med dataskyddsregleringen 79 21.1.5 Register över totalförsvarets personal 79 21.1.6 Uppgifter vid utredning, inskrivning, krigsplacering m.m. 80 21.2 Ett omvänt skaderekvisit bör inte införas 81 21.3 Någon ny sekretessbrytande bestämmelse behövs inte 82 22 Ikraftträdande- och övergångsbestämmelser 84 23 Konsekvenser 85 24 Författningskommentar 86 24.1 Förslaget till totalförsvarsdatalag 86 24.2 Förslaget till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 96 Bilaga 1 Sammanfattning av betänkandet Totalförsvarsdatalag - Rekryteringsmyndighetens personuppgiftsbehandling (SOU 2017:97) 98 Bilaga 2 Betänkandets lagförslag 104 Bilaga 3 Förteckning över remissinstanserna 109 Bilaga 4 Lagrådsremissens lagförslag 110 Bilaga 5 Lagrådets yttrande 115 Utdrag ur protokoll vid regeringssammanträde den 28 november 2019 116 1 Förslag till riksdagsbeslut Regeringens förslag: 1. Riksdagen antar regeringens förslag till totalförsvarsdatalag. 2. Riksdagen antar regeringens förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till totalförsvarsdatalag Härigenom föreskrivs följande. Lagens syfte 1 § Syftet med denna lag är att ge Totalförsvarets rekryteringsmyndighet möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett ändamålsenligt sätt samt att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 § Denna lag gäller i Totalförsvarets rekryteringsmyndighets verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal som har en uppgift inom totalförsvaret vid höjd beredskap. I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Totalförsvarets rekryteringsmyndighet. När sådan behandling av personuppgifter som avses i första stycket utförs av Totalförsvarets rekryteringsmyndighet i egenskap av vårdgivare inom hälso- och sjukvården tillämpas patientdatalagen (2008:355). 3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förhållandet till annan reglering 4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 5 § Totalförsvarets rekryteringsmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. En kommun, region eller statlig myndighet som behandlar personuppgifter med stöd av denna lag eller föreskrifter som har meddelats i anslutning till lagen är personuppgiftsansvarig för den behandlingen. Ändamål 6 § Personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet får behandlas om det är nödvändigt för att 1. ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, 2. redovisa personal med uppgifter inom totalförsvaret, 3. säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och en lämplig placering inom totalförsvaret, 4. se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten, 5. tillgodose den registrerades rättigheter och trygghet i egenskap av totalförsvarspliktig, och 6. fullgöra Totalförsvarets rekryteringsmyndighets serviceskyldighet gentemot bemanningsansvariga organ inom totalförsvaret. 7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Behandling av känsliga personuppgifter 8 § Känsliga personuppgifter enligt artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, får endast behandlas om det är absolut nödvändigt för de ändamål som anges i 6 och 7 §§. Känsliga personuppgifter får även behandlas om det är absolut nödvändigt vid en utredning om den totalförsvarspliktiges personliga förhållanden som görs enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt av någon annan statlig myndighet än Totalförsvarets rekryteringsmyndighet, en kommun eller region. Sökbegränsningar 9 § Vid behandling som sker med stöd av 8 § är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det är också förbjudet att som sökbegrepp använda uppgifter om 1. hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning, 2. boende- och familjeförhållanden samt försörjning, 3. resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning, 4. medborgarskap, och 5. lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen (2018:585) samt vilken säkerhetsklass prövningen avsett och resultatet av den. De uppgifter som anges i andra stycket 1-5 får dock användas som sökbegrepp när uppgifter lämnas ut för framställning av statistik eller för forskningsändamål. De uppgifter som anges i andra stycket 3 får även användas som sökbegrepp för att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret. Rätten att göra invändningar 10 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Tillgången till personuppgifter 11 § Tillgången till personuppgifter vid Totalförsvarets rekryteringsmyndighet, en annan statlig myndighet, en kommun eller region ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om hur tillgången till personuppgifter ska begränsas. Direktåtkomst 12 § Direktåtkomst till personuppgifter hos Totalförsvarets rekryteringsmyndighet får endast medges Försvarsmakten och den registrerade. Den registrerade får endast ha direktåtkomst till personuppgifter som rör honom eller henne. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av direktåtkomsten enligt första stycket och föreskrifter om behörighet och säkerhet vid sådan åtkomst. 13 § Försvarsmakten har rätt att vid direktåtkomst enligt 12 § första stycket ta del av de personuppgifter som omfattas av åtkomsten. Försvarsmaktens införande och rättelse av personuppgifter 14 § Försvarsmakten får föra in och rätta personuppgifter om totalförsvarspliktiga i Totalförsvarets rekryteringsmyndighets informationssystem. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om Försvarsmaktens behandling av personuppgifter enligt första stycket och föreskrifter om behörighet och säkerhet vid sådan behandling. Avskiljande 15 § Personuppgifter ska avskiljas så att tillgången till dem begränsas när de inte längre behövs i Totalförsvarets rekryteringsmyndighets löpande verksamhet för de ändamål som anges i 6 §. Personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår då den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter. Tillsynsmyndighetens befogenheter 16 § Vid behandling enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen gäller inte bestämmelserna i artikel 58.2 f i EU:s dataskyddsförordning och 6 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning om tillsynsmyndighetens befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling. 1. Denna lag träder i kraft den 1 maj 2020. 2. Genom lagen upphävs lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga. 2.2 Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning Härigenom föreskrivs att punkt 3 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 3. I stället för vad som sägs i 1 kap. 2 § ska den upphävda lagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten. 3. I stället för vad som sägs i 1 kap. 2 § ska den upphävda lagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte omfattas av unionsrätten. Denna lag träder i kraft den 1 maj 2020. 3 Ärendet och dess beredning Den 26 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Dataskyddsförordningen tillämpas från och med den 25 maj 2018. Samma datum upphävdes personuppgiftslagen (1998:204), och lagen (2018:2018) med kompletterande bestämmelser till EU:s dataskyddsförordning, nedan kallad dataskyddslagen, trädde i kraft. Den 1 december 2016 beslutade regeringen att ge en särskild utredare i uppdrag att göra en översyn av regleringen av behandlingen av personuppgifter om totalförsvarspliktiga (dir. 2016:103). Utredningen, som tog namnet Totalförsvarsdatautredningen (Fö 2016:01), överlämnade den 7 december 2017 betänkandet Totalförsvarsdatalag - Rekryteringsmyndighetens personuppgiftsbehandling (SOU 2017:97). En sammanfattning av betänkandet finns i bilaga 1. Betänkandets lagförslag finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissvaren finns tillgängliga i Försvarsdepartementet (Fö2017/01697/RS). Den 5 september 2019 beslutade regeringen propositionen En ny beteckning för kommuner på regional nivå och vissa frågor om regionindelning (prop. 2018/19:162). I propositionen föreslås bl.a. att beteckningen för kommuner på regional nivå ska ändras från landsting till region. Ändringen i det här avseendet föreslås i huvudsak träda i kraft den 1 januari 2020. Riksdagen har den 20 november 2019 bifallit regeringens förslag (bet. 2019/20:KU3, rskr. 2019/20:48). Beteckningen region används därför genomgående i denna proposition i stället för beteckningen landsting, med undantag för de fall det refereras till bestämmelser i gällande rätt som innehåller beteckningen landsting. Lagrådet Regeringen beslutade den 3 oktober 2019 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet lämnade förslagen utan erinran. Vissa språkliga och redaktionella ändringar har gjorts i förhållande till förslagen i lagrådsremissen. 4 Personalförsörjningen inom totalförsvaret och Totalförsvarets rekryteringsmyndighet 4.1 Totalförsvaret - den verksamhet som behövs för att förbereda Sverige för krig Totalförsvar avser den verksamhet som behövs för att förbereda Sverige för krig. Totalförsvaret består av dels militär verksamhet (militärt försvar), dels civil verksamhet (civilt försvar). Försvarsmakten har det huvudsakliga ansvaret för det militära försvaret, medan andra statliga myndigheter, kommuner, regioner m.fl. ansvarar för det civila försvaret. Totalförsvarsplikten infördes i Sverige den 1 juli 1995 genom lagen (1994:1809) om totalförsvarsplikt i syfte att möjliggöra en samlad användning av de personalresurser som stod till förfogande. Våren 2010 beslutade riksdagen att totalförsvarets personalförsörjning skulle bygga på frivillighet och inte på plikt. Bedömningen gjordes dock att totalförsvarsplikten i grunden skulle kvarstå med möjlighet för regeringen att aktivera delar av totalförsvarsplikten om försvarsberedskapen kräver det (prop. 2009/10:160 s. 77 f.). Skyldigheten att genomgå mönstring och fullgöra värnplikt och civilplikt skulle därmed vara vilande till dess att regeringen beslutade annat. Dessutom skulle skyldigheten att fullgöra tjänstgöring omfatta både kvinnor och män. I och med detta infördes ett nytt personalförsörjningssystem. I december 2014 beslutade regeringen att ge Försvarsmakten rätt att kalla in värnpliktig personal till repetitionsutbildning med stöd av lagen om totalförsvarsplikt. Den 2 mars 2017 beslutade regeringen att aktivera skyldigheten för totalförsvarspliktiga att genomgå mönstring och fullgöra grundutbildning med värnplikt. I och med 2014 och 2016 års beslut aktiverades alltså delar av den vilande totalförsvarsplikten. Skyldigheten för totalförsvarspliktiga att fullgöra civilplikt är dock alltjämt vilande. I syfte att ge en helhetsbild av hur systemet med totalförsvarsplikt är utformat och dess omfattning kommer dock även civilplikten att behandlas i följande avsnitt. 4.2 Totalförsvarsplikten och totalförsvarspliktiga Bestämmelser om totalförsvarsplikt, dess innebörd och omfattning finns i lagen och förordningen (1995:238) om totalförsvarsplikt. Totalförsvarsplikten innebär en skyldighet för varje svensk medborgare - och för var och en som utan att vara svensk medborgare är bosatt i Sverige - att tjänstgöra inom totalförsvaret i den omfattning som hans eller hennes kroppskrafter och hälsotillstånd tillåter. Totalförsvarsplikten omfattar både män och kvinnor och gäller från början av det kalenderår personen fyller 16 år till slutet av det kalenderår han eller hon fyller 70 år. Tjänstgöringen fullgörs som värnplikt, civilplikt eller allmän tjänsteplikt. Värnplikten och civilplikten omfattar grundutbildning, repetitionsutbildning, beredskapstjänstgöring och krigstjänstgöring. Den allmänna tjänsteplikten innebär att den som är totalförsvarspliktig ska tjänstgöra under höjd beredskap, om det behövs för att verksamhet som är av särskild vikt för totalförsvaret ska kunna upprätthållas. Höjd beredskap är antingen skärpt beredskap eller högsta beredskap. Enligt lagen (1992:1403) om totalförsvar och höjd beredskap kan regeringen besluta om höjd beredskap i händelse av krigsfara eller sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara. Är Sverige i krig råder högsta beredskap. Under högsta beredskap är totalförsvar all samhällsverksamhet som då ska bedrivas. Skyldigheten att fullgöra värnplikt och civilplikt med längre grundutbildning gäller för både män och kvinnor. Skyldigheten omfattar endast svenska medborgare och gäller från början av det kalenderår den totalförsvarspliktige fyller 19 år till slutet av det kalenderår han eller hon fyller 47 år. Värnplikt fullgörs hos Försvarsmakten. Civilplikt fullgörs i de verksamheter inom totalförsvaret som regeringen föreskriver men får inte omfatta annan verksamhet som är förenad med egentliga stridsuppgifter än ordnings- eller bevakningsuppgifter. Allmän tjänsteplikt fullgörs genom att den totalförsvarspliktige i) kvarstår i sin anställning eller fullföljer ett uppdrag, ii) tjänstgör enligt avtal om frivillig tjänstgöring inom totalförsvaret, eller iii) utför arbete som anvisats honom eller henne av den myndighet som regeringen bestämmer. Regeringen eller den myndighet som regeringen bestämmer beslutar hos vilka arbetsgivare och uppdragsgivare som allmän tjänsteplikt ska fullgöras och vilka arbetstagare och uppdragstagare som ska omfattas av allmän tjänsteplikt. Om den allmänna tjänsteplikten ska fullgöras hos en statlig myndighet är det dock myndighetens uppgift att besluta om vilka arbetstagare och uppdragstagare som ska omfattas av tjänsteplikten. Anställd personal som avses tjänstgöra på sin ordinarie arbetsplats med allmän tjänsteplikt kan krigsplaceras av arbetsgivaren med stöd av anställningsavtalet enligt 6 § förordningen (2015:1053) om totalförsvar och höjd beredskap. Beslut om allmän tjänsteplikt får inte omfatta den som redan är krigsplacerad med stöd av lagen om totalförsvarsplikt. 4.3 Annan personal inom totalförsvaret Utöver de totalförsvarspliktiga finns det annan personal inom totalförsvaret som kan delas in i huvudsakligen två kategorier: anställd personal och avtalspersonal. Utmärkande för denna personal är att deras tjänstgöringsskyldighet har sin grund i det anställningsavtal eller annat avtal som de ingått med Försvarsmakten, sin arbetsgivare eller någon annan. Även de nu nämnda personerna omfattas formellt av totalförsvarsplikten om de är mellan 16 och 70 år. Deras skyldighet att delta i utbildning och tjänstgöra i övrigt grundar sig dock på det avtal de ingått med sin arbetsgivare eller någon annan och inte på totalförsvarsplikt. Det kan bli aktuellt att ta vissa av dem i anspråk med stöd av den allmänna tjänsteplikten vid höjd beredskap men i normalfallet fortsätter de även då att tjänstgöra med avtalet som grund. Till annan personal inom totalförsvaret hör även personer med vissa begränsade uppgifter vid höjd beredskap, utan att skyldigheten att fullgöra dessa är knuten till totalförsvarsplikten. Det gäller t.ex. dem som ska ställa egendom till förfogande enligt förfogandelagstiftningen. 4.3.1 Anställd personal Anställd personal vid Försvarsmakten delas in i kontinuerligt tjänstgörande personal, tidvis tjänstgörande personal och personal som är direktrekryterad för att tjänstgöra i en internationell militär insats. Den kontinuerligt tjänstgörande personalen består av yrkesofficerare, kontinuerligt tjänstgörande anställda gruppbefäl, soldater och sjömän samt civila arbetstagare. Yrkesofficerare är tillsvidareanställda militära tjänstemän och är anställda med stöd av officersförordningen (2007:1268). Yrkesofficerare delas in i kontinuerligt tjänstgörande officerare respektive kontinuerligt tjänstgörande specialistofficerare. Kontinuerligt tjänstgörande gruppbefäl, soldater och sjömän är tidsbegränsat anställda med stöd av lagen (2012:332) om vissa försvarsmaktsanställningar eller med stöd av kollektivavtal. Civila arbetstagare, exempelvis hälso- och sjukvårdspersonal, präster, jurister och tekniker, kan vara antingen tillsvidareanställda eller tidsbegränsat anställda med stöd av lagen (1982:80) om anställningsskydd eller anställningsförordningen (1994:373). Utbildning och övning för dessa personer regleras i anställningsavtalet. Den tidvis tjänstgörande personalen består av reservofficerare, tidvis tjänstgörande gruppbefäl, soldater och sjömän samt tidvis tjänstgörande specialister. Reservofficerare är tillsvidareanställda militära tjänstemän och är anställda med stöd av officersförordningen. Reservofficerare delas in i tidvis tjänstgörande officerare respektive tidvis tjänstgörande specialistofficerare. Tidvis tjänstgörande gruppbefäl, soldater och sjömän är anställda med stöd av lagen om vissa försvarsmaktsanställningar. Tidvis tjänstgörande specialister är anställda som gruppbefäl, soldater och sjömän för tidvis tjänstgöring med stöd av lagen om vissa försvarsmaktsanställningar. De är anställda utifrån sina civila fackkompetenser och består exempelvis av läkare, präster, jurister, tekniker och mekaniker. Därutöver kan personal direktrekryteras och anställas tidsbegränsat för att tjänstgöra i en internationell militär insats med stöd av lagen (2010:449) om Försvarsmaktens personal vid internationella militära insatser eller med stöd av lagen om vissa försvarsmaktsställningar. 4.3.2 Avtalspersonal Personal som inte är anställd inom totalförsvaret utan har tecknat avtal om tjänstgöring i Försvarsmakten benämns avtalspersonal. Hemvärnssoldater är personal som har tecknat avtal om tjänstgöring i hemvärnet med stöd av hemvärnsförordningen (1997:146). Därutöver finns personal som inte är hemvärnssoldater utan som antingen är anställda i Försvarsmakten och krigsplacerade i hemvärnet eller personal som tecknat avtal om tjänstgöring i hemvärnet med stöd av förordningen (1994:524) om frivillig försvarsverksamhet. Det finns också avtalspersonal som har sin befattning i krigsförband som inte ingår i hemvärnet. Avtalspersonal kan även tjänstgöra vid andra myndigheter inom totalförsvaret. Avtalspersonal ska vara medlemmar i en frivillig försvarsorganisation. De frivilliga försvarsorganisationerna finns förtecknade i en bilaga till förordningen om frivillig försvarsverksamhet. 4.4 Verksamheten vid Totalförsvarets rekryteringsmyndighet Totalförsvarets rekryteringsmyndighet är central för personalförsörjningen av totalförsvaret. Myndighetens verksamhet regleras bl.a. i lagen och förordningen om totalförsvarsplikt och förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet. Myndighetens verksamhet när det gäller personuppgiftsbehandlingen av totalförsvarspliktiga regleras i lagen (1998:938) och förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Andra lagar och förordningar som styr myndighetens verksamhet är bl.a. hälso- och sjukvårdslagen (2017:30), patientdatalagen (2008:355) och patientsäkerhetslagen (2010:659). Med utgångspunkt i de regler som styr verksamheten vid Totalförsvarets rekryteringsmyndighet beslutar sedan myndigheten själv om interna och externa föreskrifter för den egna verksamheten. Myndighetens interna bestämmelser om myndighetens arbetsordning (RIB 2016:2) och föreskrifter om totalförsvarsplikt (TRMFS 2017:1) är några exempel. I det följande avsnittet redovisas myndighetens huvudsakliga uppgifter. För att ge en helhetsbild inkluderar redovisningen även i vissa avseenden uppgifter som aktualiseras om regeringen beslutar att aktivera civilplikten. 4.4.1 Mönstring, inskrivning och krigsplacering av totalförsvarspliktiga Mönstringsunderlaget Totalförsvarets rekryteringsmyndighet får enligt förordningen om totalförsvarsplikt årligen uppgifter från Skatteverket om alla svenska medborgare som är folkbokförda i landet och som under året fyller 17 år. Uppgifterna, dvs. namn, personnummer, adress och medborgarskap, registreras i Totalförsvarets rekryteringsmyndighets informationssystem. Under det kalenderår de totalförsvarspliktiga fyller 18 år är de skyldiga att lämna uppgifter om sina personliga förhållanden i ett webbaserat formulär. Uppgifterna sammanställs i det s.k. mönstringsunderlaget. Totalförsvarets rekryteringsmyndighet har till uppgift att informera alla svenska medborgare som under kalenderåret fyller 18 år om skyldigheten att mönstra och fullgöra grundutbildning med värnplikt. Det är också myndighetens ansvar att samla in uppgifterna om de totalförsvarspliktigas personliga förhållanden i mönstringsunderlaget. Mönstring På grundval av uppgifterna i mönstringsunderlaget kallar Totalförsvarets rekryteringsmyndighet de personer som bedöms lämpliga utifrån en samlad bedömning av hur motiverade de är och hur de i övrigt uppfyller kravprofilerna till mönstring. Mönstringen som sker genom att den totalförsvarspliktige personligen inställer sig omfattar medicinska och psykologiska undersökningar samt annan utredning av hans eller hennes personliga förhållanden (2 kap. 3 § lagen om totalförsvarsplikt). Att inte inställa sig till mönstring efter kallelse straffas med penningböter om inte den totalförsvarspliktige har giltiga skäl att utebli (2 kap. 5 § och 10 kap. 1 § lagen om totalförsvarsplikt). Annan utredning En totalförsvarspliktig är även skyldig att lämna uppgifter om hälsotillstånd, utbildning, arbete och personliga förhållanden i övrigt på begäran av en länsstyrelse, Polismyndigheten, Säkerhetspolisen, Försvarsmakten, Post- och telestyrelsen, Trafikverket, Transportstyrelsen, Statens jordbruksverk, Migrationsverket, Statens energimyndighet och Affärsverket svenska kraftnät (4 kap. 5 § andra stycket förordningen om totalförsvarsplikt). På grundval av dessa uppgifter kan en mindre omfattande utredning än mönstring utföras hos nämnda myndigheter. Sådan utredning kallas för annan utredning (2 kap. 1 och 5 §§ lagen om totalförsvarsplikt). Förutsättningarna för annan utredning är att den enskilde ska vara totalförsvarspliktig, dvs. bosatt i Sverige och mellan 16-70 år (1 kap. 2 §). Annan utredning har tidigare tillämpats inom ramen för civilplikten. Om en enskild är intresserad av att genomföra mönstring kan han eller hon själv initiera annan utredning genom att kontakta Totalförsvarets rekryteringsmyndighet eller Försvarsmakten. Han eller hon får då först genomföra webbtester och svara på frågor om bl.a. sin hälsa, utbildningsbakgrund, motivation. Vid godkänt resultat kan den enskilde därefter gå vidare i processen och boka tid för annan utredning med personlig inställelse. Efter att annan utredning är genomförd kan den enskilde, efter beslut från Totalförsvarets rekryteringsmyndighet, genomgå mönstring med stöd av lagen om totalförsvarsplikt. Inskrivning, tjänstgöring och krigsplacering Efter genomförd mönstring eller annan utredning fattar Totalförsvarets rekryteringsmyndighet beslut om den totalförsvarspliktige ska skrivas in eller inte. En totalförsvarspliktig ska skrivas in för värnplikt eller civilplikt eller i en utbildningsreserv om resultatet av mönstringen visar att den totalförsvarspliktige har förutsättningar att fullgöra värnplikt eller civilplikt (3 kap. 1 § lagen om totalförsvarsplikt). Om mönstringen visar att den totalförsvarspliktige saknar förutsättningar att fullgöra värnplikt eller civilplikt, ska Totalförsvarets rekryteringsmyndighet besluta att han eller hon inte är skyldig att fullgöra sådan tjänstgöring (3 kap. 3 §). Vid inskrivningen ska det, för den som skrivs in för värnplikt eller civilplikt, bl.a. bestämmas vilken befattning eller befattningsgrupp han eller hon ska placeras i, tid och plats för utbildningen och utbildningens längd (3 kap. 3 och 5 §§). Inkallelse till tjänstgöring görs av Totalförsvarets rekryteringsmyndighet (5 kap. 6 §). Efter avslutad grundutbildning ska den som förvärvat tillräckliga kunskaper och färdigheter för en krigsuppgift krigsplaceras i en befattning eller i en viss verksamhet som han eller hon är lämplig för (3 kap. 12 §). Beslut om krigsplacering fattas av Totalförsvarets rekryteringsmyndighet efter framställning från statliga myndigheter, kommuner, landsting, bolag, föreningar, samfälligheter, registrerade trossamfund, organisatoriska delar av sådana samfund eller andra enskilda (3 kap. 15 §). Vidare svarar myndigheten för att kalla in totalförsvarspliktig personal till repetitionsutbildning. Myndigheten beslutar också om uppskov med grundutbildning eller repetitionsutbildning (5 kap. 10 §). 4.4.2 Stöd och service till bemanningsansvariga inom totalförsvaret Totalförsvarets rekryteringsmyndighet ansvarar för att myndigheter och andra som har bemanningsansvar inom totalförsvaret får stöd och service i frågor som avser bemanning med totalförsvarspliktiga som skrivs in för värnplikt eller civilplikt. Stöd och service ska lämnas även till de bemanningsansvariga i fråga om totalförsvarspliktigas tjänstgöring och om redovisning av annan personal inom totalförsvaret. Uppdraget omfattar bl.a. bemanningsfrågor, personalplanering inför höjd beredskap och krigsplacering. Tillsammans med Försvarsmakten har Totalförsvarets rekryteringsmyndighet i uppdrag att säkerställa att samtliga krigsförband med tillhörande mobiliseringsreserver är fullt bemannade med krigsplacerad personal. Verksamheten omfattar bl.a. omorganisation och bemanning av krigsorganisationen, kallelse av värnpliktig personal till repetitionsutbildning samt registervård av krigsförband och personal. På uppdrag av Försvarsmakten sköter Totalförsvarets rekryteringsmyndighet registerhållningen och redovisningen av bemanningen av Försvarsmaktens krigsorganisation. Detta är ett löpande arbete för att bemanningen av förbandsorganisationen ska hållas uppdaterad och aktuell för det fall regeringen beslutar om höjd beredskap. Dessutom genomför och ansvarar myndigheten för den årliga omorganisationen av krigsorganisationens bemanning. 4.4.3 Personalredovisning av totalförsvaret Totalförsvarets rekryteringsmyndighet har också till uppgift att redovisa personal som har uppgifter inom totalförsvaret. Myndigheten för därför register över totalförsvarspliktiga som är krigsplacerade med stöd av lagen om totalförsvarsplikt. Registreringen är betydelsefull såtillvida att den säkerställer att ingen totalförsvarspliktig är placerad i flera befattningar i krigsorganisationen. Totalförsvarets rekryteringsmyndighet ger också stöd till myndigheter, kommuner och regioner vid redovisning av annan personal inom totalförsvaret. Myndigheten gör härvid s.k. disponibilitetskontroller, vilket innebär att Totalförsvarets rekryteringsmyndighet kontrollerar att personerna inte är krigsplacerade hos Försvarsmakten eller någon annan myndighet. Efter önskemål registrerar sedan Totalförsvarets rekryteringsmyndighet personerna som krigsplacerade (anställda och avtalspersonal) med stöd av avtal. Totalförsvarets rekryteringsmyndighet genomför också tillsammans med Försvarsmakten, Polismyndigheten, regioner, kommuner och länsstyrelser informationsmöten med myndigheter och organisationer i syfte att lämna den information som är nödvändig för att dessa aktörer ska kunna uppfylla sina skyldigheter när det gäller totalförsvarsplanering. 4.4.4 Uppdragsverksamheten På uppdrag av Försvarsmakten och andra myndigheter bedriver Totalförsvarets rekryteringsmyndighet prövningsverksamhet, dvs. testar, under-söker och bedömer personer för yrken, utbildningar och uppgifter som ställer särskilda krav på den enskilde. Fram till dess att värnplikten återaktiverades bestod en stor del av prövningsverksamheten i att tillhandahålla urvalstester för de rekryter som ansökt till militär utbildning inom Försvarsmakten med stöd av förordningen (2015:613) om militär grundutbildning (jfr 1 § andra stycket förordningen med instruktion för Totalförsvarets rekryteringsmyndighet). Förordningen om militär grundutbildning är vilande sedan den 1 januari 2018. Totalförsvarets rekryteringsmyndighet åtar sig dock och genomför även andra uppdrag för Försvarsmakten. Bland annat gör myndigheten medicinska undersökningar och psykologiska tester och bedömningar av de som sökt till Specialistofficersprogrammet och Officersprogrammet. De sökande har tidigare genomfört värnpliktstjänstgöring eller grundläggande utbildning. Kompletterande prövningar görs också för bl.a. stridsbåtförare, jägare och tolkar. De som sökt till befattningar med särskilda krav undersöks och testas av Totalförsvarets rekryteringsmyndighets medicinska personal och psykologer. Undersökningarna och testerna är anpassade efter de speciella krav som gäller för varje befattning. Därutöver prövar myndigheten personer som söker grundläggande soldatutbildning för internationell tjänstgöring. Det rör sig främst om medicinsk personal som efter uttagning genomför en kortare militär utbildning. På uppdrag av Försvarsmakten testar och undersöker myndigheten även dem som sökt befattning som militärobservatör eller stabspersonal i internationella insatser. Totalförsvarets rekryteringsmyndighet genomför också antagningsprövning av frivillig personal på uppdrag av Försvarsmakten. Totalförsvarets rekryteringsmyndighet utför även uppdrag åt civila myndigheter samt åt kommuner, regioner och enskilda. Uppdragsverksamheten består bl.a. av rekrytering av personal till Polismyndigheten, Myndigheten för samhällsskydd och beredskap, SOS Alarm och Kustbevakningen. Totalförsvarets rekryteringsmyndighets uppdrag är dock bara att tillhandahålla tekniskt stöd åt de civila uppdragsgivarna vid rekryteringsförfarandet och att genomföra medicinska och psykologiska undersökningar och tester. 4.5 Personuppgiftsbehandlingen vid Totalförsvarets rekryteringsmyndighet Ett av Totalförsvarets rekryteringsmyndighets huvudsakliga verksamhetsområden är personalredovisningen, dvs. arbetet med att säkerställa att de bemanningsansvariga myndigheternas krigsorganisationer är fullt bemannade. Myndigheten har även i uppgift att samla in uppgifter till mönstringsunderlaget, mönstra, skriva in och besluta om krigsplacering av totalförsvarspliktiga. Den samlade behandlingen av personuppgifter om totalförsvarspliktiga omfattar en stor del av befolkningen och är en av Sveriges största och mest omfattande. I sin verksamhet behandlar myndigheten följaktligen en mängd personuppgifter, ofta av mycket integritetskänslig karaktär. Behandlingen av personuppgifter om totalförsvarspliktiga utgör alltså en central del i myndighetens verksamhet. Personuppgiftsbehandlingen är inte bara omfattande - myndigheten använder sig också i allt större utsträckning av elektronisk hantering av personuppgifterna. Totalförsvarets rekryteringsmyndighet har behov av att kunna samla in, ta emot, registrera, behandla och lagra uppgifter på elektronisk väg, inte bara för att fullgöra sina uppgifter i form av t.ex. personalredovisning av totalförsvarspliktiga utan även för att kunna redovisa annan personal inom totalförsvaret. Myndigheten har också behov av att kunna behandla personuppgifter elektroniskt för utlämnande till andra myndigheter, inte minst Försvarsmakten, och till totalförsvarspliktiga. Vid den behandling av personuppgifter som sker inom ramen för uppdragsverksamhet som inte avser totalförsvarspliktiga tillämpas numera dataskyddsförordningen och dataskyddslagen. När det gäller den medicinska och psykologiska verksamheten tillämpas patientdatalagen. 5 Regler om personuppgiftsbehandling och enskildas rätt till personlig integritet 5.1 Internationella regleringar 5.1.1 Europeiska unionen Dataskyddsförordningen Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Samma dag antogs Europaparlamentets och rådet direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Dataskyddsförordningen utgör från och med den 25 maj 2018 den generella regleringen av personuppgiftsbehandling inom EU. Dataskyddsförordningen är tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Från dataskyddsförordningens tillämpningsområde undantas bl.a. behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken. Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men innehåller även en del förändringar. Till exempel har den registrerades rättigheter förstärkts i syfte att ge den registrerade ökad kontroll över sina personuppgifter. Den information som ska tillhandahållas den registrerade har preciserats och utvidgats, och den registeransvarige ska tillhandahålla informationen i en begriplig och lättillgänglig form. Förordningen innebär även en förstärkning av rätten att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet. Vidare har en tydligare rätt att "bli bortglömd", dvs. få sina personuppgifter raderade, införts. Genom förordningen har det också införts ett system med administrativa sanktionsavgifter som ska påföras vid vissa typer av överträdelser av förordningen. Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen har också blivit tydligare i förordningen, genom en uttrycklig och direkt tillämplig bestämmelse i artikel 86. Den omständigheten att den nya generella unionsrättsakten om dataskydd är en förordning, och inte ett direktiv, innebär begränsningar av möjligheten att införa eller behålla nationella bestämmelser om dataskydd på områden som faller inom dataskyddsförordningens tillämpningsområde. Dataskyddsförordningen innehåller samtidigt flera bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. I Sverige har de kompletterande bestämmelser som behövs eller är lämpliga och som är av generell karaktär samlats i dataskyddslagen. Dataskyddslagen behandlas ytterligare i avsnitt 5.2.3. Europeiska unionens stadga om de grundläggande rättigheterna Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan) är rättsligt bindande för medlemsstaterna vid tillämpning av unionsrätten. I EU-stadgan anges de sex grundläggande rättigheterna: värdighet, frihet, jämlikhet, solidaritet, medborgarskap och rättvisa. Stadgan innehåller dessutom ytterligare rättigheter t.ex. om personuppgiftsskydd. I artikel 8 anges att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs. Varje begränsning av stadgans fri- och rättigheter ska vara föreskriven i lag och förenlig med det väsentliga innehållet i stadgan. Proportionalitetsprincipen ska beaktas och begränsningar får endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter. 5.1.2 Europarådet Europakonventionen Av artikel 8 i Europakonventionen framgår att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa och moral eller för andra personers fri- och rättigheter. Sedan den 1 januari 1995 gäller konventionen som lag i Sverige. Europarådets dataskyddskonvention Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen, antogs av Europarådets ministerkommitté år 1981 och trädde i kraft den 1 oktober 1985. Samtliga EU:s medlemsstater har ratificerat konventionen. Dataskyddskonventionen innehåller principer för dataskydd som de anslutna staterna måste iaktta i sin nationella lagstiftning. Dataskyddskonventionen syftar till att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad databehandling av personuppgifter. I syfte att modernisera konventionen har en översyn av densamma pågått inom Europarådet. I maj 2018 antogs ett ändringsprotokoll som Sverige har undertecknat. Ändringsprotokollet träder i kraft när det har ratificerats av Europarådets alla 47 medlemsstater. Ändringsprotokollet kan också träda i kraft om det har ratificerats av 38 medlemsstater, men gäller följaktligen då endast för de stater som har ratificerat protokollet. Det grundläggande skyddet vid automatiserad behandling av personuppgifter inom EU regleras i dag främst genom dataskyddsförordningen. Dataskyddskonventionen är dock alltjämt relevant särskilt vid behandling av personuppgifter på områden som faller utanför EU:s kompetensområde, t.ex. allmän säkerhet och försvar. 5.2 Nationell reglering 5.2.1 Regeringsformen Enligt 2 kap. 6 § andra stycket regeringsformen är var och en - utöver vad som anges i första stycket i paragrafen - skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsning av skyddet får enligt 2 kap. 20 § göras genom lag men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 §). I förarbetena framhålls att det är naturligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (En reformerad grundlag, prop. 2009/10:80, s. 183). Konstitutionsutskottet har i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och särskilt känsligt innehåll ska regleras särskilt i lag (se bl.a. bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 43). 5.2.2 Offentlighets- och sekretesslagen Offentlighets- och sekretesslagen (2009:400) innehåller ett flertal bestämmelser om sekretess till skydd för uppgifter om enskildas personliga förhållanden, vilka också medför ett skydd för enskildas personliga integritet. Enligt 21 kap. 7 § gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. 5.2.3 Dataskyddslagen I dataskyddsförordningen finns flera bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. I Sverige finns kompletterande bestämmelser som behövs eller är lämpliga och som är av generell karaktär i dataskyddslagen. Dataskyddslagen med tillhörande förordning trädde i kraft samtidigt som dataskyddsförordningen började tillämpas, dvs. den 25 maj 2018. Enligt 1 kap. 2 § dataskyddslagen ska bestämmelserna i dataskyddsförordningen och dataskyddslagen gälla även i verksamhet utanför unionsrättens tillämpningsområde. Detta innebär att bl.a. behandling av personuppgifter som utgör ett led i en verksamhet som rör nationell säkerhet omfattas av dataskyddsförordningens och datalagens tillämpningsområde. Bestämmelsen gäller dock inte i verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens underrättelseverksamhet och militära säkerhetstjänst, lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet eller 6 kap. polisdatalagen (2010:361) (1 kap. 3 § dataskyddslagen). Dataskyddslagen är subsidiär. Lagens bestämmelser ska alltså inte tillämpas om det finns avvikande bestämmelser i en annan lag eller en förordning. I dataskyddslagen förtydligas bl.a. under vilka förutsättningar personuppgifter får behandlas med stöd av dataskyddsförordningen. Vidare innehåller lagen bestämmelser om bl.a. rapportering av personuppgiftsincidenter, administrativa sanktionsavgifter, begränsningar av de registrerades rättigheter, skadestånd och överklagande. Av 3 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning framgår att Datainspektionen är tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen. Ikraftträdande- och övergångsbestämmelser har införts till dataskyddslagen som innebär att personuppgiftslagen (1998:204) övergångsvis är tillämplig i vissa fall. För Totalförsvarets rekryteringsmyndighet gäller att personuppgiftslagen fortsatt gäller i stället för dataskyddsförordningen och dataskyddslagen i sådan verksamhet som inte omfattas av unionsrätten (punkt 3 i ikraftträdande- och övergångsbestämmelserna till dataskyddslagen). 5.2.4 Särskilda registerförfattningar Syftet med särskilda registerförfattningar är att anpassa skyddet för enskildas personliga integritet vid myndigheters personuppgiftsbehandling när det finns ett behov av att avvika från eller komplettera den generella dataskyddslagstiftningen. Inom olika verksamhetsområden i den offentliga sektorn är det inte ovanligt att myndigheter har särskilda behov som tillgodoses genom att i en registerförfattning ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter. Riksdagen har sedan lång tid tillbaka också gett uttryck för uppfattningen att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag (prop. 1990/91:60 s. 50, KU 1990/91:11 s. 11 och prop. 1997/98:44 s. 41). Det finns ett stort antal lagar om behandling av personuppgifter som gäller i viss verksamhet eller för ett visst register. Exempel på sådana särskilda registerförfattningar är patientdatalagen (2008:355) och domstolsdatalagen (2015:728). Totalförsvarets rekryteringsmyndighets behandling av personuppgifter om totalförsvarspliktiga regleras också i en särskild registerförfattning som beskrivs vidare nedan. 5.2.5 Lagen om behandling av personuppgifter om totalförsvarspliktiga I den verksamhet som Totalförsvarets rekryteringsmyndighet bedriver har det, på grund av verksamhetens särskilda karaktär och hantering av integritetskänsliga uppgifter, ansetts nödvändigt att reglera behandlingen av personuppgifter om totalförsvarspliktiga i en särskild lag, lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga. Lagen kompletteras av bestämmelser i förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga. Om inget annat följer av lagen eller av föreskrifter som meddelats med stöd av lagen, tillämpas personuppgiftslagen vid behandling av personuppgifter om totalförsvarspliktiga (4 §). Enligt 1 § första stycket lagen om behandling av personuppgifter om totalförsvarspliktiga tillämpas lagen vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Totalförsvarets rekryteringsmyndighet bedriver för att 1. ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, 2. redovisa personal med uppgifter inom totalförsvaret, 3. säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret, 4. se till att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten, 5. tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig, och 6. planera, följa upp och utvärdera den verksamhet som anges i 1-5. Lagen gäller även i verksamhet som bedrivs av någon annan än Totalförsvarets rekryteringsmyndighet om det särskilt anges. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 § andra och tredje styckena). Med totalförsvarspliktiga jämställs vid tillämpningen av lagen personer som har en skyldighet att fullgöra en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten grundar sig på totalförsvarsplikt (2 §). I 5 § anges att personuppgifter som samlats in av Totalförsvarets rekryteringsmyndighet ska anses insamlade för de ändamål som anges i 1 § första stycket om inte myndigheten vid insamlingen uttryckligen angett att den sker för andra ändamål. Motsvarande gäller vid Totalförsvarets rekryteringsmyndighets behandling av uppgifter som annan myndighet samlat in. Känsliga personuppgifter får som huvudregel endast behandlas om det är nödvändigt för de i lagen angivna ändamålen (6 §). Detsamma gäller även kommuner, landsting och statliga myndigheter om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt (s.k. annan utredning enligt 2 kap. 5 § samma lag). Av 7 § följer att Totalförsvarets rekryteringsmyndighet är personuppgiftsansvarig för den behandling av personuppgifter om totalförsvarspliktiga som myndigheten utför. I likhet med andra äldre registerförfattningar innehåller lagen om behandling av personuppgifter om totalförsvarspliktiga bestämmelser om registerinnehåll, dvs. vilka kategorier av uppgifter och personer som får behandlas. I 8 § anges att i det automatiserade registret över totalförsvarspliktiga får personuppgifter föras in endast om den som i) är eller har varit aktuell för mönstring eller annan utredning, ii) genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret, iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret, iv) av en redan registrerad uppgetts som närstående, eller v) nämns bland de uppgifter som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret. Därutöver får personuppgifter registreras om den som fattat beslut eller handlagt ärende som rör den registrerade hos Totalförsvarets rekryteringsmyndighet eller hos någon annan som utfört annan utredning. Detsamma gäller personuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring inom totalförsvaret (8 § tredje stycket). I 9 § anges uttömmande vilka personuppgifter som får föras in i registret, bl.a. personnummer eller samordningsnummer, namn, adress, telefonnummer, folkbokföringsort, boende- och familjeförhållanden, utbildning, anställning, fysisk och psykisk hälsa och förmåga. Andra känsliga personuppgifter än sådana uppgifter som rör hälsa eller religiös övertygelse får inte föras in i registret. Uppgifter om religiös övertygelse får endast registreras om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänstgöring inom totalförsvaret (9 § andra stycket). Därutöver får beslut som rör totalförsvarsplikten liksom tidpunkter och tidsperioder för registrerade förhållanden samt erforderliga administrativa och tekniska uppgifter registreras (10 § första stycket). I 10 § andra och tredje stycket anges begränsningar i fråga om vilka uppgifter som får registreras för vissa i 8 § särskilt angivna personer. Regeringen får också meddela föreskrifter om ytterligare begränsningar av vad som får föras in i det automatiserade registret över totalförsvarspliktiga enligt 8 och 9 §§ (11 §). Enligt 12 § har Totalförsvarets rekryteringsmyndighet direktåtkomst till det automatiserade registret över totalförsvarspliktiga. Regeringen får meddela föreskrifter om att annan får ha direktåtkomst till registret. Regeringen får även meddela föreskrifter om att annan än Totalförsvarets rekryteringsmyndighet får föra in personuppgifter i registret och rätta dessa (13 §). I förordningen om behandling av personuppgifter om totalförsvarspliktiga anges vilka myndigheter m.fl. som får medges direktåtkomst, föra in och rätta uppgifter i registret. I lagen finns bestämmelser om förbud mot vissa särskilt angivna sökbegrepp. Enligt 14 § första stycket får personuppgifter som avses i 9 § första stycket 2 och 3 samt 5-9 inte användas som sökbegrepp annat än om det behövs för tillsyn, uppföljning eller utvärdering av Totalförsvarets rekryteringsmyndighets verksamhet eller för framtagande av material för forskning eller statistik. Det innebär att uppgift om hinder för genomförande av mönstring eller annan utredning, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning inte får användas som sökbegrepp. Inte heller uppgift om boende- och familjeförhållanden och försörjning får enligt nuvarande reglering användas som sökbegrepp. Detsamma gäller uppgifter om resultat från kunskapsprov och anlagstester som utförts vid mönstring eller annan utredning. Uppgift om fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav faller också utanför vad som är tillåtet att använda som sökbegrepp. Som sökbegrepp får vidare inte användas uppgifter om den registrerade är svensk medborgare eller inte, utgången i mål om ansvar för brott mot totalförsvarsplikten eller att den registrerade har dömts till påföljd för brott som framgår av uppgift ur belastningsregistret. Slutligen får inte heller uppgift om att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (2018:585), vilken säkerhetsklass prövningen avsett och resultatet av denna användas som sökbegrepp. I 15 § finns en bestämmelse om gallring. En personuppgift i det automatiserade registret över totalförsvarspliktiga ska gallras så snart uppgiften inte längre behövs för de i lagen angivna ändamålen. Personuppgifter beträffande den som i) är eller har varit aktuell för mönstring eller annan utredning, ii) genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret, eller iii) ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret, ska gallras senast vid utgången av det kalenderår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Regeringen får meddela föreskrifter om kortare tid för gallring och undantag från skyldigheten att gallra personuppgifter i fråga om bevarande av material för forskningens behov. Sådana uppgifter ska dock avföras från registret vid den tidpunkt de annars skulle ha gallrats. Bestämmelserna i personuppgiftslagen om Datainspektionens befogenheter att meddela förbud mot att behandla personuppgifter är inte tillämpliga vid personuppgiftsbehandling om totalförsvarspliktiga i Totalförsvarets rekryteringsmyndighets verksamhet. I 17 § anges att tillsynsmyndigheten enligt personuppgiftslagen inte får förbjuda Totalförsvarets rekryteringsmyndighet att behandla personuppgifter om totalförsvarspliktiga. Däremot gäller personuppgiftslagens bestämmelser om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, även då personuppgifter har behandlats i strid med lagen eller föreskrifter som utfärdats med stöd av lagen (18 §). Även personuppgiftslagens bestämmelser om skadestånd är tillämpliga då personuppgifter har behandlats i strid med lagen (19 §). 6 Allmänna utgångspunkter för en ny reglering 6.1 En ny lag införs och lagen om behandling av totalförsvarspliktiga upphävs Regeringens förslag: Lagen om behandling av personuppgifter om totalförsvarspliktiga upphävs och en ny lag införs. Utredningens förslag överensstämmer med regeringens. Remissinstanserna tillstyrker förslaget eller har inga synpunkter på det. Skälen för regeringens förslag Ett starkt och hållbart skydd för den personliga integriteten Av 2 kap. 6 § andra stycket regeringsformen följer att enskilda är gentemot det allmänna skyddade mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Beträffande begreppet kartläggning anges följande i förarbetena till bestämmelsen (prop. 2009/10:80 s. 180). En åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, exempelvis insamling av uppgifter av visst slag för beslut om t.ex. beskattning eller liknande, kan - även om avsikten inte är att kartlägga enskilda - i många fall anses innebära kartläggning av enskildas förhållanden. Så torde fallet vara i fråga om ett stort antal uppgiftssamlingar som det allmänna förfogar över. Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen är avsedd att endast omfatta vissa kvalificerade intrång i den personliga integriteten. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det naturligt att stor vikt läggs vid uppgifternas karaktär och ändamålet med behandlingen. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Därutöver kan även mängden uppgifter vara en betydelsefull faktor i sammanhanget. Även omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse. Det kan också beaktas på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnande uppgifter (prop. 2009/10:80 s. 183 f.). I Totalförsvarets rekryteringsmyndighets verksamhet behandlas ett stort antal personuppgifter som avser en stor andel av den svenska befolkningen. Ändamålet med behandlingen av personuppgifter avser bl.a. att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal inom totalförsvaret. Insamlingen av personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet baseras på en skyldighet för den enskilde att lämna dessa och de personuppgifter som samlas in är i många fall av integritetskänsligt slag. Även om syftet med personuppgiftsbehandlingen i Totalförsvarets rekryteringsmyndighets verksamhet inte är att kartlägga enskilda utan att kunna fatta beslut enligt lagen om totalförsvarsplikt, gör regeringen bedömningen att en stor del av den personuppgiftsbehandling som behöver ske i Totalförsvarets rekryteringsmyndighets verksamhet ändå utgör en sådan kartläggning av den enskildes förhållanden som innebär ett betydande intrång i den personliga integriteten i den mening som avses i regeringsformens bestämmelse om integritetsskydd. Detta skydd mot integritetsintrång kan begränsas i lag under förutsättning att begränsningen görs för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap. 20 § första stycket 2 och 21 § regeringsformen). Det är av grundläggande betydelse i ett demokratiskt samhälle att Totalförsvarets personalförsörjning kan tillgodoses. Totalförsvarets rekryteringsmyndighet är central för personalförsörjningen av totalförsvaret. För att myndigheten ska kunna fullgöra sitt uppdrag behöver den i sin verksamhet kunna behandla personuppgifter i den omfattning som beskrivs ovan. Detta kan inte ske på ett mindre ingripande sätt. Det är därmed fråga om en sådan begränsning av 2 kap. 6 § regeringsformen som är proportionerlig och nödvändig för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle. Detta innebär att de grundläggande bestämmelserna för behandlingen av personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet, liksom i dag, bör regleras i lag. Samtidigt är det enligt regeringens mening olämpligt att tynga lagen med alltför detaljerade bestämmelser. Lagregleringen avseende Totalförsvarets rekryteringsmyndighets verksamhet bör därför kompletteras med bestämmelser som meddelas i förordning. De föreskrifter som regeringen meddelar får dock inte falla inom det grundlagsskyddade området som kräver lagform för begränsningar av integritetsskyddet. En ny lag bör införas Sedan den 25 maj 2018 gäller dataskyddsförordningen och dataskyddslagen i Sverige. Dataskyddsförordningens och dataskyddslagens bestämmelser är dock inte utformade för just den personuppgiftsbehandling som behöver utföras vid Totalförsvarets rekryteringsmyndighet. Det finns t.ex. inga bestämmelser som mer precist reglerar vilka personuppgifter som får behandlas i verksamheten, för vilka ändamål personuppgifter får behandlas eller vad som gäller i fråga om direktåtkomst. Behandlingen av personuppgifter om totalförsvarspliktiga behöver därför regleras i en särskild lag. Den nu gällande lagen om behandling av personuppgifter om totalförsvarspliktiga tillkom 1998 och har endast ändrats ett fåtal gånger sedan dess. Regleringen behöver moderniseras så att Totalförsvarets rekryteringsmyndighet har möjlighet att bedriva sin verksamhet och behandla personuppgifter på ett effektivt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses. För att åstadkomma detta bör en ny lag införas och lagen om behandling av personuppgifter om totalförsvarspliktiga upphävas. 6.2 Lagens namn Regeringens förslag: Den nya lagen ska heta totalförsvarsdatalag. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Försvarets radioanstalt anser att det kan ifrågasättas om inte den nya författningen borde heta lagen om behandling av personuppgifter vid Totalförsvarets rekryteringsmyndighet med hänsyn till att totalförsvaret inrymmer mer än Totalförsvarets rekryteringsmyndighets verksamhet. Övriga remissinstanser har inga synpunkter på förslaget. Skälen för regeringens förslag: All automatisk behandling av personuppgifter om totalförsvarspliktiga i Totalförsvarets rekryteringsmyndighets verksamhet regleras i dag i lagen om behandling av personuppgifter om totalförsvarspliktiga. Den nuvarande regleringen omfattar dock inte enbart totalförsvarspliktiga, även om huvuddelen av den personuppgiftsbehandling som myndigheten utför avser totalförsvarspliktiga. Inte heller den nu föreslagna lagen omfattar endast totalförsvarspliktiga. Även personuppgifter som rör annan personal inom totalförsvaret kommer att omfattas av den nya regleringen (se avsnitt 7.2). Namnet totalförsvarsdatalag täcker in den behandling av personuppgifter som omfattas av lagen, dvs. behandling av personuppgifter om totalförsvarspliktiga och annan personal som har en uppgift inom totalförsvaret vid höjd beredskap. Försvarets radioanstalt anser att det kan ifrågasättas om inte den nya författningen borde heta lagen om behandling av personuppgifter vid Totalförsvarets rekryteringsmyndighet med hänsyn till att totalförsvaret inrymmer mer än myndighetens verksamhet. Den nya regleringen omfattar visserligen huvudsakligen behandling av personuppgifter vid Totalförsvarets rekryteringsmyndighet. Regleringen omfattar dock även bemanningsansvarigas behandling av känsliga personuppgifter vid annan utredning enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt samt Försvarsmaktens behandling av personuppgifter när den myndigheten genom direktåtkomst i Totalförsvarets rekryteringsmyndighets informationssystem behandlar personuppgifter. Vidare faller viss personuppgiftsbehandling vid Totalförsvarets rekryteringsmyndighet utanför den nya lagens tillämpningsområde (se vidare avsnitt 7.3). Genom namnet totalförsvarsdatalag markeras att lagen enbart innehåller bestämmelser av dataskyddsrättslig karaktär. Regeringen anser vid en sammanvägd bedömning att det lämpligaste namnet på den nya lagen är totalförsvarsdatalag. 6.3 Förhållandet till annan reglering Regeringens förslag: I lagen införs en bestämmelse som anger att vid behandling av personuppgifter enligt denna lag gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår även att en upplysningsbestämmelse införs som anger att den nya lagen kompletterar dataskyddsförordningen. Remissinstanserna: Datainspektionen anser att förhållandet till annan dataskyddsreglering är otydligt utformat i lagförslaget. Datainspektionen föreslår att 4 § totalförsvarsdatalagen i stället ska föreskriva att dataskyddsförordningen jämte dataskyddslagen gäller vid behandling av personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen. För de särskilda områden där dataskyddslagen och dataskyddsförordningens regler ska gälla uttömmande efterlyser Datainspektionen en direkt hänvisning. Övriga remissinstanser tillstyrker förslaget eller har inga synpunkter på det. Skälen för regeringens förslag: Totalförsvarets rekryteringsmyndighets behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret syftar till att tillgodose det svenska totalförsvarets behov av personal samt att möjliggöra redovisning av dessa. Regeringen bedömer att dataskyddsförordningen inte gäller i den delen av Totalförsvarets rekryteringsmyndighets verksamhet. Genom bestämmelsen i 1 kap. 2 § dataskyddslagen har dock dataskyddsförordningens tillämpningsområde utsträckts till att även omfatta personuppgiftsbehandling på bl.a. försvarsområdet. Såväl dataskyddslagen som dataskyddsförordningen är därmed tillämpliga i hela Totalförsvarets rekryteringsmyndighets verksamhet. Om en annan lag eller förordning innehåller någon bestämmelse som avviker från dataskyddslagen, ska dock den bestämmelsen tillämpas (1 kap. 6 § dataskyddslagen). Vare sig dataskyddsförordningen eller dataskyddslagen utgör således något rättsligt hinder mot att införa en helt fristående reglering som inte är anpassad till den EU-rättsliga regleringen eller dataskyddslagen. Dataskyddsförordningens och dataskyddslagens bestämmelser är dock i stor utsträckning relevanta för Totalförsvarets rekryteringsmyndighets verksamhet. Tillräckliga skäl för att införa en helt fristående reglering för den här delen av Totalförsvarets rekryteringsmyndighets verksamhet har inte framkommit. I stället bör den nya regleringen av behandling av personuppgifter inom Totalförsvarets rekryteringsmyndighets verksamhet i viss mån anpassas till dataskyddsförordningen och dataskyddslagens bestämmelser. Vid Totalförsvarets rekryteringsmyndighets behandling av personuppgifter kommer alltså dataskyddslagen - och därmed också dataskyddsförordningen att gälla, med undantag för de fall då avvikelser som regleras i den nu föreslagna lagen är befogade på grund av verksamhetens särskilda karaktär. En bestämmelse bör införas som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Datainspektionen anför att det för de särskilda områden där dataskyddslagen och dataskyddsförordningens regler ska gälla uttömmande bör finnas en direkt hänvisning i den nya lagen. Vid behandling av personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet kommer dataskyddsförordningen och dataskyddslagen i stor utsträckning att gälla. Vid dessa förhållanden anser regeringen att det inte är motiverat att i den nya lagen uttryckligen hänvisa till vissa bestämmelser i vare sig dataskyddsförordningen eller dataskyddslagen. 7 Lagens syfte och tillämpningsområde 7.1 Lagens syfte Regeringens förslag: Syftet med lagen ska vara att ge Totalförsvarets rekryteringsmyndighet möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett ändamålsenligt sätt samt att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår en annan utformning av bestämmelsen. Remissinstanserna: Uppsala universitet delar utredningens förslag. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Totalförsvarets rekryteringsmyndighets verksamhet medför ett behov av omfattande behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret och i många fall rör behandlingen känsliga personuppgifter. Samtidigt kan en sådan behandling innebära en risk för intrång i den enskildes personliga integritet. Skyddet för den personliga integriteten måste därför värnas genom bestämmelserna i lagen. Vid utformningen av lagen måste således både kravet på att Totalförsvarets rekryteringsmyndighets verksamhet ska kunna bedrivas på ett ändamålsenligt sätt och skyddet för den personliga integriteten beaktas. Bestämmelserna i lagen har till syfte att balansera båda dessa intressen. Syftet med lagen är därför dubbelt, vilket bör komma till tydligt uttryck i lagen. 7.2 Lagens tillämpningsområde Regeringens förslag: Lagen ska tillämpas i Totalförsvarets rekryteringsmyndighets verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal som har en skyldighet att fullgöra en uppgift inom totalförsvaret vid höjd beredskap. I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Totalförsvarets rekryteringsmyndighet. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår delvis en annan utformning av bestämmelsen. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Verksamhet som ska omfattas av lagen Totalförsvarets rekryteringsmyndighet ansvarar för att myndigheter och andra som har bemanningsansvar inom totalförsvaret får stöd och service i frågor som avser bemanning med totalförsvarspliktiga som skrivs in för värnplikt eller civilplikt. Stöd och service ska lämnas även till de bemanningsansvariga i fråga om totalförsvarspliktigas tjänstgöring och om redovisning av annan personal inom totalförsvaret. Myndigheten ska vidare utföra uppgifter med stöd av lagen om totalförsvarsplikt, såsom genomföra utredningar om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga. Vidare ska Totalförsvarets rekryteringsmyndighet särskilt ansvara för att information om vad lagen (1994:1809) om totalförsvarsplikt innebär sprids till den som skriftligen lämnar uppgifter enligt 2 kap. 1 § lagen om totalförsvarsplikt. Det innebär att det är myndighetens uppgift att informera alla 18-åringar om skyldigheten att lämna uppgifter om hälsa, utbildning och andra personliga förhållanden i beredskapsunderlaget. Myndigheten ska också informera om skyldigheten att genomgå mönstring och fullgöra grundutbildning med värnplikt. Samtliga dessa uppgifter i Totalförsvarets rekryteringsmyndighets verksamhet bör i likhet med gällande regelverk, omfattas av den nya lagens tillämpningsområde. Personalkategorier som ska omfattas av lagen Nuvarande reglering omfattar behandling av personuppgifter om totalförsvarspliktiga i Totalförsvarets rekryteringsmyndighets verksamhet (1 § lagen [1998:938] om behandling av personuppgifter om totalförsvarspliktiga). Med totalförsvarspliktiga jämställs personer som har en skyldighet att fullgöra uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten grundar sig på totalförsvarsplikt (2 §). Totalförsvarspliktiga är samtliga svenska medborgare - och de som utan att vara svenska medborgare är bosatta i Sverige - som är 16-17 år (se avsnitt 4.2 för en närmare beskrivning av totalförsvarspliktens innebörd). Med benämningen personer som har en skyldighet att fullgöra uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten grundar sig på totalförsvarsplikt avses annan personal inom totalförsvaret, dvs. anställd personal och avtalspersonal där tjänstgöringsskyldigheten har sin grund i det anställningsavtal eller annat avtal som ingåtts med Försvarsmakten, annan arbetsgivare eller någon annan. Tjänstgöringen grundar sig således på det ingångna avtalet och inte på totalförsvarsplikt. Till annan personal inom totalförsvaret hör även personer med begränsade uppgifter, t.ex. enligt förfogandelagstiftningen (se vidare avsnitt 4.3). Totalförsvarets rekryteringsmyndighets verksamhet förutsätter även fortsättningsvis att myndigheten kan behandla personuppgifter om både totalförsvarspliktiga och annan personal inom totalförsvaret. Mot denna bakgrund bör lagens tillämpningsområde omfatta myndighetens behandling av personuppgifter om såväl totalförsvarspliktiga som annan personal inom totalförsvaret. Utanför lagens tillämpningsområde faller bl.a. den prövningsverksamhet som Totalförsvarets rekryteringsmyndighets verksamhet utför på uppdrag av andra myndigheter (se vidare avsnitt 4.4.4). För att tydliggöra att annan personal inom totalförsvaret inte omfattar personer som Totalförsvarets rekryteringsmyndighet testar inom ramen för den verksamheten bör det av lagen framgå att dess tillämpningsområde endast tar sikte på Totalförsvarets rekryteringsmyndighets verksamhet i fråga om totalförsvarspliktiga och annan personal som har en skyldighet att fullgöra en uppgift inom totalförsvaret vid höjd beredskap. Andra aktörer som ska omfattas av lagen Enligt 1 § andra stycket lagen om behandling av personuppgifter om totalförsvarspliktiga gäller lagen även i verksamhet som bedrivs av någon annan än Totalförsvarets rekryteringsmyndighet i de fall det särskilt anges i lagen. En sådan bestämmelse finns i 6 § andra stycket där det föreskrivs att kommuner, landsting och statliga myndigheter får behandla känsliga personuppgifter om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen om totalförsvarsplikt. Vilka statliga myndigheter som bestämmelsen i 2 kap. 1 § omfattar framgår av 4 kap. 5 § andra stycket förordningen (1995:238) om totalförsvarsplikt. Som redogörs för under avsnitt 4.4.1 tillämpar Försvarsmakten bestämmelsen i 2 kap. 1 § lagen om totalförsvarsplikt i förhållande till enskilda som frivilligt ansöker om att genomgå annan utredning. I övrigt torde bestämmelsen främst bli tillämplig för det fall regeringen beslutar om att aktivera civilplikten. Någon anledning till att inskränka eller utvidga den krets av aktörer som i dessa avseenden ska tillämpa den nya lagen i förhållande till vad som gäller enligt nuvarande regleringar har inte kommit fram. En bestämmelse som motsvarar den i 6 § andra stycket lagen om behandling av personuppgifter om totalförsvarspliktiga bör därför föras in i den nya lagen, se vidare avsnitt 10.1. Den nya lagen är också tillämplig när Försvarsmakten för in och rättar personuppgifter med stöd av den föreslagna bestämmelsen i 14 § totalförsvarsdatalagen, se vidare avsnitt 16. En översyn av Försvarsmaktens personuppgiftsbehandling Den 27 april 2017 beslutade regeringen att tillkalla en särskild utredare med uppdrag att göra en översyn av den lagstiftning som gäller för personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt. I juli 2018 överlämnade utredningen betänkandet Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63). Enligt utredningens förslag beträffande Försvarsmakten ska bl.a. viss särskilt angiven verksamhet hos myndigheten även fortsatt regleras i en heltäckande och självständig lag. Vidare föreslås ett vidgat tillämpningsområde för vilken verksamhet hos Försvarsmakten som ska omfattas av den nya regleringen. Betänkandet har remissbehandlats och bereds inom Regeringskansliet. Regeringen avser således återkomma beträffande regleringen av Försvarsmaktens behandling av personuppgifter. 7.3 Personuppgiftsbehandling som inte omfattas av den nya lagen Regeringens förslag: En upplysningsbestämmelse införs om att patientdatalagen gäller vid sådan behandling av personuppgifter som Totalförsvarets rekryteringsmyndighet utför i egenskap av vårdgivare inom hälso- och sjukvården. Utredningens förslag överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Totalförsvarets rekryteringsmyndighets personuppgiftsbehandling Genom den begränsning av den nya lagens tillämpningsområde som föreslås i föregående avsnitt kommer viss behandling av personuppgifter hos Totalförsvarets rekryteringsmyndighet att falla utanför tillämpningsområdet. Det gäller de typer av behandlingar som redovisas i det följande. Totalförsvarets rekryteringsmyndighets behandling av personuppgifter för rent administrativa ändamål. Det kan vara fråga om behandling av personuppgifter om anställda vid myndigheten, arbetssökande eller leverantörer. Det finns inte något behov av en särreglering för sådan behandling av personuppgifter. För behandling av uppgifter som rör administrativa frågor är dataskyddsförordningen och dataskyddslagen tillämpliga fullt ut. Behandling av personuppgifter om rekryter som genomgår utbildning enligt förordningen (2015:613) om militär grundutbildning faller också utanför lagens tillämpningsområde. Först när rekryterna anställs, krigsplaceras eller tecknar avtal om frivillig tjänstgöring inom totalförsvaret omfattas de av den föreslagna lagens tillämpningsområde. Detsamma gäller officersaspiranter som genomgår antingen utbildning vid Försvarshögskolan som leder till officersexamen eller en grundläggande officersutbildning inom Försvarsmakten. Inte heller personer som söker grundläggande soldatutbildning för internationell tjänstgöring eller befattningar som militärobservatör eller stabspersonal i internationella insatser omfattas. Utanför lagens tillämpningsområde faller också Totalförsvarets rekryteringsmyndighets uppdragsverksamhet i förhållande till civila myndigheter som rör rekrytering till bl.a. Polismyndigheten och Kriminalvården. Patientdatalagen (2008:355) gäller vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § patientdatalagen). Av 1 kap. 3 § patientdatalagen framgår att med vårdgivare avses även statlig myndighet i fråga om sådan hälso- och sjukvård som myndigheten har ansvar för. Typiskt för de statliga vårdgivarna är att hälso- och sjukvård inte utgör deras kärnverksamhet utan bedrivs parallellt med annan verksamhet. Patientdatalagen gäller i de fallen endast i den del av verksamheten som innefattar sådan hälso- och sjukvård som avses i patientdatalagen. Universitet, högskolor, Statens institutionsstyrelse, Kriminalvården och Totalförsvarets rekryteringsmyndighet är exempel på myndigheter som bedriver sådan hälso- och sjukvård (prop. 2007/08:126 s. 50). Vid personuppgiftsbehandling som Totalförsvarets rekryteringsmyndighet utför i egenskap av vårdgivare inom hälso- och sjukvården gäller således patientdatalagen och inte totalförsvarsdatalagen. En upplysningsbestämmelse om detta förhållande bör föras in i den nya lagen. Andra aktörers behandling av personuppgifter Som framgår av föregående avsnitt föreslår regeringen att den nya lagen ska gälla även vid vissa andra aktörers behandling av personuppgifter när det särskilt anges i lagen. Sådan behandling av personuppgifter om totalförsvarspliktiga som andra aktörer utför i sin verksamhet i allmänhet faller utanför lagens tillämpningsområde. Bemanningsansvariga och andra myndigheter m.fl. som lämnar personuppgifter om totalförsvarspliktiga till Totalförsvarets rekryteringsmyndighet eller tar emot sådana uppgifter från myndigheten - i den mån det inte är fråga om direktåtkomst - omfattas således inte av bestämmelserna i den nya lagen. Detsamma gäller exempelvis beträffande Försvarsmaktens mottagande av uppgifter från Totalförsvarets rekryteringsmyndighet vid rekrytering i egen regi. Vid sådan behandling är i stället bestämmelserna i dataskyddsförordningen och dataskyddslagen tillämpliga eller, i förekommande fall, bestämmelser i annan särskild registerförfattning. 7.4 Helt eller delvis automatiserad behandling Regeringens förslag: Lagen ska gälla vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen ska även gälla för annan behandling av personuppgifter som ingår i eller är avsedd att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Utredningens förslag överensstämmer med regeringens. Remissinstanserna kommenterar inte förslaget särskilt. Skälen för regeringens förslag: Av 1 § tredje stycket lagen om behandling av personuppgifter om totalförsvarspliktiga framgår att lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifter ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I artikel 2.1 i dataskyddsförordningen anges tillämpningsområdet som behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Särskilda registerförfattningar har i detta avseende i allmänhet samma tillämpningsområde. En bestämmelse som motsvarar den i nuvarande 1 § tredje stycket lagen om behandling av personuppgifter om totalförsvarspliktiga bör därför föras in. Utformningen av föreslagen bestämmelse skiljer sig något från utredningens föreslag. Skälet för detta är att så långt som möjligt anpassa utformningen till motsvarande bestämmelser i andra registerförfattningar inom dataskyddsförordningens tillämpningsområde. Förslaget är inte avsett att innebära någon ändring i sak i förhållande till utredningens förslag. 8 Personuppgiftsansvar Regeringens förslag: Totalförsvarets rekryteringsmyndighet ska vara personuppgiftsansvarig för den behandling som myndigheten utför. En annan statlig myndighet än Totalförsvarets rekryteringsmyndighet, en kommun eller region är ansvarig för den behandling av personuppgifter som myndigheten, kommunen eller regionen utför med stöd av lagen eller föreskrifter som meddelats i anslutning till lagen. Utredningens förslag överensstämmer delvis med regeringens. Utredningens förslag anger inte att även andra aktörer är personuppgiftsansvariga för den behandling av personuppgifter som sker enligt lagen. Remissinstanserna kommenterar inte förslaget i sak. Uppsala universitet föreslår en mindre språklig ändring av utredningens förslag. Skälen för regeringens förslag: Av artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Det är således tillåtet enligt dataskyddsförordningen att i nationell lagstiftning peka ut vem som är personuppgiftsansvarig. Den som utför själva behandlingen av personuppgifter bör som huvudregel ha personuppgiftsansvaret. Totalförsvarets rekryteringsmyndighet ska därför vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Genom att införa en bestämmelse i den nya lagen som pekar ut Totalförsvarets rekryteringsmyndighet som personuppgiftsansvarig tydliggörs det för de registrerade att den myndigheten ska hållas ansvarig för behandlingen av personuppgifter som den utför enligt lagen. Ansvaret omfattar Totalförsvarets rekryteringsmyndighets egen personuppgiftsbehandling. Av den föreslagna bestämmelsen i 2 § andra stycket i den nya lagen framgår att lagen i vissa fall även gäller i verksamhet som bedrivs av någon annan än Totalförsvarets rekryteringsmyndighet. Försvarsmakten är t.ex. personuppgiftsansvarig när myndigheten för in personuppgifter i Totalförsvarets rekryteringsmyndighets informationssystem med stöd av den föreslagna bestämmelsen i 14 §. I de fall en statlig myndighet, kommun eller region behandlar personuppgifter med stöd av bestämmelsen i 8 § andra stycket i den nya lagen är den aktören ansvarig för den behandlingen. Nämnda bestämmelse blir dock tillämplig för andra myndigheter än Försvarsmakten endast om regeringen beslutar att aktivera civilplikten enligt lagen om totalförsvarsplikt. Behandling av personuppgifter som med stöd av den nya lagen utförs av någon annan aktör än Totalförsvarets rekryteringsmyndighet kommer således endast att ske i begränsad omfattning. Av tydlighetsskäl bör det dock av lagen framgå att en kommun, region eller statlig myndighet som behandlar personuppgifter med stöd av den nya lagen eller föreskrifter som har meddelats i anslutning till lagen är personuppgiftsansvarig för den behandlingen. 9 Rättslig grund och tillåtna ändamål 9.1 Rättslig grund för behandlingen av personuppgifter Regeringens bedömning: Den personuppgiftsbehandling om totalförsvarspliktiga och annan personal med uppgift inom totalförsvaret vid höjd beredskap som är nödvändig i Totalförsvarets rekryteringsmyndighets verksamhet har sådan rättslig grund som avses i artikel 6.1 dataskyddsförordningen. Utredningens bedömning överensstämmer i sak med regeringens. Remissinstanserna: Datainspektionen efterfrågar en vidare analys av om den nationella rätten uppfyller ett mål av allmänt intresse och är proportionerlig mot de legitima mål som eftersträvas enligt artikel 6.3. Myndigheten anför att för att det ska vara möjligt att ta ställning till om ett visst lagförslag utgör en proportionell åtgärd måste det framgå hur det allmänna intresset har vägts mot integritetsintresset i just detta fall. Enbart ett konstaterande att behandlingen är nödvändig för att myndigheten ska kunna bedriva sin verksamhet och att annan behandling än automatisk behandling är utesluten måste anses vara en relativt summarisk beskrivning av nödvändighetskriteriet i artikel 6.1 e i dataskyddsförordningen. Skälen för regeringens bedömning Dataskyddsförordningens bestämmelser om rättslig grund för behandling av personuppgifter Dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. En uttömmande uppräkning av de rättsliga grunderna finns i artikel 6.1. Personuppgiftsbehandling är enligt bestämmelsen endast laglig om åtminstone ett av följande villkor är uppfyllt: a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Vid behandling av personuppgifter enligt c) rättslig förpliktelse och e) allmänt intresse eller myndighetsutövning, ska dessutom grunden för behandlingen vara fastställd i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3). Det krävs således inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet (prop. 2017/18:105 s. 49). Dataskyddslagens bestämmelser om rättslig grund för behandling av personuppgifter I dataskyddslagen tydliggörs att en rättslig förpliktelse utgör rättslig grund för behandling av personuppgifter enligt artikel 6.1 c i dataskyddsförordningen, om förpliktelsen följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 1 §). Det anges vidare i lagen att en uppgift av allmänt intresse utgör en rättslig grund för behandling av personuppgifter enligt artikel 6. 1 e i dataskyddsförordningen om uppgiften följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (2 kap. 2 § punkt 1) eller är ett led i den personuppgiftsansvariges myndighetsutövning om myndighetsutövningen sker enligt lag eller annan författning (2 kap. 2 § punkt 2). I förarbetena till dataskyddslagen uttalas att den verksamhet som en statlig eller kommunal myndighet bedriver inom ramen för sin befogenhet är av allmänt intresse och att det vanligen är den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som bör tillämpas av myndigheter. Detta utesluter dock inte att andra rättsliga grunder samtidigt kan vara tillämpliga i vissa fall (prop. 2017/18:105 s. 56 f.). När det gäller kravet i artikel 6.3 andra stycket om att grunden för behandlingen enligt led c och e ska vara fastställd i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av betonar regeringen att detta krav inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. I propositionen hänvisas till att legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § regeringsformen, som anger att den offentliga makten utövas under lagarna. Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån den förutsätter behandling av personuppgifter, måste ha stöd av någon av de källor som tillsammans bildar rättsordningen. Det torde inte förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser (prop. 2017/18:105 s. 50). Den rättsliga grunden för Totalförsvarets rekryteringsmyndighets behandling Totalförsvarets rekryteringsmyndighet har bl.a. i uppgift att utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga, lämna stöd till bemanningsansvariga myndigheter m.fl. i frågor som avser bemanning med totalförsvarspliktiga samt redovisa annan personal som har en uppgift inom totalförsvaret vid höjd beredskap. Myndighetens uppgifter i det här avseendet är fastställda i bl.a. lagen (1994:1809) och förordningen (1995:238) om totalförsvarsplikt samt förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet. Den verksamhet som Totalförsvarets rekryteringsmyndighet bedriver är därmed av sådant allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen. Även de rättsliga grunderna i led c (rättslig förpliktelse) och led e (myndighetsutövning) kan vara tillämpliga vid myndighetens behandling av personuppgifter. Regeringen uppfattar att Datainspektionen efterfrågar en djupare analys av nödvändighetsrekvisitet i artikel 6.1. För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b-f måste den vara nödvändig i förhållande till den rättsliga grunden, t.ex. nödvändig för att utföra en uppgift av allmänt intresse. I förarbetena till dataskyddslagen har regeringen utvecklat sin syn på nödvändighetsrekvisitet på följande vis. Enligt Svenska Akademiens ordbok betyder det svenska ordet nödvändig att någonting absolut fordras eller inte kan underlåtas. Det unionsrättsliga begreppet har dock inte denna strikta innebörd. Nödvändighetsrekvisitet i artikel 7 i dataskyddsdirektivet har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Detta synsätt kommer till uttryck i EU-domstolens dom i målet Huber mot Tyskland, som rörde tolkningen av motsvarande nödvändighetsrekvisit i artikel 7 e i direktivet (C-524/06, EU:C:2008:724). EU-domstolen uttalade att en myndighets förande av ett centralt register över uppgifter som redan fanns i regionala register är nödvändigt om det bidrar till att effektivisera tillämpningen av relevanta bestämmelser. Domen bör kunna utgöra stöd även vid tolkningen av dataskyddsförordningen. På motsvarande sätt bör det i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46 f.). Totalförsvarets rekryteringsmyndighets uppdrag att utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga, lämna stöd till bemanningsansvariga myndigheter m.fl. i frågor som avser bemanning med totalförsvarspliktiga samt redovisa annan personal som har en uppgift inom totalförsvaret vid höjd beredskap förutsätter att myndigheten kan behandla personuppgifter. Mängden personuppgifter som myndigheten måste hantera inom ramen för sin verksamhet medför att annan behandling än automatisk i princip är utesluten. Enligt regeringens mening innebär dessa förhållanden att nödvändighetsrekvisitet i artikel 6.1. är uppfyllt. Datainspektionen efterfrågar också en vidare analys av om den nationella rätten uppfyller ett mål av allmänt intresse och är proportionerlig mot de legitima mål som eftersträvas enligt artikel 6.3. Dataskyddsförordningens krav i det här avseendet motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Europakonventionen är inkorporerad i svensk rätt. Det torde vara mycket ovanligt att svensk lagstiftning inte uppfyller Europakonventionens krav. I prop. 2017/18:105 utvecklar regeringen sin bedömning i fråga om myndigheters verksamhet och uppgifter samt innebörden av förordningens krav på proportionalitet (avsnitt 8.2). Utgångspunkten bör därför vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Regeringens slutsats är således att den rättsliga grunden för den personuppgiftsbehandling som utförs av Totalförsvarets rekryteringsmyndighet är genom nu föreslagen lag och i enlighet med vad som anges ovan fastställd i den nationella rätten på ett sådant sätt som krävs enligt dataskyddsförordningen. 9.2 Ändamålsbestämmelser Regeringens förslag: Den nya lagen ska innehålla bestämmelser som anger för vilka ändamål personuppgifter får behandlas med stöd av lagen. Det ska göras en skillnad mellan primära och sekundära ändamål. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen anser att det bör göras tydligare skillnad mellan rättslig grund för behandling och eventuella ändamålsbestämmelser. Datainspektionen anser vidare att de primära och sekundära ändamål som utformats i 7-8 §§ i den nya lagen är så pass allmänt hållna att de snarare måste ses som en del av den rättsliga grunden för behandling av personuppgifter och att rubriken därför bör ändras till "Tillåtna rättsliga grunder för behandling av personuppgifter." Datainspektionen ifrågasätter också relevansen av en kategorisering av primära och sekundära ändamål. Skälen för regeringens förslag Allmänt om ändamålsbestämmelser Personuppgifter ska enligt artikel 5.1 b i dataskyddsförordningen samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Denna ordning kallas för finalitetsprincipen. Ändamålsbestämmelser i författningar som reglerar myndigheters personuppgiftsbehandling är en typ av specifika bestämmelser som syftar till att klargöra för vilka ändamål som myndigheten får behandla uppgifter i sin verksamhet. Sådana bestämmelser är tillåtna enligt artikel 6.3 i dataskyddsförordningen. Ändamålsbestämmelser i registerförfattningar Många registerförfattningar innehåller verksamhetsspecifika ändamålsbestämmelser som anger den yttersta ram inom vilken personuppgifter får behandlas. Det är vanligt att ändamålen delas upp i primära och sekundära. Medan de primära ändamålen avser att tillgodose de behov som finns att behandla personuppgifter i den berörda myndighetens egen verksamhet, reglerar de sekundära ändamålen som regel i vilken utsträckning personuppgifter, som myndigheten samlat in för ett primärt ändamål, får behandlas för andra ändamål än de ursprungliga. Både primära och sekundära ändamålsbestämmelser är förenliga med dataskyddsförordningen (se t.ex. prop. 2017/18:113 s. 18). Precisering av rättslig grund eller ändamålsbestämmelse? När 2016 års dataskyddsdirektiv genomfördes uttalade regeringen att gränsen mellan bestämmelser om rättslig grund för behandling och bestämmelser om ändamål för behandling inte är helt klar. Vad som är bestämmelser om rättsliga grunder och vad som är renodlade ändamålsbestämmelser ansågs ibland ha blandats samman. Det var enligt regeringen därför lämpligt att göra en tydligare skillnad mellan dessa typer av bestämmelser (jfr prop. 2017/18:232 s. 114 f. och prop. 2017/18:269 s. 138 ff.). I bl.a. brottsdatalagen har de primära ändamålsbestämmelserna därför ersatts med bestämmelser om rättslig grund. Bestämmelserna om sekundära ändamål har helt tagits bort. I flera registerförfattningar som har anpassats till dataskyddsförordningen finns systemet med primära och sekundära ändamålsbestämmelser kvar. Som exempel kan nämnas att såväl domstolsdatalagen (2015:728) som kriminalvårdsdatalagen (2018:1235) innehåller både primära och sekundära ändamålsbestämmelser. Den nya lagen bör innehålla primära och sekundära ändamålsbestämmelser Regeringen anser att den nya lagen bör innehålla ändamålsbestämmelser av det slag som förekommer i andra registerförfattningar som har anpassats till dataskyddsförordningen. Därigenom slås det fast vilka ändamål som personuppgifter får behandlas för i Totalförsvarets rekryteringsmyndighets verksamhet. Ändamålsbestämmelserna anger en yttersta ram för behandlingen och tydliggör vilka åtgärder som är tillåtna respektive otillåtna. Regeringen anser att ändamålsbestämmelserna är tillräckligt specifika och tydliga. Regeringen delar därför inte Datainspektionens bedömning att de föreslagna ändamålen utgör den rättsliga grunden och att rubriken närmast föregående de föreslagna bestämmelserna ska ändras. Vidare bör ändamålen, i likhet med andra registerförfattningar på dataskyddsförordningens område utgå från åtskillnaden mellan primära och sekundära ändamål. 9.2.1 Primära ändamål för behandling av personuppgifter Regeringens förslag: En bestämmelse om primära ändamål införs i den nya lagen. Bestämmelsen innebär att personuppgifter får behandlas om det är nödvändigt för att 1. ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, 2. redovisa personal med uppgifter inom totalförsvaret, 3. säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret, 4. se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten, 5. tillgodose den registrerades rättigheter och trygghet i egenskap av totalförsvarspliktig, och 6. fullgöra Totalförsvarets rekryteringsmyndighets serviceskyldighet gentemot bemanningsansvariga organ inom totalförsvaret. Utredningens förslag överensstämmer delvis med regeringens. Enligt utredningens förslag ska personuppgifter få behandlas om det behövs för de uppräknade ändamålen. Utredningen föreslår även att en bestämmelse införs för ändamålet att planera, följa upp och utvärdera den verksamhet som anges i punkterna 1-6. Remissinstanserna: Datainspektionen ser positivt på att den rättsliga grunden ytterligare förtydligas med uppräkningen av Totalförsvarets rekryteringsmyndighets verksamhetsuppgifter. Myndigheten anser även att begreppet "nödvändigt" borde användas i 7 § 1 meningen i stället för "behövs" i syfte att undvika begreppsförvirring. Totalförsvarets rekryteringsmyndighet efterfrågar ett förtydligande om den personuppgiftsbehandling som myndigheten utför i samband med utskick av nyhetsbrev med information om mönstringen som skickas ut till de totalförsvarspliktiga som är kallade till mönstring faller in under det ändamål som anges i 7 § punkt 4 i lagförslaget. Skälen för regeringens förslag: Enligt 1 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga får Totalförsvarets rekryteringsmyndighet behandla personuppgifter för att 1. ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, 2. redovisa personal med uppgifter inom totalförsvaret, 3. säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret, 4. se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten, 5. tillgodose den registrerades rättigheter och trygghet i egenskap av totalförsvarspliktig, och 6. planera, följa upp och utvärdera den verksamhet som anges i 1-5. En stor del av den personuppgiftsbehandling som sker hos Totalförsvarets rekryteringsmyndighet i dag utförs i samband med myndighetens uppgift att utföra utredning om personliga förhållanden, mönstra, skriva in och krigsplacera totalförsvarspliktiga. Även myndighetens behandling av personuppgifter i samband med annan utredning än mönstring omfattas. För dessa ändamål finns således ett behov av att Totalförsvarets rekryteringsmyndighet behandlar personuppgifter om totalförsvarspliktiga. Myndigheten har vidare till uppgift att redovisa personal inom totalförsvaret. Detta innefattar både totalförsvarspliktiga, anställd personal, avtalspersonal och hemvärnssoldater m.fl. inom totalförsvaret. I sin verksamhet ska Totalförsvarets rekryteringsmyndighet inte endast utreda och placera totalförsvarspliktiga inom totalförsvaret. Det åligger myndigheten att också säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret. För detta ändamål måste Totalförsvarets rekryteringsmyndighet löpande behandla och uppdatera personuppgifter. Detta är av särskild vikt för att placera rätt person på rätt plats inom totalförsvaret. Myndigheten behöver vidare behandla personuppgifter för att kalla totalförsvarspliktiga till mönstring och grundutbildning med värnplikt. Inom ramen för detta ändamål behöver myndigheten även pröva andra frågor, exempelvis föreläggande av vite vid utebliven inställelse m.m. Avsikten är att tillförsäkra att totalförsvarspliktiga fullgör sina skyldigheter och åtaganden såvitt avser totalförsvarsplikten enligt gällande reglering. Behandling av personuppgifter är ibland nödvändig för att Totalförsvarets rekryteringsmyndighet ska kunna tillgodose totalförsvarspliktigas rättigheter. Det kan av olika skäl bli aktuellt att befria en totalförsvarspliktig från skyldigheten att tjänstgöra. Rätten till vapenfri tjänstgöring eller uppskov med tjänstgöringen kan göras gällande i vissa fall. Det kan också finnas rätt till olika typer av ersättningar, exempelvis vårdbidrag eller rätt till ekonomiskt bistånd. Det åligger också Totalförsvarets rekryteringsmyndighet att försäkra sig om att en totalförsvarspliktig inte utsätts för onödiga påfrestningar i samband med utredning om dennes personliga förhållanden eller under tjänstgöringen. Även för dessa ändamål finns behov av att Totalförsvarets rekryteringsmyndighet behandlar personuppgifter om den totalförsvarspliktige. Slutligen behöver Totalförsvarets rekryteringsmyndighet även behandla personuppgifter för planering, uppföljning och utvärdering av den ovan nämnda verksamheten. Samtliga ändamål som anges i 1 § lagen om behandling av personuppgifter om totalförsvarspliktiga är berättigade och en behandling av personuppgifter med dessa ändamål som grund är nödvändig för att Totalförsvarets rekryteringsmyndighet ska kunna bedriva en ändamålsenlig och effektiv verksamhet. När det gäller ändamålet under punkt 6: att planera, följa upp och utvärdera den verksamhet som anges i 1-5, har Lagrådet uttalat att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt i registerförfattningar. Det har därför ansetts att det inte behövs någon särskild bestämmelse som ger stöd för behandling av personuppgifter för bl.a. planering och uppföljning av verksamheten (se t.ex. prop. 2004/05:164 s. 179 och prop. 2014/15:63 s. 63). Någon särskild bestämmelse om att sådan behandling är tillåten behövs därför inte i den nya lagen. De ändamål som anges i punkterna 1-5 i nuvarande reglering bör däremot föras in. Totalförsvarets rekryteringsmyndighet utför även uppgifter inom ramen för sin serviceskyldighet, vilken följer av myndighetens instruktion. Myndigheten ger bl.a. stöd och service till myndigheter och andra inom totalförsvaret i en inte obetydlig omfattning. Utöver de ovan nämnda ändamålen, ska det även vara möjligt för Totalförsvarets rekryteringsmyndighet att behandla personuppgifter för att fullgöra myndighetens serviceskyldighet gentemot andra organ inom totalförsvaret. Regeringen delar därför utredningens bedömning att en bestämmelse som möjliggör personuppgiftsbehandling för det ändamålet behöver föras in i den nya lagen. Totalförsvarets rekryteringsmyndighet efterfrågar ett förtydligande om huruvida den personuppgiftsbehandling som myndigheten utför i samband med utskick av nyhetsbrev med information om mönstringen som skickas ut till de totalförsvarspliktiga som är kallade till mönstring faller in under det ändamål som anges i 7 § punkt 4 i lagförslaget. Totalförsvarets rekryteringsmyndighet har till uppgift att informera totalförsvarspliktiga om vad lagen om totalförsvarsplikt innebär, inte minst vad gäller de totalförsvarspliktigas rättigheter och skyldigheter. Detta följer dels av 4 kap. 2 § förordningen om totalförsvarsplikt och dels av 2 § förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet. Behandling av personuppgifter som behövs för att kunna göra utskick av sådan information, bl.a. i form av nyhetsbrev, bör därför falla in under punkt 4 i ändamålsbestämmelsen. Datainspektionen anser vidare att begreppet "nödvändigt" borde användas i 7 § första meningen i stället för "behövs" i syfte att undvika begreppsförvirring. Som konstateras i föregående avsnitt om rättslig grund följer det av dataskyddsförordningen att personuppgiftsbehandling endast får ske om det är nödvändigt för att uppnå ändamålen (artikel 6.1 c och e). Begreppet nödvändigt används också i dataskyddslagen, se 2 kap. 1 och 2 §§, liksom i vissa andra författningar på dataskyddsförordningens område, såsom lagen (2018:1699) om kriminalvårdens behandling av personuppgifter. Kravet på att behandlingen ska vara nödvändig innebär inte att behandlingen ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster. Att behandlingen skulle kunna ske manuellt, utan tekniska hjälpmedel, hindrar normalt inte att en automatiserad behandling kan anses nödvändig (prop. 2017/18:105 s. 189). Regeringen instämmer i Datainspektionens synpunkt att det är lämpligare att använda begreppet nödvändigt även i den nya lagen. Innebörden av begreppet redogörs för i avsnitt 9.1. 9.2.2 Sekundära ändamål för behandling av personuppgifter Regeringens förslag: I den nya lagen införs en bestämmelse som anger att personuppgifter som får behandlas för de primära ändamålen också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. En bestämmelse införs också som anger att personuppgifter som får behandlas för de primära ändamålen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår inte att personuppgifter som får behandlas för de primära ändamålen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Remissinstanserna yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Myndigheter är i vissa fall enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra myndigheter eller utomstående. Enligt 2 kap. 1 tryckfrihetsförordningen har var och en rätt att ta del av allmänna handlingar. En myndighet är därmed skyldig att lämna ut personuppgifter som ingår i allmänna handlingar, om inte sekretess gäller för uppgifterna. Sekretessbrytande uppgiftsskyldighet kan följa av bestämmelser i lag eller förordning (jfr 10 kap. 28 § offentlighets- och sekretesslagen [2009:400]). Enligt 6 kap. 5 § offentlighets- och sekretesslagen ska vidare en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Vidare får enligt 10 kap. 27 § offentlighets- och sekretesslagen en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Personuppgifter som behandlas i Totalförsvarets rekryteringsmyndighets verksamhet lämnas i olika sammanhang ut till andra myndigheter, företrädesvis Försvarsmakten, men även till enskilda. Sker uppgiftslämnandet för syften som gäller Totalförsvarets rekryteringsmyndighets verksamhet, omfattas personuppgiftsbehandlingen genom utlämnandet av de primära ändamål som angetts i föregående avsnitt. Om utlämnandet av uppgifterna i stället sker för mottagarens räkning, krävs att den efterföljande personuppgiftsbehandlingen också är författningsenlig. I sådana fall, dvs. när uppgiftslämnandet är författningsreglerat, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. I lagen bör det införas en sekundär ändamålsbestämmelse som medger att personuppgifter - som behandlas med stöd av något eller några av de primära ändamålen - också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Som utredningen har beskrivit finns det i ett flertal registerförfattningar bestämmelser som anger att behandling av personuppgifter får behandlas även för andra ändamål än de som angetts i författningen, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Denna princip följer av artikel 5.1 b i dataskyddsförordningen. Av artikeln följer vidare att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. Utredningen har gjort bedömningen att något annat rättsligt stöd för vidarebehandling hos myndigheter för arkivändamål av allmänt intresse än det som ges i dataskyddsförordning inte är påkallat och att det saknas behov av att föra in en kompletterande ändamålsbestämmelse i den nya lagen för Totalförsvarets rekryteringsmyndighets egen arkivering av de personuppgifter som behandlas med stöd av lagen. Regeringen bedömer dock att det uttryckligen bör framgå av den nya lagen att personuppgifter får behandlas även för andra ändamål än de som anges i lagen, såsom t.ex. arkiv- eller forskningsändamål. En sådan bestämmelse bör utformas i enlighet med finalitetsprincipen. I den nya lagen bör det således anges att personuppgifter som behandlas för de ändamål som anges i 7 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. 10 Behandling av vissa kategorier av personuppgifter 10.1 Känsliga personuppgifter Regeringens förslag: Känsliga personuppgifter får behandlas i verksamheten endast om det är absolut nödvändigt för de ändamål som anges i 6 och 7 §§. Känsliga personuppgifter får också behandlas om det är absolut nödvändigt vid en utredning om den totalförsvarspliktiges personliga förhållanden som görs enligt 2 kap. 1 § lagen om totalförsvarsplikt av någon annan statlig myndighet än Totalförsvarets rekryteringsmyndighet, en kommun eller region. Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att känsliga personuppgifter får behandlas utöver vad som följer av 3 kap. dataskyddslagen om det är absolut nödvändigt för de ändamål som anges i lagen. Utredningen föreslår i övrigt en annan utformning av bestämmelsen. Remissinstanserna: Datainspektionen förordar att den begränsning av behandling av känsliga personuppgifter som återfinns i 9 § lagen om behandling av personuppgifter om totalförsvarspliktiga kvarstår. Myndigheten anser inte att det är motiverat att ge ett så generellt undantag för behandling av känsliga personuppgifter som utredningen föreslår med hänsyn till att det inte framgår av utredningen att bland annat uppgifter om ras, etniskt ursprung, politiska åsikter eller medlemskap i fackförening är nödvändiga för verksamhetens övergripande uppgifter. Diskrimineringsombudsmannen (DO) har i sitt remissvar hänvisat till det remissvar som ombudsmannen lämnade den 29 augusti 2017 vid remitteringen av betänkandet Ny dataskyddslag, Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39), Ju2017/04264/L6. I det remissvaret anser DO att myndigheters möjlighet till behandling av känsliga personuppgifter i enstaka fall ska begränsas särskilt. DO har inga invändningar mot förslaget om möjligheten för Totalförsvarets rekryteringsmyndighet att behandla känsliga personuppgifter när det är absolut nödvändigt. Övriga remissinstanser instämmer i utredningens förslag eller kommenterar det inte särskilt. Skälen för regeringens förslag Dataskyddsförordningen och dataskyddslagen Känsliga personuppgifter är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Som känsliga personuppgifter räknas även genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Detta framgår av artikel 9.1 i dataskyddsförordningen. Utgångspunkten är att känsliga personuppgifter inte får behandlas (artikel 9.1 i dataskyddsförordningen). Undantag från huvudregeln finns dock i artikel 9.2 i förordningen. För myndigheter är artikel 9.2 g av särskilt intresse. I artikeln anges att känsliga personuppgifter får behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I 3 kap. 3 § dataskyddslagen har det införts en generell bestämmelse som kompletterar artikel 9.2 g. Enligt bestämmelsen får en myndighet behandla känsliga personuppgifter med stöd av undantaget i artikeln om 1) uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, 2) behandlingen är nödvändig för handläggningen av ett ärende, eller 3) i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Även artikel 9.2 j i dataskyddsförordningen är av betydelse för myndigheter. I artikeln anges att känsliga personuppgifter under vissa förutsättningar får behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Enligt 3 kap. 6 dataskyddslagen får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Enligt 3 kap. 7 § dataskyddslagen får känsliga personuppgifter behandlas med stöd av artikel 9.2 j i dataskyddsförordningen om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Dataskyddslagen är subsidiär i förhållande till andra lagar och förordningar. Det går därför att införa bestämmelser som tillåter att myndigheter behandlar känsliga personuppgifter även i andra fall eller under andra förutsättningar än de som anges i dataskyddslagen, under förutsättning att villkoren i artikel 9.2 g eller någon av de andra punkterna i artikel 9.2 i dataskyddsförordningen är uppfyllda. Sådana avvikande bestämmelser finns i flera registerförfattningar. Lagen om behandling av personuppgifter om totalförsvarspliktiga Enligt 6 § första stycket lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga får känsliga personuppgifter behandlas om det är nödvändigt för de ändamål som anges i 1 § första stycket samma lag. Detsamma gäller även kommuner, landsting och vissa statliga myndigheter om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § andra stycket lagen (1994:1809) om totalförsvarsplikt. I fråga om vilka känsliga personuppgifter som får registreras i det automatiserade registret över totalförsvarspliktiga anges i 9 § andra stycket att andra känsliga personuppgifter än sådana uppgifter som rör hälsa eller religiös övertygelse inte får föras in. Uppgifter om religiös övertygelse får endast registreras om den registrerade har lämnat sitt uttryckliga samtycke till att uppgifterna behandlas i registret och de rör hans eller hennes tjänstgöring inom totalförsvaret. När behöver känsliga personuppgifter kunna behandlas? I Totalförsvarets rekryteringsmyndighets verksamhet förekommer känsliga personuppgifter i stor utsträckning och behandlingen omfattar flera av de kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen. Myndigheten har t.ex. behov av att i stor utsträckning kunna behandla uppgifter om enskildas hälsa. Resultaten från de medicinska och psykologiska undersökningar som genomförs under mönstring är nödvändig information för att myndigheten ska kunna bedöma om kraven för tjänstgöring är uppfyllda. Underlaget är avgörande för att Totalförsvarets rekryteringsmyndighet ska kunna fatta beslut om inskrivning till grundutbildning med värnplikt eller annan tjänstgöring inom totalförsvaret. Även i andra aktörers verksamhet finns det ett behov av att kunna behandla känsliga personuppgifter. Ett sådant behov finns när någon annan myndighet än Totalförsvarets rekryteringsmyndighet, en kommun eller region utför utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen om totalförsvarsplikt. Sådan utredning innebär i likhet med mönstring att de totalförsvarspliktigas personliga förhållanden utreds i syfte att avgöra om den totalförsvarspliktige ska skrivas in för värnplikt eller civilplikt. Det finns därför behov av att i de fallen kunna behandla t.ex. uppgifter om hälsa. Totalförsvarets rekryteringsmyndighet har även behov av att i vissa fall behandla uppgifter om religiös övertygelse för att kunna fatta beslut om tjänstgöring inom totalförsvaret och i förlängningen lämplig befattning för den enskilde. Enligt 10 kap. 8 § punkt 2 lagen om totalförsvarsplikt får Totalförsvarets rekryteringsmyndighet i särskilda fall besluta att en totalförsvarspliktig tills vidare inte ska kallas till mönstring eller inkallas till värnplikt eller civilplikt, om han eller hon med hänvisning till sin anslutning till visst religiöst samfund förklarar att han eller hon inte kommer att fullgöra vare sig värnplikt eller civilplikt. Motsvarande resonemang gör sig gällande i fråga om en enskilds personliga övertygelse om att inte använda vapen. Till följd av detta regleras i 3 kap. 16 § samma lag en rätt för en totalförsvarspliktig att vara vapenfri. Det kan även bli aktuellt för Totalförsvarets rekryteringsmyndighet att behandla andra känsliga personuppgifter än hälsa och religiös övertygelse. Så kan exempelvis bli fallet om en enskild själv, t.ex. i form av ett läkarintyg, lämnar och åberopar andra känsliga personuppgifter för att inte behöva mönstra, tjänstgöra eller inneha viss befattning inom totalförsvaret. I sådant fall råder inte myndigheten över vilka känsliga personuppgifter som kommer till dess kännedom men de måste ändå behandlas av myndigheten vid beslutsfattandet. Vilka personuppgifter som den enskilde själv kan komma att åberopa eller som av annat skäl måste behandlas av Totalförsvarets rekryteringsmyndighet går inte helt att förutse. Vidare finns det ett behov för myndigheten att kunna behandla känsliga personuppgifter för vissa statistikändamål och uppföljning av verksamheten. Det är av vikt att myndigheten fortlöpande kan bevaka att effektiviteten och kvaliteten upprätthålls i verksamheten. Behovet omfattas av ändamålet att planera, följa upp och utvärdera verksamheten. Som redogörs för i avsnitt 9.2.1 anses planering, uppföljning och utvärdering av verksamhet utgöra en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt i registerförfattningar. Någon särskild bestämmelse som ger uttryckligt stöd för behandling av känsliga personuppgifter för det ändamålet behövs därför inte. Slutligen behöver Totalförsvarets rekryteringsmyndighet kunna behandla känsliga personuppgifter för de sekundära ändamål som anges i 8 § i den nya lagen. En bestämmelse om behandling av känsliga personuppgifter bör föras in i den nya lagen. Den föreslagna bestämmelsen utgör en särreglering i förhållande till 3 kap. 3 § dataskyddslagen. Regleringen av behandling av känsliga personuppgifter i totalförsvarsdatalagen Totalförsvarets rekryteringsmyndighets behov av att kunna behandla känsliga personuppgifter i den omfattning som lagen om behandling av personuppgifter om totalförsvarspliktiga medger kvarstår. Detsamma gäller för de övriga statliga myndigheter som t.ex. Försvarsmakten, kommuner och regioner, som har att utreda totalförsvarspliktigas personliga förhållanden med stöd av 2 kap. 1 § lagen om totalförsvarsplikt (se även avsnitt 7.2). Liksom enligt gällande regelverk bör dessa aktörer omfattas av den föreslagna bestämmelsen om behandling av känsliga personuppgifter. En bestämmelse om detta bör därför föras in i lagen. Totalförsvarets rekryteringsmyndighet har vidare ett behov av att kunna behandla känsliga personuppgifter för att fullgöra sin serviceskyldighet gentemot bemanningsansvariga organ inom totalförsvaret och för att fullgöra uppgiftslämnande som sker i överenstämmelse med lag eller förordning. Som det har redogjorts för ovan, är det inte möjligt att helt förutse vilka känsliga personuppgifter som den enskilde själv kan komma att åberopa eller som av annat skäl måste behandlas av Totalförsvarets rekryteringsmyndighet eller de andra aktörer som föreslås omfattas av bestämmelsen. Det finns därför ett behov av att möjligheten att behandla känsliga personuppgifter inte begränsas till att enbart omfatta vissa kategorier av känsliga personuppgifter. Totalförsvarets rekryteringsmyndighet behöver vidare kunna behandla känsliga personuppgifter i olika delar av verksamheten. Bestämmelsen bör därför gälla generellt. Till skillnad mot Datainspektionen anser regeringen därför att det inte bör göras någon åtskillnad för behandling av känsliga personuppgifter i register och i annat sammanhang. Något behov av att, såsom utredningen föreslår, i lagen ange att regeringen kan meddela ytterligare föreskrifter som begränsar användningen av känsliga personuppgifter finns inte. Behandlingen omgärdas av säkerhetsåtgärder Genom det regelverk som regeringen föreslår skyddas den registrerades grundläggande rättigheter och intressen på flera olika sätt när känsliga personuppgifter behandlas. Till en början innebär de föreslagna ändamålsbestämmelserna att utrymmet för att över huvud taget behandla personuppgifter är begränsat. Detta eftersom personuppgifter endast får behandlas om det är nödvändigt för vissa angivna ändamål. Vid sidan av de krav som ställs på den personuppgiftsansvarige enligt dataskyddsförordningen, t.ex. kravet på en lämplig säkerhetsnivå, föreslås att totalförsvarsdatalagen ska innehålla ett flertal bestämmelser om säkerhetsåtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Det föreslås bl.a. att den interna tillgången till personuppgifter hos den aktör som behandlar personuppgifter med stöd av lagen ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (se avsnitt 13). Det föreslås också ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (se avsnitt 11). Inskränkningar i förhållande till gällande reglering föreslås när det gäller möjligheten att medge direktåtkomst till personuppgifter hos Totalförsvarets rekryteringsmyndighet (se avsnitt 14). Bestämmelser om avskiljande av personuppgifter i Totalförsvarets rekryteringsmyndighets informationssystem införs (se avsnitt 20). Därutöver kommer bestämmelser i dataskyddsförordningen och dataskyddslagen om bl.a. tillsyn, skadestånd och överklagande att gälla. Sammantaget bedöms den behandling av känsliga personuppgifter som kommer att ske med stöd av den föreslagna bestämmelsen vara tillåten enligt artikel 9.2 g i dataskyddsförordningen. Behandlingen ska vara absolut nödvändig För att ytterligare förstärka skyddet för den enskildes personliga integritet när känsliga personuppgifter behandlas bör särskilt höga krav ställas på behovet av att uppgifterna behandlas. I flera registerförfattningar anges av denna anledning att känsliga personuppgifter får behandlas bara om det är absolut nödvändigt för ändamålet med behandlingen (se t.ex. 5 § kriminalvårdsdatalagen). För att känsliga personuppgifter ska få behandlas räcker det då inte att behandlingen är nödvändig såsom framgår av dataskyddsförordningen. Behandlingen måste i stället vara absolut nödvändig, vilket innebär att behovet av behandlingen måste prövas noggrant i varje enskilt fall. För att motverka risken för integritetsintrång bör ett krav av detta slag gälla enligt totalförsvarsdatalagen. Det bör alltså införas en bestämmelse som anger att känsliga personuppgifter får behandlas i verksamheten endast om det är absolut nödvändigt för ändamålet med behandlingen. Härigenom kommer behovet av att behandla känsliga personuppgifter behöva prövas särskilt noggrant. Kravet utgör ytterligare en åtgärd till skydd för den registrerades grundläggande rättigheter och intressen. 10.2 Personnummer och samordningsnummer Regeringens bedömning: Bestämmelserna om personnummer och samordningsnummer i dataskyddslagen bör tillämpas vid behandling av personuppgifter enligt totalförsvarsdatalagen. Bestämmelser om personuppgifter och samordningsnummer behöver därför inte föras in i den föreslagna lagen. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna kommenterar inte bedömningen särskilt. Skälen för regeringens bedömning: Bestämmelserna i 3 kap. 10 och 11 §§ dataskyddslagen om personnummer och samordningsnummer motsvarar 22 § och delvis 50 § c personuppgiftslagen (1998:204) som Totalförsvarets rekryteringsmyndighet tillämpar i dag. En tillämpning av bestämmelserna i dataskyddslagen innebär därför inga större förändringar mot vad som gäller enligt det regelverk som Totalförsvarets rekryteringsmyndighet tillämpar idag. Vikten av en säker identifiering av totalförsvarspliktiga och annan personal inom totalförsvaret medför att personnummer och samordningsnummer regelmässigt måste behandlas av Totalförsvarets rekryteringsmyndighet. Några inskränkningar i rätten att behandla personnummer eller samordningsnummer i förhållande till dataskyddslagens bestämmelser ska därför inte införas. Det har inte heller framkommit skäl att avvika från eller i övrigt föreskriva undantag från dataskyddsförordningens bestämmelser i detta avseende. Bestämmelserna i dataskyddslagen bör tillämpas på motsvarande sätt vid behandling av personuppgifter enligt denna lag. Detta kommer att framgå genom den föreslagna paragrafen om att dataskyddslagen ska gälla fullt ut i myndighetens verksamhet förutom i de fall när det finns avvikande bestämmelser i den nu föreslagna lagen. Bestämmelser om personnummer och samordningsnummer behöver därför inte föras in i den nya lagen. 10.3 Personuppgifter om lagöverträdelser Regeringens bedömning: Bestämmelserna om behandling av personuppgifter som rör lagöverträdelser i dataskyddslagen bör gälla vid behandling av personuppgifter enligt totalförsvarsdatalagen. Någon bestämmelse om behandling av personuppgifter som rör lagöverträdelser behöver därför inte föras in i den föreslagna lagen. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna kommenterar inte bedömningen särskilt. Skälen för regeringens bedömning: Enligt nuvarande ordning tillämpas 21 § personuppgiftslagen när det gäller Totalförsvarets rekryteringsmyndighets behandling av personuppgifter som rör totalförsvarspliktigas lagöverträdelser (jfr 4 § lagen [1998:938] om behandling av personuppgifter om totalförsvarspliktiga). Bestämmelsen i personuppgiftslagen har ersatts av bestämmelserna i 3 kap. 8 och 9 §§ dataskyddslagen. Totalförsvarets rekryteringsmyndighet bör omfattas av samma bestämmelser som andra myndigheter i detta avseende. Bestämmelserna som rör lagöverträdelser i dataskyddslagen ska därför gälla även i fråga om Totalförsvarets rekryteringsmyndighets behandling av sådana uppgifter. Detta kommer att framgå genom den föreslagna paragrafen om att dataskyddslagen ska gälla fullt ut i myndighetens verksamhet förutom i de fall när det finns avvikande bestämmelser i den nu föreslagna lagen. Någon bestämmelse om behandling av personuppgifter som rör lagöverträdelser behöver därför inte föras in i den nya lagen. 11 Sökbegränsningar Regeringens förslag: Vid behandling av känsliga personuppgifter enligt lagen ska det vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det ska också vara förbjudet att som sökbegrepp använda uppgifter om 1. hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning, 2. boende- och familjeförhållanden samt försörjning, 3. resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning, 4. medborgarskap, och 5. lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen samt vilken säkerhetsklass prövningen avsett och resultatet av den. De uppgifter som anges i punkterna 1-5 ska dock få användas som sökbegrepp när uppgifter lämnas ut för framställning av statistik eller för forskningsändamål. De uppgifter som anges i punkt 3 ska även få användas som sökbegrepp för att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret. Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår en annan utformning av bestämmelsen. Remissinstanserna: Diskrimineringsombudsmannen tillstyrker förslaget om sökförbud. Datainspektionen är positiv till utredningens förslag om att ett sökförbud införs. Myndigheten efterlyser dock en vidare analys av konsekvenserna för de undantag som föreslås. Övriga remissinstanser kommenterar inte förslaget särskilt. Centrum för vapenfrihet har framhållit vikten av att möjligheterna inte begränsas för Totalförsvarets rekryteringsmyndighet att ta fram underlag om ärenden om vapenfrihet, vilket behövs för den statistik som centrum för vapenfrihet sammanställer. Skälen för regeringens förslag: I 3 kap. 3 § andra stycket dataskyddslagen uppställs ett generellt förbud för myndigheter att använda sökbegrepp som avslöjar känsliga personuppgifter. Bestämmelsen bedöms enbart vara tillämplig vid myndigheters behandling som sker med stöd av 3 kap. 3 § första stycket samma lag. Den gäller alltså inte när känsliga personuppgifter behandlas med stöd av bestämmelser i en annan författning. Regeringen föreslår att särskilda bestämmelser som anger när känsliga personuppgifter får behandlas förs in i den nya lagen. Den sökbegränsning som framgår av dataskyddslagen kommer därför inte att vara tillämplig när känsliga personuppgifter behandlas med stöd av totalförsvarsdatalagen. En särskild bestämmelse om sökförbud bör därför införas i totalförsvarsdatalagen. Den nya lagen omfattar, liksom tidigare, behandling av en stor mängd känsliga personuppgifter som - om det inte fanns några sökbegränsningar - skulle möjliggöra sammanställningar av stor omfattning eller kartläggning av totalförsvarspliktigas personliga förhållanden, vilket i sig kan utgöra ett intrång i den personliga integriteten. Det bör därför, i likhet med nuvarande reglering, införas en bestämmelse om sökförbud. Av bestämmelsen bör det framgå att det vid behandling av känsliga personuppgifter är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Detta görs lämpligast genom en hänvisning till den föregående paragrafen där stödet finns för att behandla känsliga personuppgifter enligt lagen. Därutöver bör det vara förbjudet att som sökbegrepp använda uppgifter om 1. hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning, 2. boende- och familjeförhållanden samt försörjning, 3. resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning, 4. medborgarskap, och 5. lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen samt vilken säkerhetsklass prövningen avsett och resultatet av den. Det föreslagna sökförbudet omfattar samma sökbegrepp som enligt nu gällande reglering med undantag för uppgifter om resultat från kunskapsprov. Anledningen är att totalförsvarspliktiga vid mönstring eller annan utredning inte längre utför kunskapsprov utan begåvningstest. Det innebär att sökförbudet i den nya lagen bör omfatta uppgifter om resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning. Från sökförbudet i bestämmelsens andra stycke finns det ett behov av att göra vissa generella undantag. Den insamling av uppgifter om och behandling av totalförsvarspliktigas personliga förhållanden som myndigheten utför inom ramen för sin verksamhet, dvs. de uppgifter som tidigare fanns i registret över totalförsvarspliktiga, är betydelsefull som underlag för statistik eller för forskningsändamål. Undantag från förbudet att använda de uppräknade sökbegreppen bör därför göras för framställning av statistik eller för forskningsändamål. De nu föreslagna undantagen gäller även enligt nu gällande lag. Skäl att frångå en sådan ordning har inte kommit fram. Totalförsvarets rekryteringsmyndighet har också behov av att som sökbegrepp använda uppgifter om resultat från begåvningstest och anlagstest för att kunna ta fram underlag för inskrivning av lämpliga personer till grundutbildning med värnplikt. För att samtliga utbildningsplatser ska kunna tillsättas med personer som uppfyller kraven för inskrivning till grundutbildning med värnplikt använder sig myndigheten av den s.k. utbildningsreserven. Genom att söka på resultat från de begåvningstester eller anlagstester som utförs vid mönstring eller annan utredning kan myndigheten få fram vilka personer i utbildningsreserven som uppfyller kraven för inskrivning. Därefter kan en bedömning göras av vilka som bör skrivas in till grundutbildning med värnplikt. Uppgifter om resultat från begåvnings- eller anlagstest som utförs vid mönstring eller annan utredning (punkt 3) behöver därför få användas som sökbegrepp för att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret. Totalförsvarets rekryteringsmyndighet har vidare behov av att kunna använda de uppräknade sökbegreppen i punkt 1-5 för planering, uppföljning och utvärdering av Totalförsvarets rekryteringsmyndighets verksamhet. Någon särskild bestämmelse som ger stöd för Totalförsvarets rekryteringsmyndighets behandling av personuppgifter i det här avseendet behöver dock inte införas (se vidare avsnitt 9.2.1). Bestämmelserna i paragrafens andra och tredje stycke torde främst vara av betydelse för den verksamhet som bedrivs av Totalförsvarets rekryteringsmyndighet. Det saknas dock skäl att inte låta personuppgifter som behandlas av en annan statlig myndighet, kommun eller region omfattas av motsvarande sökbegränsning. Hänvisningen till den tidigare bestämmelsen innebär att även sökbegränsningarna i andra och tredje stycket gäller när någon av dessa aktörer behandlar personuppgifter med stöd av lagen. Datainspektionen har efterlyst en vidare analys av konsekvenserna för de undantag från sökförbuden som föreslås. Till en början kan konstateras att det i den nya lagen föreslås ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därutöver föreslås det även ett förbud mot att använda vissa sökbegrepp. De undantag som föreslås i bestämmelsens tredje stycke gäller i förhållande till andra stycket. Som redogörs för ovan medger även gällande reglering en möjlighet att använda vissa sökbegrepp för framställning av statistik eller för forskningsändamål. Det föreslagna undantaget om att de sökbegrepp som anges i punkt 3 även ska få användas vid behandling för att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret syftar till att tillgodose Totalförsvarets rekryteringsmyndighets behov av att på ett ändamålsenligt sätt kunna fullgöra en av myndighetens kärnuppgifter: att skriva in värnpliktiga till grundutbildning. Möjligheten att använda vissa sökbegrepp utökas visserligen genom förslaget men samtidigt stärks skyddet för enskildas integritet genom de säkerhetsåtgärder som införs genom det nya regelverket. Regleringen är resultatet av en avvägning mellan Totalförsvarets rekryteringsmyndighets behov av att kunna bedriva sin verksamhet på ett ändamålsenligt sätt och skyddet för enskildas integritet. Motsvarande gäller för de övriga aktörer som nämnts ovan. 12 Rätten att göra invändningar Regeringens förslag: Dataskyddsförordningens bestämmelse om rätt för den registrerade att göra invändningar (artikel 21.1) ska inte gälla vid sådan behandling som är tillåten enligt den föreslagna lagen eller föreskrifter som har meddelats med stöd av lagen. Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår en annan språklig utformning av bestämmelsen. Remissinstanserna invänder inte mot förslaget. Skälen för regeringens förslag Dataskyddsförordningen Enligt artikel 21.1 i dataskyddsförordningen ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Rätten att göra invändningar avser sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller som sker med stöd av en intresseavvägning (artikel 6.1 e eller f). Om den registrerade gör en invändning får den personuppgiftsansvarige inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. I dataskyddsförordningen ges en möjlighet att i nationell rätt begränsa bl.a. rätten att göra invändningar enligt artikel 21.1 om de förutsättningar som anges i artikel 23 är uppfyllda. Enligt artikel 23.1 får en sådan begränsning införas om den sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Därutöver måste begränsningen ske i syfte att säkerställa något av de i punkterna a-j uppräknade intressena, såsom den nationella säkerheten och försvaret (punkt a och b) Vidare måste den lagstiftning som begränsar den registrerades rättigheter innehålla vissa specifika bestämmelser om bl.a. skyddsåtgärder i enlighet med artikel 23.2. Genom dataskyddslagen gäller dataskyddsförordningen i Totalförsvarets rekryteringsmyndighets verksamhet men som regeringen närmare beskriver nedan föreslås det att rätten att göra invändningar som föreskrivs i förordningen inte ska gälla i myndighetens verksamhet. Rätten att göra invändningar ska inte gälla enligt den nya lagen Totalförsvarets rekryteringsmyndighets verksamhet och behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret utförs i syfte att säkerställa den nationella säkerheten och försvaret. Personuppgiftsbehandlingen grundar sig till övervägande del på skyldigheten för totalförsvarspliktiga att lämna uppgifter om sina personliga förhållanden i mönstringsunderlaget enligt lagen om totalförsvarsplikt. Samtycke från de totalförsvarspliktiga till att uppgifterna behandlas krävs således inte. Den behandling som tillåts enligt denna lag är en förutsättning för att Totalförsvarets rekryteringsmyndighet ska kunna utföra sitt uppdrag. Att begränsa rätten att göra invändningar mot behandling av personuppgifter om totalförsvarspliktiga och annan personal på totalförsvarsområdet är också nödvändigt för att totalförsvarets personalförsörjning ska kunna upprätthållas. En totalförsvarspliktig bör därför inte kunna invända mot behandlingen med följden att personuppgifterna inte längre får behandlas om inte myndigheten kan påvisa tvingande berättigade skäl för behandlingen. En möjlighet för den registrerade att invända mot behandlingen skulle kunna få stora konsekvenser för bemanningen av totalförsvaret. Regeringen anser därför att en begränsning av rätten att invända mot den personuppgiftsbehandling som sker med stöd av den nya lagen både är nödvändig och proportionerlig i förhållande till sitt syfte att säkerställa ett viktigt mål av generellt allmänt intresse. Totalförsvarsdatalagen föreslås dessutom innehålla specifika bestämmelser om bl.a. ändamålen med behandlingen, de uppgifter som får behandlas och sökbegränsningar. Totalförsvarets rekryteringsmyndighet ska vidare tillämpa dataskyddslagen och därmed dataskyddsförordningens bestämmelser om skyddsåtgärder när det gäller bl.a. kravet på effektiva rättsmedel och säkerhet för personuppgifter (se avsnitt 17 och 19.1). Även övriga rättigheter för enskilda som regleras i dataskyddsförordningen, såsom rätten till rättelse, radering och begränsning av behandling (artiklarna 16-18) liksom rätten till information och tillgång till personuppgifter (artikel 13-15 och 5 kap. 1-3 §§ dataskyddslagen) kommer att gälla för Totalförsvarets rekryteringsmyndighet vid dess behandling av personuppgifter (se avsnitt 19). Regeringen anser därmed att bestämmelser med det innehåll som krävs enligt artikel 23.2 i dataskyddsförordningen, bl.a. bestämmelser om skyddsåtgärder, finns i den reglering som föreslås gälla för myndighetens personuppgiftsbehandling. En bestämmelse om att dataskyddsförordningens bestämmelse om rätt för den registrerade att göra invändningar (artikel 21.1) inte ska gälla vid sådan behandling som är tillåten enligt den föreslagna lagen eller föreskrifter som har meddelats med stöd av lagen bör därför införas i den nya lagen. Bestämmelsen bör utformas på samma sätt som motsvarande bestämmelser i 18 b § utlänningsdatalagen (2016:27) och 1 kap. 8 § lagen (2001:183) om behandling av personuppgifter i verksamhet med val och folkomröstningar. 13 Tillgången till personuppgifter Regeringens förslag: Tillgången till personuppgifter vid Totalförsvarets rekryteringsmyndighet, en annan statlig myndighet, en kommun eller region ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. En upplysningsbestämmelse införs om att regeringen eller den myndighet regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas. Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Uppsala universitet välkomnar förslaget om tillgång till uppgifter och påtalar att det är viktigt att en restriktiv hållning intas från myndighetens sida i förverkligandet av denna paragraf. Övriga remissinstanser kommenterar inte förslaget särskilt. Skälen för regeringens förslag: Inom Totalförsvarets rekryteringsmyndighet sker en omfattande behandling av personuppgifter med ett ofta mycket integritetskänsligt innehåll. Många av de uppgifter som behandlas är känsliga personuppgifter. Det är därför särskilt angeläget att tillgången till uppgifterna som behandlas inom myndigheten begränsas för att undvika att de sprids till någon som inte är behörig att ta del av dem. Endast de anställda som på grund av sina arbetsuppgifter behöver åtkomst till uppgifterna bör ha tillgång till dem. En bestämmelse där en sådan princip uttrycks bör tas in i den nya lagen. Genom bestämmelsen i 8 § andra stycket i den nya lagen får även vissa andra aktörer behandla känsliga personuppgifter om totalförsvarspliktiga. Som utredningen konstaterar är det viktigt att åtkomsten till uppgifterna begränsas även vid t.ex. Försvarsmaktens behandling av personuppgifter med stöd av lagen. I den nya lagen bör det därför tydliggöras att bestämmelsen om tillgång till uppgifter gäller Totalförsvarets rekryteringsmyndighet, annan statlig myndighet, en kommun eller region. Bestämmelsen utgör en sådan säkerhetsåtgärd som syftar till att säkerställa den registrerades grundläggande rättigheter och intressen. Det åligger därmed Totalförsvarets rekryteringsmyndighet, annan statlig myndighet, en kommun eller region i egenskap av personuppgiftsansvarig att begränsa tillgången till uppgifter för anställda så att obefogad spridning motverkas. Det innebär bl.a. att det vid tilldelning av behörighet för åtkomst till personuppgifter särskilt bör beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och lämplighet. De personuppgiftsansvariga ansvarar vidare för att det inom organisationen finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifterna. Regeringen anser att bestämmelsen om tillgång till personuppgifter bör kompletteras med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas. 14 Direktåtkomst Regeringens förslag: Direktåtkomst till personuppgifter hos Totalförsvarets rekryteringsmyndighet får endast medges Försvarsmakten och den registrerade. Den registrerade får endast ha direktåtkomst till personuppgifter som rör honom eller henne. En upplysningsbestämmelse införs om att regeringen eller den myndighet regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter om begränsningar av direktåtkomsten och föreskrifter om behörighet och säkerhet vid sådan åtkomst. Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår även att regeringen ska få meddela föreskrifter om att medge annan aktör direktåtkomst än de som räknas upp i lagen. Remissinstanserna: Datainspektionen delar utredningens bedömning att den föreslagna direktåtkomsten, med hänsyn till kravet på skydd för den registrerades integritet, bör hållas begränsad. Datainspektionen noterar det positiva i att vilka personuppgifter som omfattas av den medgivna direktåtkomsten regleras i föreslagen förordning samt att den registrerade endast ska få åtkomst till uppgifter som rör den registrerade själv. Samtidigt kan konstateras att förslaget innebär en viss utvidgning av de kategorier av personuppgifter som berörs. Datainspektionen önskar därför påminna om vikten av att myndigheter genomför interna kontroller för att säkerställa att dessa begränsningar efterlevs. Det åligger Totalförsvarets rekryteringsmyndighet att kontrollera och säkerställa att det hos mottagaren finns ett tillräckligt och fullgott skydd för de personuppgifter som de får tillgång till. Gävle kommun förordar att kommuners fortsatta registeråtkomst möjliggörs. Övriga remissinstanser tillstyrker förslaget eller kommenterar det inte särskilt. Skälen för regeringens förslag Direktåtkomst Det finns inte någon legaldefinition av uttrycket direktåtkomst. Det som vanligen avses med direktåtkomst är att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Enligt Informationshanteringsutredningen bör direktåtkomst anses föreligga om en myndighet hos en annan myndighet har sådan teknisk tillgång till upptagningar som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (se Myndighetsdatalag, SOU 2015:39, s. 390 f.). Högsta förvaltningsdomstolen använde i avgörandet HFD 2015 ref. 61, som avsåg utlämnande av uppgifter i form av upptagning mellan myndigheter, samma definition av direktåtkomst. I begreppet direktåtkomst ligger också att den som är personuppgiftsansvarig för registret eller databasen saknar kontroll över vilka uppgifter som den som har direktåtkomst vid ett visst tillfälle tar del av. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Den faktiska begränsningen av direktåtkomsten görs med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet. Direktåtkomst enligt nuvarande reglering Enligt 12 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga har Totalförsvarets rekryteringsmyndighet direktåtkomst till det automatiserade registret över totalförsvarspliktiga. Vidare får regeringen meddela föreskrifter om att annan får ha direktåtkomst till registret. Av förarbetena (prop. 1997/98:80 s. 64) till bestämmelsen framgår att direktåtkomsten till det automatiserade registret över totalförsvarspliktiga av hänsyn till kravet på skydd för den registrerades personliga integritet bör hållas begränsad men att direktåtkomst av effektivitetsskäl bör tillåtas i de fall ett verkligt behov av sådan åtkomst föreligger, under förutsättning att erforderligt skydd för uppgifterna kan garanteras. Vidare anges att bestämmelserna om direktåtkomst i praktiken måste vara relativt detaljerade och att det inte är uteslutet att de behöver ändras med relativt täta mellanrum. Direktåtkomsten bör därför enligt regeringens bedömning regleras i förordningsform (a. prop. s. 65). I förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga anges vilka aktörer som får medges direktåtkomst till registret över totalförsvarspliktiga. Av 3 § framgår att de myndigheter, kommuner, landsting och bolag som anges i bilaga 1 till förordningen får ha direktåtkomst till automatiserat register över totalförsvarspliktiga i enlighet med vad som anges i bilagan. Behandling av personuppgifter om totalförsvarspliktiga enligt första stycket får endast utföras om den är nödvändig för den egna verksamheten. Totalförsvarets rekryteringsmyndighet ska ställa de villkor för direktåtkomsten och registreringen av uppgifter som myndigheten bedömer vara nödvändiga för registrets säkerhet. Försvarsmaktens behov av direktåtkomst Försvarsmakten får enligt gällande regelverk ha direktåtkomst till registret över totalförsvarspliktiga och myndigheten har också medgetts sådan åtkomst till vissa personuppgifter hos Totalförsvarets rekryteringsmyndighet. Direktåtkomsten omfattar följande personuppgifter: - personnummer eller samordningsnummer, namn, adress, telefonnummer och folkbokföringsort, - hinder för genomförande av mönstring och annan utredning om den totalförsvarspliktiges förhållanden som kan utföras enligt lagen (1994:1809) om totalförsvarsplikt, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning, - utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret, - om den registrerade är svensk medborgare eller inte, - att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (2018:585), vilken säkerhetsklass prövningen avsett och resultatet av denna, och - tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna. Försvarsmaktens behov av direktåtkomst har inte minskat. Tvärtom har behovet av elektroniskt informationsutbyte ökat avsevärt sedan nuvarande reglering trädde i kraft. Såväl Försvarsmakten som Totalförsvarets rekryteringsmyndighet har ofta behov av att snabbt och enkelt få omedelbar tillgång till information om totalförsvarspliktiga. Direktåtkomst till sådana uppgifter innebär fördelar och effektivitetsvinster för båda myndigheterna. Mot bakgrund av att det i Totalförsvarets rekryteringsmyndighets informationssystem finns stora mängder personuppgifter registrerade, varav många är av känslig karaktär, bör möjligheten att medge Försvarsmakten direktåtkomst till personuppgifter vid Totalförsvarets rekryteringsmyndighet anges i lag. Det är ur ett integritetshänseende viktigt att Försvarsmaktens direktåtkomst endast omfattar uppgifter som myndigheten har ett verkligt behov av. När det gäller ytterligare begränsningar av direktåtkomsten, tex. vilka personuppgifter som direktåtkomsten ska omfatta bör detta regleras så precist som möjligt. Behovet av personuppgifter kan variera över tid. Den närmare regleringen om vilka personuppgifter Försvarsmakten ska få direktåtkomst till bör därför regleras i förordning. De registrerades behov av direktåtkomst Nuvarande reglering innehåller ingen bestämmelse om direktåtkomst för den enskilde beträffande hans eller hennes personuppgifter vid Totalförsvarets rekryteringsmyndighet. Totalförsvarets rekryteringsmyndighets behandling och handläggning av uppgifter om totalförsvarspliktiga vid mönstring, utbildning, tjänstgöring eller liknande, bygger i allt större utsträckning på elektronisk hantering och kommunikation med såväl de totalförsvarspliktiga som berörda myndigheter. I enlighet med utredningens förslag bör det därför vara möjligt för Totalförsvarets rekryteringsmyndighet att lämna ut uppgifter genom direktåtkomst till den registrerade själv. Möjligheten till direktåtkomst i dessa fall bör givetvis begränsas till personuppgifter som hänför sig till den registrerade själv. I den nya lagen bör det således införas en bestämmelse som anger att den registrerade får medges direktåtkomst till personuppgifter som rör honom eller henne. Övriga aktörers behov av direktåtkomst I fråga om de övriga aktörer som enligt nuvarande reglering får medges direktåtkomst till vissa uppgifter hos Totalförsvarets rekryteringsmyndighet kan det konstateras att ingen av dessa har medgetts direktåtkomst sedan lagens tillkomst. Gävle kommun har förordat att kommunens möjlighet till direktåtkomst till uppgifter i Totalförsvarets rekryteringsmyndighets register ska möjliggöras även fortsättningsvis. Regeringen anser dock att det inte framkommit att det finns ett behov av direktåtkomst på det sätt som nuvarande reglering medger. Den omständigheten att vissa av de uppräknade aktörerna, i egenskap av utbildnings- och bemanningsansvariga myndigheter inom det militära och civila försvaret, kan ha visst behov av uppgifter om den egna personalen respektive de som antagits till utbildning utgör inte tillräckligt skäl för att de i den nya lagen ska få medges direktåtkomst. Andra metoder för utlämnande av uppgifter får således användas i fråga om dessa aktörer. Det kan dock inte uteslutas att det framöver uppkommer ett behov av att medge andra aktörer direktåtkomst. Ett sådant behov skulle t.ex. uppstå om civilplikten återaktiveras. I den situationen får det närmare utredas vilka aktörer som i sådana fall bör medges direktåtkomst. Regeringen kan därefter återkomma i frågan. Skyddsregler vid direktåtkomst Enligt artiklarna 24.1 och 32 i dataskyddsförordningen ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen av personuppgifter utförs i enlighet med förordningen och att en lämplig säkerhetsnivå säkerställs. Eftersom direktåtkomst typiskt sett anses innebära att risken för kränkningar av den enskildes integritet blir större behövs särskilda regler som säkerställer skyddet för personuppgifterna vid direktåtkomst. Vid direktåtkomst är det viktigt att mottagaren endast har direktåtkomst till sådana uppgifter som denne verkligen kan antas ha behov av. Innan Totalförsvarets rekryteringsmyndighet medger direktåtkomst till personuppgifter ska myndigheten göra en risk- och sårbarhetsanalys. Totalförsvarets rekryteringsmyndighet ska då kontrollera att mottagande aktörer har ett tillräckligt skydd för mottagna personuppgifter. Regeringen avser att i förordning införa bestämmelser om vilka uppgifter som får omfattas av direktåtkomsten och bestämmelser om att Totalförsvarets rekryteringsmyndighet inte får medge någon direktåtkomst innan myndigheten har försäkrat sig om att mottagaren uppfyller kraven på behörighet och säkerhet. Den typen av bestämmelser finns också i förordningen om behandling av personuppgifter om totalförsvarspliktiga. En upplysningsbestämmelse införs Regeringen anser att bestämmelsen om direktåtkomst bör kompletteras med en upplysningsbestämmelse om att regeringen eller den myndighet regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om omfattningen av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst. 15 En sekretessbrytande regel för direktåtkomst Regeringens förslag: I lagen införs en sekretessbrytande bestämmelse om uppgiftsskyldighet i förhållande till Försvarsmakten som motsvarar den direktåtkomst som myndigheten får medges. Utredningens förslag överensstämmer med regeringens. Remissinstanserna invänder inte mot förslaget. Skälen för regeringens förslag: Bestämmelser om direktåtkomst anses inte ha någon sekretessbrytande verkan (se t.ex. prop. 2004/05:164 s. 83). Regler om direktåtkomst brukar därför ofta kompletteras med sekretessbrytande bestämmelser som är utformade som regler om uppgiftsskyldighet. För att en bestämmelse om uppgiftsskyldighet ska ha sekretessbrytande effekt krävs antingen att den föreskriver en skyldighet för en myndighet att lämna ut uppgifter till en annan myndighet eller att den föreskriver en rätt för en myndighet att ta del av uppgifter hos en annan myndighet (se prop. 2007/08:160 s. 70-72). Av 8 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, följer att en uppgift för vilken sekretess gäller enligt den lagen inte får röjas för enskilda eller för andra myndigheter, om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till. I 10 kap. OSL finns ett flertal sekretessbrytande bestämmelser som innebär att sekretess inte hindrar ett utbyte av uppgifter mellan myndigheter. Enligt 10 kap. 28 § hindrar inte heller sekretess att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Med stöd av den paragrafen kan sekretessbrytande bestämmelser vid direktåtkomst införas. För Totalförsvarets rekryteringsmyndighets del finns i dag en sekretessbrytande bestämmelse i förordningen (1995:238) om totalförsvarsplikt. Av 3 kap. 16 § framgår bl.a. att Totalförsvarets rekryteringsmyndighet, i samband med att en totalförsvarspliktig rycker in för värnplikt eller civilplikt med längre grundutbildning än 60 dagar, ska lämna de journalhandlingar som upprättas vid mönstring till hälso- och sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun eller ett landsting där den grundutbildningen ska genomföras (första stycket). Totalförsvarets rekryteringsmyndighet ska vid samma tidpunkt lämna uppgifter om den totalförsvarspliktiges psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsotillstånd till den befattningshavare på en sådan enhet som anges i första stycket som har till uppgift att utbilda den totalförsvarspliktige (andra stycket). Totalförsvarets rekryteringsmyndighet ska också vid samma tidpunkt och till samma enheter som anges i första stycket lämna uppgift i form av fotografisk bild av den totalförsvarspliktige från det register som myndigheten för över sådana uppgifter. En sådan uppgift ska på begäran även lämnas till Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Försvarsmakten, Tullverket, Skatteverket och Kronofogdemyndigheten (tredje stycket). Den skyldighet som finns i 3 kap. 16 § förordningen om totalförsvarsplikt om att lämna ut uppgifter till exempelvis Försvarsmakten motsvarar emellertid inte den direktåtkomst som myndigheten får medges och har behov av. Exempelvis har Försvarsmakten även behov av direktåtkomst till personuppgifter vid utförandet av en utredning om den totalförsvarspliktiges personliga förhållanden med stöd av 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt (se föregående avsnitt). Regeringen föreslår därför en ny sekretessbrytande bestämmelse om uppgiftsskyldighet i förhållande till Försvarsmakten. En sådan bestämmelse korresponderar med den ändamålsbestämmelse som regeringen föreslår ska införas i lagen, vilken medger att personuppgifter också får behandlas för sådant uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. Den sekretessbrytande bestämmelsen bör formuleras som en rätt för Försvarsmakten att vid direktåtkomst ta del av de personuppgifter som omfattas av åtkomsten. Vilka personuppgifter Försvarsmakten ska få direktåtkomst till regleras i förordning (se avsnitt 14). Den föreslagna bestämmelsen gäller endast i förhållande till Försvarsmakten. Enligt 12 kap. 1 § OSL gäller sekretess till skydd för en enskild som regel inte i förhållande till den enskilde själv. Behov av att införa en sekretessbrytande regel i förhållande till enskilda finns därför inte. Flera sekretessbestämmelser skyddar de uppgifter som omfattas av direktåtkomsten En viktig fråga när det gäller utlämnande genom direktåtkomst är om de uppgifter som ska lämnas ut omfattas av sekretess hos den mottagande myndigheten. Av 11 kap. 4 § OSL framgår att om en myndighet har direktåtkomst till sekretessreglerade uppgifter hos en annan myndighet blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Enligt 11 kap. 8 § OSL har dock primär sekretess företräde framför överförd sekretess. Bestämmelsen i 11 kap. 4 § OSL ska således inte tillämpas om det finns en annan primär sekretessbestämmelse till skydd för samma intressen som är tillämplig hos den mottagande myndigheten. De uppgifter som Totalförsvarets rekryteringsmyndighet kommer att kunna medge Försvarsmakten direktåtkomst till med stöd av den nya lagen kan omfattas av sekretess enligt 15 kap. 2 § (försvarssekretess), 21 kap. 1 § (sekretess till skydd för uppgift om enskilds personliga förhållanden) och 25 kap. 1 § OSL (hälso- och sjukvårdssekretess). Dessa bestämmelser är primära sekretessbestämmelser och ska tillämpas av båda myndigheterna. Uppgifter om enskildas personliga förhållanden som Totalförsvarets rekryteringsmyndighet behandlar vid bl.a. utredning om totalförsvarspliktigas personliga förhållanden, inskrivning och krigsplacering av totalförsvarspliktiga kan också omfattas av sekretess enligt 38 kap. 1 § OSL. För uppgifterna råder en presumtion för offentlighet (rakt skaderekvisit). Hos Försvarsmakten omfattas motsvarande uppgifter av 38 kap. 3 § OSL. Enligt den bestämmelsen råder en presumtion för sekretess avseende uppgifterna (omvänt skaderekvisit). Bestämmelsen är primär och har således företräde framför överförd sekretess. Eftersom skyddet för uppgifterna är starkare hos Försvarsmakten än hos Totalförsvarets rekryteringsmyndighet finns det inte något behov av att införa några nya sekretessbestämmelser till skydd för de uppgifter som lämnas till Försvarsmakten genom direktåtkomst. 16 Försvarsmakten får föra in och rätta uppgifter Regeringens förslag: Försvarsmakten får föra in och rätta personuppgifter om totalförsvarspliktiga i Totalförsvarets rekryteringsmyndighets informationssystem. En upplysningsbestämmelse införs om att regeringen eller den myndighet regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om Försvarsmaktens behandling av personuppgifter enligt första stycket och föreskrifter om behörighet och säkerhet vid sådan behandling. Utredningens förslag överensstämmer delvis med regeringens. Remissinstanserna: Försvarsmakten har inget att invända mot förslaget. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag: Enligt 13 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga får regeringen meddela föreskrifter om att annan än Totalförsvarets rekryteringsmyndighet får föra in uppgifter om totalförsvarspliktiga i det automatiserade registret över totalförsvarspliktiga och rätta dessa. Av 3 § första stycket förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga framgår det att de myndigheter m.fl. som anges i bilagan till förordningen får föra in personuppgifter i registret om totalförsvarspliktiga och rätta dessa. Vilka personuppgifter som får föras in och rättas anges uttömmande i bilaga 2 till förordningen. Försvarsmakten har enligt nu gällande reglering rätt att föra in och rätta vissa personuppgifter, såsom personnummer, namn, adress, uppgifter om krigsplacering och tjänstgöring i Totalförsvarets rekryteringsmyndighets register över totalförsvarspliktiga. Försvarsmakten använder sig också av denna rätt. Det bör anges i lagen att Försvarsmakten - som föreslås få direktåtkomst till Totalförsvarets rekryteringsmyndighets informationssystem - får föra in och rätta personuppgifter om totalförsvarspliktiga i Totalförsvarets rekryteringsmyndighets informationssystem. För att säkerställa ett så fullgott integritetsskydd som möjligt bör, på motsvarande sätt som i dag, omfattningen av Försvarsmaktens rätt att föra in och rätta personuppgifter avgränsas mer precist genom bestämmelser i förordning. Även bestämmelser om behörighet och säkerhet vid sådan behandling kan anges i förordning. En upplysningsbestämmelse bör införas om att regeringen eller den myndighet regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om Försvarsmaktens behandling av personuppgifter enligt första stycket och föreskrifter om behörighet och säkerhet vid sådan behandling. Enligt artikel 16 i dataskyddsförordningen ska den registrerade bl.a. ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Den nu föreslagna bestämmelsen innebär inte någon särreglering i förhållande till bestämmelsen i dataskyddsförordningen. Personuppgiftsansvarig är den som utför personuppgiftsbehandling med stöd av lagen (se avsnitt 8). Försvarsmakten är personuppgiftsansvarig för den personuppgiftsbehandling som myndigheten utför när uppgifterna förs in i Totalförsvarets rekryteringsmyndighets informationssystem samt vid rättelse av dem. Totalförsvarets rekryteringsmyndighet blir å sin sida personuppgiftsansvarig för den behandling av personuppgifterna som myndigheten utför. Beträffande Försvarsmaktens behandling av personuppgifter och regleringen av densamma, se avsnitt 7.2. I fråga om de övriga aktörer som enligt nuvarande reglering får föra in och rätta uppgifter om totalförsvarspliktiga i det automatiserade registret över totalförsvarspliktiga hos Totalförsvarets rekryteringsmyndighet har det inte framkommit att det finns ett behov av en sådan rätt. Ett sådant behov skulle dock kunna uppstå exempelvis om civilplikten återaktiveras. I den situationen får regeringen återkomma i fråga om vilka aktörer som i sådana fall bör ges rätt att föra in och rätta personuppgifter om totalförsvarspliktiga i Totalförsvarets rekryteringsmyndighets register. 17 Tillsynsmyndighetens befogenheter Regeringens förslag: En bestämmelse införs i den föreslagna lagen som anger att artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskyddslagen om tillsynsmyndighetens befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling inte ska gälla vid behandling enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Datainspektionen anser att förslaget är godtagbart med tanke på totalförsvarets för samhället kritiska uppdrag och med tanke på att Datainspektionen ges möjligheter att utdöma administrativa sanktioner vid överträdelser. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag Dataskyddsförordningen Dataskyddsförordningen innehåller direkt tillämpliga bestämmelser om tillsynsmyndighetens befogenheter. Dessa befogenheter är fler, eller i vart fall mer detaljerat reglerade, än de som anges i personuppgiftslagen (1998:204). Tillsynsmyndighetens utredningsbefogenheter, som regleras i artikel 58.1 i förordningen, motsvarar i stora drag de befogenheter som myndigheten har enligt personuppgiftslagen. De s.k. korrigerande befogenheterna, som framgår av artikel 58.2, är däremot mer omfattande. Som exempel kan nämnas att tillsynsmyndigheten enligt led g i den angivna artikeln får förelägga om radering av personuppgifter och enligt led f införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling. Vidare anges i artikel 58.3 vilken möjlighet myndigheten har att utfärda tillstånd och att ge råd. Dataskyddslagen I 6 kap. 1 § dataskyddslagen anges att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i dataskyddsförordningen även gäller vid tillsyn över efterlevnaden av bestämmelserna i lagen och andra författningar som kompletterar dataskyddsförordningen. Bestämmelsen innebär att de tillsynsåtgärder som tillsynsmyndigheten kan vidta vid överträdelser av förordningen också kan vidtas vid överträdelser av bestämmelser i svensk rätt som kompletterar förordningen. Detta gäller oavsett om dessa kompletterande bestämmelser om behandling av personuppgifter finns i dataskyddslagen eller i sektorsspecifika författningar. Tillsynsmyndighetens befogenheter ska inte gälla fullt ut Som redogörs för ovan saknar Datainspektionen i dag möjlighet att förbjuda behandling av personuppgifter som sker med stöd av lagen om behandling av personuppgifter om totalförsvarspliktiga. De skäl som gjordes gällande vid den lagens tillkomst, dvs. att det inte är rimligt att Datainspektionen ska ha möjlighet att förbjuda Totalförsvarets rekryteringsmyndighets behandling av personuppgifter i en statlig verksamhet som är nödvändig för att säkerställa totalförsvarets personalförsörjning, gör sig alltjämt gällande. De korrigerande befogenheter i form av bl.a. varningar, reprimander och förelägganden som Datainspektionen innehar enligt artikel 58.2 i dataskyddsförordningen, är enligt regeringens bedömning tillräckliga för att säkerställa en rättssäker behandling och handläggning av personuppgifterna. Därtill finns andra skyddsåtgärder i form av kravet på effektiva rättsmedel enligt dataskyddsförordningen samt de krav på god förvaltning (partsinsyn, kommunikationsskyldighet etc.) som är uppställda i förvaltningslagen (2017:900). Det saknas därför skäl att frångå nuvarande ordning. Tillsynsmyndighetens befogenhet enligt artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskyddslagen att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling ska därför inte gälla vid behandling enligt den nya lagen eller föreskrifter som har meddelats i anslutning till lagen. En bestämmelse som ger uttryck för det bör föras in i den nya lagen. Den föreslagna bestämmelsen innebär alltså en avvikelse från 1 kap. 2 § och 6 kap. 1 § dataskyddslagen. 18 Personuppgiftsincidenter Regeringens bedömning: Bestämmelserna om personuppgiftsincidenter i dataskyddslagen tillgodoser behovet av skydd för uppgifter som är av betydelse för Sveriges säkerhet. Någon bestämmelse om personuppgiftsincidenter behöver därför inte föras in i totalförsvarsdatalagen. Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att en bestämmelse ska införas i totalförsvarsdatalagen om att dataskyddsförordningens bestämmelser om anmälan av en personuppgiftsincident till tillsynsmyndigheten och information till den registrerade (artiklarna 33 och 34) inte ska gälla vid behandling enligt den nya lagen eller föreskrifter som har meddelats med stöd av lagen. Utredningen förhåller sig härvid till de förslag som presenterades i betänkandet SOU 2017:39, i vilket det inte föreslogs någon undantagsbestämmelse motsvarande den i 1 kap. 4 § dataskyddslagen. Remissinstanserna: Datainspektionen avstyrker utredningens förslag och anser att bestämmelserna i dataskyddslagen avseende incidentrapportering till tillsynsmyndighet ska tillämpas på Totalförsvarets rekryteringsmyndighet. Datainspektionen delar däremot utredningens bedömning gällande undantag från skyldigheten att informera den registrerade. Länsstyrelsen i Gotlands län anser inte att det presenterats tillräckligt starka skäl för att göra undantag för incidentrapporteringen utan att den bör gälla även för Totalförsvarets rekryteringsmyndighet och de övriga myndigheterna inom totalförsvaret. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens bedömning Dataskyddsförordningens reglering när det gäller personuppgiftsincidenter En personuppgiftsincident är enligt definitionen i artikel 4.12 i dataskyddsförordningen en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Om en sådan incident inträffar ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla incidenten till tillsynsmyndigheten (artikel 33). Undantag från denna anmälningsskyldighet gäller endast om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten (artikel 34). Information till den registrerade krävs dock inte om vissa särskilt angivna villkor är uppfyllda, t.ex. om den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering. Rapporteringsskyldighet enligt säkerhetsskyddsförordningen Någon motsvarighet till skyldigheten att anmäla incidenter till tillsynsmyndigheten finns inte i personuppgiftslagen (1998:204). Liknande rapporteringsskyldigheter finns däremot på andra områden i svensk rätt, bl.a. till skydd för Sveriges säkerhet. Enligt 2 kap. 10 § första stycket säkerhetsskyddsförordningen (2018:658) ska en verksamhetsutövare skyndsamt anmäla bl.a. vissa it-incidenter till Säkerhetspolisen. Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde enligt 7 kap. 1 § ska anmälan också göras till Försvarsmakten. Sådan anmälningsskyldighet gäller om det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet (2 kap. 10 § första stycket 2). Dataskyddslagens undantagsbestämmelse Av hänsyn till behovet av skydd för Sveriges säkerhet har det i dataskyddslagen införts en undantagsbestämmelse gällande tillämpningen av dataskyddsförordningens bestämmelser om personuppgiftsincidenter. Enligt 1 kap. 4 § i den lagen ska artiklarna 33 och 34 i dataskyddsförordningen inte tillämpas i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen. Detta innebär att sådana incidenter som enligt 2 kap. 10 § säkerhetsskyddsförordningen ska anmälas till Säkerhetspolisen och i vissa fall även till Försvarsmakten, inte också ska rapporteras till tillsynsmyndigheten enligt dataskyddsförordningen. Vid en sådan incident gäller inte heller skyldigheten enligt dataskyddsförordningen att informera den registrerade. Behövs en bestämmelse i totalförsvarsdatalagen om rapporteringsskyldighet vid personuppgiftsincidenter? De personuppgifter som behandlas av Totalförsvarets rekryteringsmyndighet är i hög grad av betydelse för Sveriges säkerhet. Myndigheten har en rapporteringsskyldighet enligt bestämmelserna i säkerhetsskyddsförordningen beträffande vissa it-incidenter. Bestämmelsen i dataskyddslagen om undantag från skyldigheten att till tillsynsmyndigheten rapportera personuppgiftsincidenter och vid dessa informera de registrerade omfattar således Totalförsvarets rekryteringsmyndighets verksamhet. Detta innebär att personuppgiftsincidenter som utgör sådana it-incidenter som avses i bestämmelsen i säkerhetsskyddsförordningen inte också ska rapporteras till tillsynsmyndigheten. Den registrerade ska inte heller informeras i de fallen. Enligt regeringens bedömning tillgodoser bestämmelsen i dataskyddslagen behovet av att skydda uppgifter inom Totalförsvarets rekryteringsmyndighets verksamhet som är av betydelse för Sveriges säkerhet. Någon särskild bestämmelse om rapporteringsskyldighet vid personuppgiftsincidenter behöver därför inte föras in i totalförsvarsdatalagen. 19 Vissa andra frågor av särskild vikt för dataskyddet Den nya regleringen om behandlingen av personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet innebär att dataskyddsförordningen och dataskyddslagen ska gälla i verksamheten så länge det inte finns avvikande regleringar i den föreslagna lagen. Det finns inte skäl att behandla alla bestämmelser i dataskyddsförordningen och dataskyddslagen som kommer att gälla vid Totalförsvarets rekryteringsmyndighets behandling av personuppgifter i avsaknad av avvikande regleringar. I det här avsnittet behandlas vissa frågor som inte påkallar en särskild reglering i den nya lagen men som bedöms vara av särskild vikt att lyfta fram. För övriga bestämmelser i dataskyddsförordningen och dataskyddslagen som inte nämns i avsnittet gäller huvudregeln, dvs. de gäller i Totalförsvarets rekryteringsmyndighets verksamhet om det inte finns avvikande regleringar i den nya lagen. 19.1 Säkerheten för personuppgifter Regeringens bedömning: Dataskyddsförordningens bestämmelser om säkerhet för personuppgifter (artiklarna 5.1 f och 32) bör gälla i Totalförsvarets rekryteringsmyndighets verksamhet. Någon bestämmelse om säkerhet för personuppgifter behöver inte föras in i den nya lagen. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Datainspektionen efterlyser en tydligare hänvisning till vilka säkerhetsbestämmelser som gäller. Datainspektionen anför vidare att utredningen inte utförligt nog visat om skyddet för personuppgifter hos Totalförsvarets rekryteringsmyndighet är tillräckligt eller om det föreligger något behov av att stärka skyddet för dessa personuppgifter ytterligare. Skälen för regeringens bedömning: Av bestämmelserna om säkerhet för personuppgifter i dataskyddsförordningen (artiklarna 5.1 f och 32) följer att en personuppgiftsansvarig ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas i myndighetens verksamhet. Personuppgiftslagens bestämmelse i 31 § motsvarar i princip dataskyddsförordningens, som Totalförsvarets rekryteringsmyndighet hittills har haft att tillämpa. Några särskilda bestämmelser om skydd för personuppgifter finns inte i lagen om behandling av personuppgifter om totalförsvarspliktiga. Det har heller inte framkommit något behov av att införa bestämmelser i den nya lagen som avviker från de som följer av dataskyddsförordningen. Bestämmelserna i dataskyddsförordningen i det här avseendet ska därför gälla i Totalförsvarets rekryteringsmyndighets verksamhet. Datainspektionen efterfrågar hänvisningar till tillämpliga bestämmelser om säkerhet i den nya lagen. Den huvudsakliga regleringen på området kommer att utgöras av dataskyddsförordningen och dataskyddslagen. Som anförts i avsnitt 6.3 anser regeringen att det vid dessa förhållanden inte är motiverat att uttryckligen hänvisa till vissa bestämmelser i dataskyddsförordningen eller dataskyddslagen som ska gälla eftersom det är utgångspunkten så länge det inte finns avvikande reglering i den föreslagna lagen. Detta gäller även för bestämmelser om säkerheten för personuppgifter. Någon hänvisningsbestämmelse av det slag som Datainspektionen efterfrågar bör därför inte införas. Datainspektionen anför vidare att utredningen inte utförligt nog visat om skyddet för personuppgifter hos Totalförsvarets rekryteringsmyndighet är tillräckligt eller om det föreligger något behov av att stärka skyddet för dessa personuppgifter ytterligare. Den personuppgiftsansvariges skyldighet att se till att lämpliga tekniska och organisatoriska säkerhetsåtgärder vidtas har ett nära samband med ansvaret för informationssäkerheten i hela verksamheten. Detta gäller inte minst Totalförsvarets rekryteringsmyndighets verksamhet där skyddet för personuppgifter även behöver säkerställas med hänsyn till Sveriges säkerhet. Bestämmelser om säkerhetsskydd finns i säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658). Dessa författningar gäller för bl.a. den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet. Sådan verksamhet benämns som säkerhetskänslig verksamhet. Regelverket för säkerhetsskydd ställer långtgående krav på verksamhetsutövaren att utreda behovet av säkerhetsskydd och planera och vidta de säkerhetsskyddsåtgärder som behövs. Försvarsmakten, som utövar tillsyn över säkerhetsskyddet vid bl.a. Totalförsvarets rekryteringsmyndighet, har meddelat föreskrifter om säkerhetsskydd (FFS 2019:2) som gäller för Totalförsvarets rekryteringsmyndighet. Vidare har Totalförsvarets rekryteringsmyndighet utfärdat interna bestämmelser om säkerhetsskydd. Myndigheten förväntas att se över dessa interna bestämmelser med anledning av det nya regelverket om säkerhetsskydd. Utöver regelverket om säkerhetsskydd finns bestämmelser om myndigheters informationssäkerhet i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Dessa bestämmelser gäller även sådan verksamhet som inte är säkerhetskänslig verksamhet. Totalförsvarets rekryteringsmyndighet har också utfärdat interna bestämmelser om it-säkerhet. Sammantaget anser regeringen att dataskyddsförordningens bestämmelser om säkerhet för personuppgifter, regelverket om säkerhetsskydd och övriga bestämmelser om myndigheters informationssäkerhet, tillgodoser det behov av säkerhet som finns när det gäller Totalförsvarets rekryteringsmyndighets verksamhet och de uppgifter som behandlas i myndighetens verksamhet. Regeringen delar därför inte Datainspektionens uppfattning att det finns ett behov av att härutöver analysera huruvida skyddet för personuppgifter hos Totalförsvarets rekryteringsmyndighet är tillräckligt eller om det föreligger något behov av att stärka skyddet för dessa personuppgifter ytterligare. 19.2 Rättelse och annan korrigering Regeringens bedömning: Dataskyddsförordningens bestämmelser om rätt till rättelse, radering och begränsning av behandling bör gälla i Totalförsvarets rekryteringsmyndighets verksamhet. Någon bestämmelse om rättelse och annan korrigering behöver därför inte föras in i den nya lagen. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens bedömning. Skälen för regeringens bedömning: Det är viktigt att det finns en möjlighet för enskilda att se till att en felaktig behandling av personuppgifter rättas eller på annat sätt korrigeras av Totalförsvarets rekryteringsmyndighet. Detta behov tillgodoses i dag genom bestämmelsen i 18 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga som stadgar att bestämmelserna i personuppgiftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, ska gälla även då personuppgifter behandlats i strid med lagen eller föreskrifter som utfärdats med stöd av lagen. Dataskyddsförordningens bestämmelser om den registrerades rätt till rättelse, radering respektive begränsning av behandlingen (artiklarna 16-18) är direkt tillämpliga och gäller generellt även i myndigheternas verksamhet. Genom den föreslagna bestämmelsen i 4 § i den nya lagen gäller dessa rättigheter även i Totalförsvarets rekryteringsmyndighet, om det inte finns avvikande regleringar i detta avseende. Det saknas skäl att införa några avvikande bestämmelser. Bestämmelserna bör följaktligen tillämpas av Totalförsvarets rekryteringsmyndighet. Någon bestämmelse om rättelse och annan korrigering behöver därför inte föras in i den nya lagen. 19.3 Dataskyddsombud Regeringens bedömning: Dataskyddsförordningens bestämmelser om dataskyddsombud bör gälla i Totalförsvarets rekryteringsmyndighets verksamhet. Bestämmelser om dataskyddsombud behöver därför inte föras in i lagen. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens bedömning. Skälen för regeringens bedömning: Lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga innehåller inte några bestämmelser om anmälningsskyldighet eller dataskyddsombud. Det innebär att personuppgiftslagens bestämmelser om detta är tillämpliga. Totalförsvarets rekryteringsmyndighet har utsett ett personuppgiftsombud som för en förteckning över de behandlingar som myndigheten genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte funnits (jfr 37 och 39 §§ personuppgiftslagen). I och med dataskyddsförordningens ikraftträdande gäller dataskyddsförordningens bestämmelser om krav på dataskyddsombud i myndigheters och offentliga organs verksamhet (artikel 37). Någon skyldighet för dataskyddsombudet att föra förteckning över behandlingar motsvarande den som personuppgiftsombudet har finns inte enligt dataskyddsförordningen. I stället är det varje personuppgiftsansvarigs skyldighet att föra ett register över den behandling som utförts (artikel 30). Genom den föreslagna bestämmelsen i 4 § i den nya lagen gäller dataskyddsförordningen i denna del i Totalförsvarets rekryteringsmyndighets verksamhet, om det inte finns avvikande regleringar i detta avseende. I likhet med vad som anförts i föregående avsnitt saknas det skäl att avvika från dataskyddsförordningens bestämmelser i det här avseendet. Bestämmelserna bör således tillämpas av Totalförsvarets rekryteringsmyndighet i likhet med andra myndigheter. Bestämmelser om dataskyddsombud behöver därför inte föras in i den nya lagen. 19.4 Information och tillgång till personuppgifter Regeringens bedömning: Bestämmelserna i dataskyddslagen liksom dataskyddsförordningens bestämmelser om information och tillgång till personuppgifter bör gälla vid behandling av personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet. Bestämmelser om information och tillgång till personuppgifter behöver därför inte föras in i lagen. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens bedömning. Skälen för regeringens bedömning: I artiklarna 13 och 14 i dataskyddsförordningen anges den personuppgiftsansvariges skyldighet att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter. Den registrerade har vidare enligt artikel 15 en rätt att på begäran få tillgång till de personuppgifter som behandlas och viss information. I dataskyddslagen har införts vissa begränsningar i förhållande till artiklarna 13-15 i dataskyddsförordningen. I 5 kap. 1 § den lagen anges att artiklarna 13-15 i dataskyddsförordningen om information och rätt att få tillgång till personuppgifter inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Enligt 5 kap. 2 § dataskyddslagen gäller artikel 15 i dataskyddsförordningen som utgångspunkt inte personuppgifter i löpande text som inte har fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckningar eller liknande. Dataskyddslagens bestämmelser i 5 kap. 1 och 2 §§ motsvarar i allt väsentligt bestämmelserna i personuppgiftslagen (1998:204) som redan tillämpas av Totalförsvarets rekryteringsmyndighet. En tillämpning av de föreslagna bestämmelserna i dataskyddslagen kommer därför att innebära få förändringar i förhållande till vad som gäller i dag. Det har inte heller framkommit skäl att avvika från dataskyddsförordningens eller dataskyddslagens bestämmelser i detta avseende. Bestämmelserna i dataskyddslagen och dataskyddsförordningen bör därför tillämpas gälla vid behandling av personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet. Bestämmelser om information och tillgång till personuppgifter behöver därför inte föras in i den nya lagen. Bemyndigandet i 5 kap. 3 § dataskyddslagen innebär att regeringen med stöd av artikel 23 i dataskyddsförordningen kan meddela ytterligare begränsningar i vissa av de rättigheter som följer av förordningen. 19.5 Skadestånd Regeringens bedömning: Bestämmelserna om skadestånd i dataskyddsförordningen och dataskyddslagen bör tillämpas vid Totalförsvarets rekryteringsmyndighets behandling av personuppgifter enligt den föreslagna lagen. Någon bestämmelse om skadestånd behöver därför inte föras in i lagen. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens bedömning. Skälen för regeringens bedömning: Enligt 19 § lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga tillämpas personuppgiftslagens bestämmelser om skadestånd då personuppgifter behandlats i strid med lagen. Personuppgiftslagen har upphävts. Bestämmelser om skadestånd finns i stället dels i dataskyddsförordningen (artikel 82), dels i dataskyddslagen (7 kap. 1 §). Enligt 7 kap. 1 § dataskyddslagen gäller rätten till ersättning enligt artikel 82 i dataskyddsförordningen vid överträdelser av bestämmelser i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen. Då ingen avvikande reglering föreslås i den nya lagen kommer bestämmelsen i artikel 82 i dataskyddsförordningen gälla i Totalförsvarets rekryteringsmyndighets verksamhet. Det saknas därför behov av en bestämmelse om skadestånd i den föreslagna lagen. 19.6 Administrativa sanktionsavgifter Regeringens bedömning: Bestämmelserna om administrativa sanktionsavgifter i dataskyddslagen bör tillämpas vid Totalförsvarets rekryteringsmyndighets behandling av personuppgifter enligt den föreslagna lagen. Någon bestämmelse om administrativa sanktionsavgifter behöver därför inte föras in i lagen. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över utredningens bedömning. Skälen för regeringens bedömning: Dataskyddsförordningens bestämmelser om administrativa sanktionsavgifter (artikel 83) är inte direkt tillämpliga när det gäller offentliga myndigheter och organ. I stället har medlemsstaterna getts möjlighet att själva besluta om administrativa sanktionsavgifter ska kunna beslutas för personuppgiftsansvariga i offentlig verksamhet. I 6 kap. dataskyddslagen har det därför förts in bestämmelser som föreskriver att dataskyddsförordningens bestämmelser om administrativa sanktionsavgifter ska gälla även för myndigheter. Det saknas tillräckliga skäl för att Totalförsvarets rekryteringsmyndighet inte ska omfattas av samma sanktionsbestämmelser som andra myndigheter. Bestämmelserna om administrativa sanktionsavgifter i dataskyddslagen och dataskyddsförordningen bör därför gälla även i fråga om Totalförsvarets rekryteringsmyndighets behandling av personuppgifter. Någon bestämmelse om administrativa sanktionsavgifter behöver därför inte föras in i den föreslagna lagen. 20 Bevarande och gallring 20.1 Bevarande för arkivändamål Regeringens förslag: Personuppgifter ska avskiljas så att tillgången till dem begränsas när de inte längre behövs i Totalförsvarets rekryteringsmyndighets löpande verksamhet för de primära ändamålen. Personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår då den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap. En upplysningsbestämmelse införs om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter om avskiljande av personuppgifter. Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Datainspektionen ser positivt på att det införs regler om avskiljande samt att bestämmelser om gallring tas bort men förespråkar att inte bara ett avskiljande, utan även en hänvisning om längsta tid för behandling införs. Datainspektionen efterlyser bestämmelser i totalförsvarsdatalagen som uppmärksammar tillämparen på att de personuppgifter som inte är nödvändiga för bl.a. forskningsändamål inte ska bevaras i Totalförsvarets rekryteringsmyndighets informationssystem. Riksarkivet är positivt till att det inte föreslås någon bestämmelse om gallring i lagen utan att uppgifter som inte behövs för sitt ändamål i stället ska avskiljas och kunna göras tillgängliga för forskning genom att de förvaras i ett e-arkiv. Övriga remissinstanser är positiva till eller yttrar sig inte särskilt över utredningens förslag. Skälen för regeringens förslag Inledande om bevarande och gallring Enligt 2 kap. 1 § tryckfrihetsförordningen har varje svensk medborgare rätt att ta del av allmänna handlingar. Bestämmelsen medför en skyldighet för myndigheterna att bevara handlingar för att möjliggöra denna rätt till handlingsoffentlighet. Enligt 2 kap. 18 § tryckfrihetsförordningen ska bestämmelser om hur allmänna handlingar ska bevaras och gallras meddelas i lag. Bestämmelser om myndigheternas skyldighet att bevara och gallra allmänna handlingar finns framför allt i arkivlagen (1990:782), arkivförordningen (1991:446) och Riksarkivets föreskrifter (RA-FS och RA-MS). Bestämmelser om gallring finns även ofta i registerförfattningar som reglerar behandling av personuppgifter. Huvudregeln i arkivlagstiftningen är att allmänna handlingar ska bevaras. Det kommer till uttryck i 3 § arkivlagen, som anger att myndigheternas arkiv som huvudregel ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Enligt 10 § arkivlagen får dock allmänna handlingar under vissa förutsättningar gallras. Med gallring avses att allmänna handlingar eller uppgifter i allmänna handlingar förstörs. Arkivlagens bestämmelser om gallring är subsidiära i förhållande till annan lagstiftning. Det innebär att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning har de bestämmelserna företräde (10 § tredje stycket arkivlagen). I registerförfattningar är det vanligt med bestämmelser om gallring. Sådana bestämmelser innebär i allmänhet att en omvänd princip tillämpas där huvudregeln är gallring och inte, som i arkivlagen, bevarande. Bevarande och gallring i Totalförsvarets rekryteringsmyndighets verksamhet Enligt 15 § första stycket lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga ska en personuppgift i det automatiserade registret över totalförsvarspliktiga gallras så snart uppgiften inte längre behövs för de ändamål som anges i 1 § första stycket. Personuppgifter ska gallras senast vid utgången av det kalenderår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Detta gäller personuppgifter om dem som avses i 8 § första stycket 1-3, dvs. den som 1. är eller har varit aktuell för mönstring eller annan utredning, 2. genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret eller 3. ska utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret. Uppgifter om närstående, beslutsfattare, handläggare, den som gjort journalanteckning samt om personer som nämns bland vad som antecknats med stöd av 9 § första stycket 13 ska härvid anses som uppgifter om den totalförsvarspliktige. Regeringen får meddela föreskrifter om kortare tid för gallring än vad som följer av detta stycke. För personuppgifter som Totalförsvarets rekryteringsmyndighet behandlar utan att registrera dem i register som förs med hjälp av automatiserad behandling, ansågs vid lagens tillkomst inte några särskilda bestämmelser om gallring vara nödvändiga. Arkivlagens huvudregel om att handlingarna ska bevaras och de möjligheter arkivmyndigheten (Riksarkivet) har att lämna föreskrifter ansågs tillräckliga (prop. 1997/98:80 s. 71 f.) Den gallring som Totalförsvarets rekryteringsmyndighet utför enligt 15 § lagen om behandling av totalförsvarspliktiga omfattar således endast gallring av personuppgifter i det automatiserade registret över totalförsvarspliktiga, dvs. myndighetens informationssystem. Det innebär i praktiken att huvuddelen av uppgifterna överförs och sparas i myndighetens s.k. forskningsarkivregister i syfte att utgöra underlag för forskning. De uppgifter som alltjämt behövs i myndighetens löpande verksamhet, exempelvis namn, adress och tjänstgöringsuppgifter sparas i informationssystemen till och med den tidpunkt då den totalförsvarspliktige fyller 70 år. I de fall den totalförsvarspliktige har en uppgift inom totalförsvaret vid höjd beredskap, sparas uppgifterna ännu längre. Därefter överförs uppgifterna till en särskild databas för långtidslagring, ett s.k. elektroniskt slutarkiv. Vissa uppgifter överförs sedan till Riksarkivet. Vid vilken tidpunkt handlingar ska överföras från Totalförsvarets rekryteringsmyndighet till Riksarkivet fastställs genom en överenskommelse mellan de båda myndigheterna. Någon regelrätt gallring i arkivlagens mening, dvs. att uppgifterna rent faktiskt förstörs genom att informationen raderas från databäraren, sker alltså i allmänhet inte. Bevarande för arkivändamål Personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet fortsätter att vara en del av verksamheten även efter det att de handlingar som de ingår i har arkiverats, i vart fall så länge arkiveringen sker hos myndigheten. Arkivering av personuppgifter omfattas därmed av den nya lagens tillämpningsområde. Av artikel 5.1 b i dataskyddsförordningen framgår att vidarebehandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses vara oförenlig med de ursprungliga ändamålen. För att klargöra att vidarebehandling av personuppgifter för arkivändamål är tillåten enligt den nya lagen föreslås en bestämmelse i 7 § andra stycket av vilken det framgår att personuppgifter som får behandlas för de primära ändamålen får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (se vidare avsnitt 9.2.2). Behovet av en särskild gallringsbestämmelse I Totalförsvarets rekryteringsmyndighets verksamhet behandlas en betydande mängd personuppgifter om ett stort antal totalförsvarspliktiga i myndighetens olika informationssystem. Behandlingen grundar sig till övervägande del på den skyldighet för totalförsvarspliktiga att lämna uppgifter om sina personliga förhållanden i mönstringsunderlaget enligt lagen (1994:1809) om totalförsvarsplikt. Många av de personuppgifter som Totalförsvarets rekryteringsmyndighet registrerar har ett stort värde för forskningen. Uppgifterna innehåller en allsidig information beträffande en stor del av befolkningen vid en viss ålder. Samma slags uppgifter samlas in år efter år och förändringar av t.ex. folkhälsan kan härigenom kontinuerligt följas (prop. 1997/98:80 s. 72 f.). Det finns alltså ett stort behov av att för forskningsändamål bevara många av de personuppgifter som behandlas i myndighetens verksamhet. Huvuddelen av de personuppgifter som behandlas i den löpande verksamheten överförs vid olika tidpunkter då de inte längre behövs till myndighetens s.k. forskningsarkivregister och sparas där i syfte att utgöra underlag för forskning. Övriga uppgifter sparas som regel till och med den tidpunkt då den totalförsvarspliktige fyller 70 år i något av myndighetens informationssystem för den löpande verksamheten för att därefter överföras till ett elektroniskt slutarkiv. När handlingar ska överföras till Riksarkivet fastställs genom en överenskommelse mellan Totalförsvarets rekryteringsmyndighet och Riksarkivet. Den gallring som Totalförsvarets rekryteringsmyndighet utför enligt 15 § lagen om behandling av personuppgifter om totalförsvarspliktiga är därmed ytterst begränsad. Regeringen anser därför att bevarande enligt arkivlagens bestämmelser bör vara utgångspunkten i den nya lagen. Någon bestämmelse om gallring bör därför inte införas i lagen. I stället ska bestämmelserna om gallring i arkivlagen gälla inklusive möjligheterna för Riksarkivet att meddela föreskrifter. Att, såsom Datainspektionen föreslår, införa en särskild bestämmelse i den nya lagen om att uppgifter som inte är nödvändiga för bl.a. forskningsändamål inte ska bevaras i Totalförsvarets rekryteringsmyndighets informationssystem är därmed inte nödvändigt enligt regeringen. Avskiljande av inaktuella personuppgifter Det är viktigt att personuppgifter endast finns tillgängliga så länge som det finns berättigade ändamål för behandlingen (jfr artikel 5.1 b i dataskyddsförordningen). Det är därför - ur ett integritetsskyddsperspektiv - angeläget att uppgifter som inte längre behövs för något av de i lagen angivna ändamålen avförs från den löpande verksamheten så att de inte längre finns tillgängliga för samtliga anställda vid Totalförsvarets rekryteringsmyndighet. De uppgifter om totalförsvarspliktiga som behandlas i myndighetens verksamhet är ofta av integritetskänslig karaktär. Från integritetsskyddssynpunkt är det därför viktigt att uppgifterna finns tillgängliga för de anställda endast så länge som de har behov av uppgifterna för att kunna utföra sina arbetsuppgifter. En bestämmelse bör därför införas i den nya lagen som innebär att personuppgifter ska avskiljas när de inte längre behövs i den löpande verksamheten för de primära ändamålen. Ett avskiljande innebär att uppgiften avskiljs från fortsatt behandling. I teknisk mening innebär det inte att uppgifterna utplånas utan de bevaras i andra lagringsutrymmen för forsknings- eller andra arkivändamål. Utformningen av bestämmelsen bör vara generell i den meningen att det ankommer på Totalförsvarets rekryteringsmyndighet att bestämma hur avskiljandet ska ske så länge det inte innebär någon informationsförlust av något slag. Någon anledning att i lagen precisera hur personuppgifterna ska avskiljas föreligger inte enligt regeringens bedömning. För att tillgodose integritetsskyddet är det dock av vikt att föreskriva en yttersta gräns för hur länge personuppgifter får behandlas i den löpande verksamheten innan de ska avskiljas. Regeringen anser att personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, dvs. vid totalförsvarspliktens upphörande. Om det dock vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse utifrån de i lagen angivna ändamålen ska de avskiljas redan vid denna tidpunkt. Det är dock inte ovanligt att totalförsvarspliktiga har uppgifter att fylla inom totalförsvaret även efter det att totalförsvarsplikten har upphört, t.ex. medlemmar i frivilligorganisationer som väljer att kvarstå som medlemmar efter att de fyllt 70 år och som därmed behåller sina krigsuppgifter. Det kan också föreligga en skyldighet för vissa totalförsvarspliktiga att utföra uppgifter inom totalförsvaret vid höjd beredskap trots att de har fyllt 70 år. I likhet med nu gällande reglering bör därför bestämmelsen kompletteras med ett undantag från sjuttioårsgränsen för dem som därefter har en uppgift inom totalförsvaret vid höjd beredskap. Ett sådant undantag bör därför föras in i den nya lagen. Datainspektionen förespråkar att inte bara ett avskiljande, utan även att en bestämmelse om längsta tid för behandling införs i den nya lagen. Som redogjorts för ovan har Totalförsvarets rekryteringsmyndighet i många fall behov av att behandla personuppgifter under en längre tid. Uppgifterna får dock endast behandlas om det behövs för något av de ändamål som är angivna i den föreslagna lagen eller för arkivändamål. Dessutom föreslås att tillgången till uppgifterna ska begränsas till vad varje anställd behöver för att kunna fullgöra sina uppgifter. När uppgifterna inte längre behövs i myndighetens löpande verksamhet ska de avskiljas så att tillgången till dem begränsas. Enligt regeringens mening säkerställer kravet på att behandlingen ska vara nödvändig för angivna ändamål samt bestämmelserna om avskiljande, begränsning av tillgången till uppgifter och arkivering skyddet för den enskildes integritet samtidigt som myndighetens behov av att kunna behandla personuppgifter tillgodoses. Någon bestämmelse om längsta tid för behandling av personuppgifter föreslås därför inte. En upplysningsbestämmelse införs Regeringen anser att bestämmelsen om avskiljande av inaktuella personuppgifter bör kompletteras med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter om avskiljande av personuppgifter. 20.2 Bevarande av känsliga personuppgifter Regeringens bedömning: Bestämmelsen i dataskyddslagen om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse bör tillämpas i Totalförsvarets rekryteringsmyndighets verksamhet. Någon motsvarande bestämmelse behöver därför inte föras in i lagen. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: I 3 kap. 6 § i dataskyddslagen finns en bestämmelse om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse. Det saknas skäl för att Totalförsvarets rekryteringsmyndighet inte ska omfattas av samma bestämmelse som andra myndigheter i detta avseende. Bestämmelsen om behandling av känsliga personuppgifter för arkivändamål av allmänt intresse i dataskyddslagen bör därför gälla även i Totalförsvarets rekryteringsmyndighets verksamhet. Någon bestämmelse om bevarande av känsliga personuppgifter behöver därför inte föras in i den föreslagna lagen. 21 Sekretess 21.1 Sekretess i Totalförsvarets rekryteringsmyndighets verksamhet I Totalförsvarets rekryteringsmyndighet gäller ett flertal bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Flera sekretessbestämmelser kan vara tillämpliga på en uppgift hos en myndighet. Om en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, är huvudregeln att de senare bestämmelserna har företräde. 21.1.1 Försvarssekretess Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs (15 kap. 2 § OSL). Sekretessen gäller i högst 40 år. Om det finns särskilda skäl, får dock regeringen meddela föreskrifter om att sekretessen ska gälla under längre tid. I Totalförsvarets rekryteringsmyndighets verksamhet kan t.ex. uppgifter om totalförsvarspliktigas krigsplacering och befattning omfattas av bestämmelsen. 21.1.2 Kunskapsprov Sekretess gäller för uppgift som ingår i eller utgör underlag för kunskapsprov eller psykologiskt prov under en myndighets överinseende, om det kan antas att syftet med provet motverkas om uppgiften röjs (17 kap. 4 § OSL). Någon sekretesstid är inte föreskriven i denna bestämmelse. Bestämmelsen aktualiseras vid utlämnande av uppgifter i de begåvningstest och anlagstest som totalförsvarspliktiga får genomföra vid mönstring eller annan utredning. 21.1.3 Hälsotillstånd och hälso- och sjukvård Sekretess gäller för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst 70 år (21 kap. 1 § OSL). Bestämmelsen innebär ett minimiskydd för uppgifter om enskildas hälsa och andra personliga förhållanden inom den offentliga sektorn. Uppgifter om enskildas hälsa och andra personliga förhållanden skyddas även av bestämmelsen om hälso- och sjukvårdssekretess i 25 kap. 1 § OSL. Av bestämmelsen följer att sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detsamma gäller i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar. Med annan medicinsk verksamhet åsyftas t.ex. rättsmedicinsk undersökning och läkarundersökning som inte primärt har vård- eller behandlingssyfte utan går ut på att fastställa en persons lämplighet för viss befattning, t.ex. inom försvaret. Bestämmelsen är således tillämplig på de medicinska och psykologiska undersökningar som förekommer vid inskrivning av totalförsvarspliktiga (prop. 1979/80:2 Del A s. 167 och 204). Sekretesstiden för uppgifter i allmänna handlingar är enligt bestämmelsen högst 70 år. 21.1.4 Behandling i strid med dataskyddsregleringen Av 21 kap. 7 § OSL framgår att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Någon sekretesstid är inte föreskriven i bestämmelsen. 21.1.5 Register över totalförsvarets personal Enligt 6 § offentlighets- och sekretessförordningen (2009:641) gäller sekretess i verksamhet som avser registrering av betydande del av befolkningen för bl.a. uppgift om enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs. Sekretesstiden för uppgifter i allmänna handlingar är enligt bestämmelsen högst 70 år. Sådan verksamhet som avses i bestämmelsen är bl.a. Totalförsvarets rekryteringsmyndighets register över totalförsvarets personal. 21.1.6 Uppgifter vid utredning, inskrivning, krigsplacering m.m. Enligt 38 kap. 1 § OSL gäller sekretess för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i ärende som angår 1. utredning om totalförsvarspliktigas personliga förhållanden, 2. antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar, 3. inskrivning och krigsplacering av totalförsvarspliktiga, 4. antagning till utbildning vid Försvarsmakten, eller 5. skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring. Sekretessen gäller inte beslut i ärende. För uppgift i en allmän handling gäller sekretessen i högst 50 år. Bestämmelsen om sekretess enligt punkt 1 är i första hand tillämplig hos Totalförsvarets rekryteringsmyndighet som ansvarar för och genomför utredningar beträffande de totalförsvarspliktiga. Bestämmelsen är dock även tillämplig hos andra myndigheter som utför utredningar om totalförsvarspliktigas personliga förhållanden med stöd av lagen (1994:1809) om totalförsvarsplikt. Vidare gäller sekretessen i ärenden om inskrivning och krigsplacering av totalförsvarspliktiga (punkt 3). I denna del är bestämmelsen tillämplig hos Totalförsvarets rekryteringsmyndighet och Statens överklagandenämnd. Som exempel på vad som kan omfattas av bestämmelsen kan nämnas uppgifter som kommer fram vid de psykologiska undersökningarna. Vidare gäller sekretessen enligt första stycket i ärenden som angår skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring (punkt 5). En förutsättning för att sekretess ska gälla i de aktuella ärendena är att det kan antas att uppgifterna gäller enskilds personliga förhållanden samt att den enskilde eller någon närstående till denne lider men om uppgifterna röjs. Ett rakt skaderekvisit gäller alltså med en presumtion för offentlighet. Enligt 38 kap. 2 § OSL gäller sekretess inom personalvård med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om en enskilds personliga förhållanden hos en konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelägenheter, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. För uppgift i en allmän handling gäller sekretessen i högst 50 år. Enligt bestämmelsen gäller sekretess inom Försvarsmaktens personalsociala verksamhet avseende de totalförsvarspliktiga. Sekretessen gäller med ett omvänt skaderekvisit och tar sikte på bl.a. uppgifter som hänför sig till psykologisk undersökning. Det råder således en presumtion för att uppgifterna omfattas av sekretess. Att märka är att psykologiska undersökningar som sker i annat än personalvårdande sammanhang, t.ex. vid inskrivningen, inte omfattas av den strängare sekretessen i denna paragraf. 21.2 Ett omvänt skaderekvisit bör inte införas Regeringens bedömning: Ett omvänt skaderekvisit i 38 kap. 1 § offentlighets- och sekretesslagen bör för närvarande inte införas. Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att ett omvänt skaderekvisit införs i 38 kap. 1 § OSL i syfte att stärka sekretesskyddet för uppgifter om totalförsvarspliktigas personliga förhållanden. Remissinstanserna: Länsstyrelsen i Gotlands län och Uppsala universitet instämmer i utredningens förslag. Journalistförbundet avstyrker förslaget och anför att de argument för ökad sekretess som nämns i utredningen inte är tillräckliga för att inskränka insynen i en så pass samhällsviktig fråga som urvalsprocessen, eftersom resultatet av den är avgörande för förmågan att försvara landet. Övriga remissinstanser har inte invänt mot förslaget. Skälen för regeringens förslag: Som redogjorts för i avsnitt 21.1.6 omfattas de uppgifter som Totalförsvarets rekryteringsmyndighet behandlar vid bl.a. utredning om totalförsvarspliktigas personliga förhållanden, inskrivning och krigsplacering av totalförsvarspliktiga, antagning till utbildning vid Försvarsmakten eller vid tjänstgöring med totalförsvarsplikt av bestämmelsen i 38 kap. 1 § OSL. För uppgifterna råder en presumtion för offentlighet (rakt skaderekvisit). Uppgifter om den totalförsvarspliktiges personliga förhållanden som framkommer vid mönstring eller annan utredning förs regelmässigt över till befattningshavare vid totalförsvarets utbildningsenheter, företrädesvis Försvarsmakten. För denna verksamhet gäller det motsatta förhållandet, dvs. det råder en presumtion för sekretess (omvänt skaderekvisit). Detta innebär att samtliga uppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret som lämnas över från Totalförsvarets rekryteringsmyndighet till Försvarsmakten eller andra mottagare för utbildning för totalförsvarsändamål, åtnjuter ett svagare sekretesskydd hos Totalförsvarets rekryteringsmyndighet än hos totalförsvarets utbildningsenheter. Detta förhållande uppmärksammades av regeringen redan vid tillkomsten av bestämmelsen i dess nuvarande lydelse, och bedömdes inte vara ändamålsenligt (se prop. 1997/98:80 s. 74 f.). Utredningen redogör för det nu nämnda och framhåller vidare att en betydande del av de uppgifter som lämnas till och behandlas av Totalförsvarets rekryteringsmyndighet antingen är känsliga personuppgifter eller uppgifter av mycket integritetskänslig karaktär. Därtill rör det sig om en betydande mängd uppgifter om en stor del av befolkningen. Flertalet av uppgifterna härrör också från den lagstadgade skyldigheten för totalförsvarspliktiga att lämna uppgifter om sina personliga förhållanden och lämnas under straffansvar (jfr 2 kap. 1 § och 10 kap. 1 § lagen om totalförsvarsplikt). Mot denna bakgrund föreslår utredningen att ett omvänt skaderekvisit införs i 38 kap. 1 § OSL. Journalistförbundet anför att de argument för ökad sekretess som nämns i utredningen inte är tillräckliga för att inskränka insynen i en så pass samhällsviktig fråga som urvalsprocessen eftersom resultatet av den är avgörande för förmågan att försvara landet. Regeringen konstaterar att en ändring enligt utredningens förslag skulle innebära att uppgifterna får ett likvärdigt skydd oavsett om de finns i Totalförsvarets rekryteringsmyndighets verksamhet eller hos exempelvis Försvarsmakten. Utredningens förslag innebär dock att sekretesskyddet stärks även för uppgifter som finns i andra typer av ärenden och som även hanteras av andra aktörer än Totalförsvarets rekryteringsmyndighet. Dessa aspekter behandlas inte närmare av utredningen. Mot denna bakgrund och då det saknas en närmare analys av allmänhetens behov av insyn i de ärenden där 38 kap. 1 § OSL kan bli tillämplig väljer regeringen att inte nu lägga fram ett förslag om ett omvänt skaderekvisit. 21.3 Någon ny sekretessbrytande bestämmelse behövs inte Regeringens bedömning: Någon särskild sekretessbrytande bestämmelse behövs inte i den verksamhet som Totalförsvarets rekryteringsmyndighet bedriver. Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen anför att det kan hävdas att Totalförsvarets rekryteringsmyndighets verksamhet som avser medicinsk insats och myndighetens inskrivningsverksamhet kan anses vara två skilda verksamheter. För att den förstnämnda verksamheten ska kunna lämna uppgifter till inskrivningsverksamheten föreslår utredningen en sekretessbrytande bestämmelse i 25 kap. OSL. Remissinstanserna har inte invänt mot förslaget. Skälen för regeringens bedömning: Utredningen har anfört att Totalförsvarets rekryteringsmyndighet är organiserad på ett sådant sätt att det kan hävdas att Totalförsvarets rekryteringsmyndighets verksamhet som avser medicinsk insats och myndighetens inskrivningsverksamhet är självständiga i förhållande till varandra. Regeringen konstaterar att sekretess gäller inom en myndighet, om det finns olika verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Endast om det finns olika delar av en myndighets verksamhet som har att tillämpa sinsemellan helt olika uppsättningar av sekretessbestämmelser är det fråga om olika verksamhetsgrenar i OSL:s mening. Om verksamheterna bedöms utgöra olika verksamhetsgrenar behöver det därutöver göras en bedömning av om de olika verksamhetsgrenarna också har organiserats på ett sådant sätt att de förhåller sig självständigt i förhållande till varandra. Det är bara om båda dessa kriterier är uppfyllda som det uppstår en sekretessgräns inom en myndighet (prop. 2008/09:150 s. 356 f.). Totalförsvarets rekryteringsmyndighet är central för personalförsörjningen av totalförsvaret. I syfte att tillgodose totalförsvarets behov av personal har Totalförsvarets rekryteringsmyndighet i uppdrag att bl.a. utföra utredningar om totalförsvarspliktigas personliga förhållanden, mönstra, skriva in och krigsplacera dessa enligt lagen om totalförsvarsplikt. Som redogörs för i avsnitt 21.1 omfattas de uppgifter som förekommer i myndighetens verksamhet i stor utsträckning av sekretess. Vilka sekretessbestämmelser som är tillämpliga kan variera beroende på vilken typ av uppgift det är fråga om men också i någon mån var i verksamheten uppgiften finns. Uppgifter som rör krigsplaceringar kan t.ex. omfattas av försvarssekretess enligt bestämmelsen i 15 kap. 2 § OSL medan uppgifter om totalförsvarspliktigas personliga förhållanden kan omfattas av bestämmelsen i 38 kap. 1 § OSL. Uppgifter som framkommer när myndigheten utför medicinska eller psykologiska undersökningar kan omfattas av bestämmelsen om hälso- och sjukvårdssekretess i 25 kap. 1 § OSL. Totalförsvarets rekryteringsmyndighet har en avdelning för bemanning och beredskap och en avdelning för prövning. Avdelningen för bemanning och beredskap redovisar totalförsvarets personal, handlägger ärenden som rör totalförsvarspliktiga samt stödjer och ger service till myndighetens uppdragsgivare. De uppgifter om totalförsvarspliktiga som hanteras i den handläggningen omfattas många gånger av bestämmelsen i 38 kap. 1 § OSL. Vid avdelningen för prövning genomförs bl.a. medicinska och psykologiska undersökningar av totalförsvarspliktiga och de uppgifter som framkommer vid dessa undersökningar kan omfattas av bestämmelsen i 25 kap. 1 § OSL om hälso- och sjukvårdssekretess. Vid de nämnda avdelningarna tillämpas således olika sekretessbestämmelser. En sekretessgräns inom Totalförsvarets rekryteringsmyndighet förutsätter dock att myndigheten är organiserad på ett sådant sätt att avdelningen för bemanning och beredskap och avdelningen för prövning är självständiga i förhållande till varandra. Tecken på att sådan självständighet föreligger kan vara att en avdelning fattar beslut i eget namn, självständigt förvaltar viss egendom, har viss handlingsfrihet inom en given ekonomisk ram eller i övrigt kan vidta vissa faktiska åtgärder självständigt eller på eget ansvar (prop. 1975/76:160 s. 152). Regeringen konstaterar att insamlingen av uppgifter vid medicinska och psykologiska undersökningar görs inom ramen för mönstringsförfarandet enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt för att sedan användas för bedömningar i ärenden om totalförsvarspliktiga vid avdelningen för bemanning och beredskap. Uppgifterna som samlats in inom ramen för dylika undersökningar är således nödvändiga för att bedömningarna i den senare verksamheten ska kunna komma till stånd. Avdelningarnas gemensamma arbete ligger till grund för myndighetens beslut. Inte heller i övrigt finns sådana kännetecken som kan tala för att avdelningarna är självständiga i förhållande till varandra. Med beaktande av ovan finner regeringen att omständigheterna inte är sådana att Totalförsvarets rekryteringsmyndighet kan anses vara organiserad på så sätt att det inom myndigheten finns sådana självständiga verksamhetsgrenar som avses i 8 kap. 2 § OSL, som innebär att det inom myndigheten finns en sekretessgräns. Skäl för att införa den av utredningen föreslagna sekretessbrytande bestämmelsen saknas därför. Regeringen vill dock erinra om att avsaknaden av en sekretessgräns inom myndigheten inte innebär att möjligheten för de anställda att utbyta uppgifter som omfattas av sekretess är obegränsad. Enligt grunderna för sekretesslagstiftningen bör utlämnande av uppgifter från en befattningshavare till en annan befattningshavare förekomma endast i den utsträckning det är normalt för och behövligt för ett ärendes handläggning (prop. 1990/91:111 s. 24). I syfte att säkerställa att endast de anställda som på grund av sina arbetsuppgifter behöver åtkomst till uppgifterna får tillgång till dem föreslår regeringen att en bestämmelse som uttryckligen anger detta förs in i den nya lagen (se vidare avsnitt 13). En annan faktor som behöver beaktas i myndighetens verksamhet är bestämmelserna i säkerhetsskyddslagstiftningen, som bl.a. innebär att endast den som har behov av säkerhetsskyddsklassificerade uppgifter för att kunna utföra sitt arbete har rätt att ta del av dem (2 kap. 3 § punkt 3 säkerhetsskyddsförordningen [2018:658]). 22 Ikraftträdande- och övergångsbestämmelser Regeringens förslag: Totalförsvarsdatalagen och lagen om ändring i dataskyddslagen ska träda i kraft den 1 maj 2020. Genom totalförsvarsdatalagen upphävs lagen om behandling av personuppgifter om totalförsvarspliktiga. Punkt 3 i ikraftträdande- och övergångsbestämmelserna till dataskyddslagen ändras på så sätt att Totalförsvarets rekryteringsmyndighet inte längre anges i punkten. Regeringens bedömning: Det behövs inga övergångsbestämmelser. Utredningens förslag överensstämmer delvis med regeringens förslag och bedömning. Utredningen har föreslagit att totalförsvarsdatalagen och lagen om ändring i lagen om offentlighet och sekretess ska träda i kraft den 1 november 2018. Utredningen har inte föreslagit någon ändring i dataskyddslagen. Remissinstanserna: Länsstyrelsen i Gotlands län instämmer i utredningens förslag. Övriga remissinstanser yttrar sig inte särskilt över förslaget. Skälen för regeringens förslag och bedömning: Dataskyddsförordningen och dataskyddslagen gäller i Sverige sedan den 25 maj 2018. Regeringens förslag till ny totalförsvarsdatalag innebär att dataskyddslagens och dataskyddsförordningens bestämmelser i stor utsträckning kommer att gälla vid behandling av personuppgifter som sker med stöd av den nya lagen. Den föreslagna regleringen bör därför träda i kraft så snart som möjligt. Regeringen föreslår att den nya lagen ska träda i kraft den 1 maj 2020. Eftersom den nya lagen ersätter lagen om behandling av personuppgifter om totalförsvarspliktiga, bör den författningen upphävas när den nya regleringen träder i kraft. Av punkt 3 i ikraftträdande- och övergångsbestämmelserna till dataskyddslagen följer att personuppgiftslagen gäller övergångsvis i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten. När den nya lagen träder i kraft ska personuppgiftslagen inte längre gälla i Totalförsvarets rekryteringsmyndighets verksamhet. Punkt 3 i ikraftträdande- och övergångsbestämmelserna till dataskyddslagen bör därför ändras på så sätt att Totalförsvarets rekryteringsmyndighet inte längre anges i nämnda punkt. Det finns inte behov av några särskilda övergångsbestämmelser med anledning av de förslag som lämnas. 23 Konsekvenser Regeringens bedömning: Förslagen medför ingen kostnadsökning för det allmänna eller för enskilda. Förslagen innebär inte någon inskränkning i den kommunala självstyrelsen. Förslagen har inte någon påverkan på jämställdheten mellan män och kvinnor. De medför inte några sociala eller miljömässiga konsekvenser. Utredningens bedömning överensstämmer med regeringens. Remissinstanserna yttrar sig inte särskilt över bedömningen. Skälen för regeringens bedömning: Dataskyddsförordningen och dataskyddslagen ska i allt väsentligt tillämpas i fråga om Totalförsvarets rekryteringsmyndighets behandling av personuppgifter. Genom bestämmelser i dataskyddslagen görs dataskyddsförordningen tillämplig även för personuppgiftsbehandling som sker i verksamhet som inte omfattas av unionsrätten. En konsekvensanalys av denna bestämmelse har gjorts i det lagstiftningsärende som rör den lagen (prop. 2017/18:105 s. 178-182). Konsekvensanalysen begränsas därför till sådana konsekvenser som följer direkt av nu aktuella förslag. I de delar dataskyddsförordningen och den kompletterande dataskyddslagen ska tillämpas av Totalförsvarets rekryteringsmyndighet kan det antas uppstå behov av ökad administration, nya interna rutiner, utbildningsinsatser m.m. Förslagen avser att reglera en redan pågående verksamhet hos myndigheten och har därför anpassats till befintliga informationssystem. Dessa kan således behållas. Eftersom förslagen är teknikoberoende kan även informationssystemen utvecklas och ändras utan att lagstiftningen behöver ändras. De krav som regleringen ställer bör därför kunna uppfyllas genom en anpassning eller utveckling av de befintliga systemen samt genom utbildning och instruktioner till myndighetens anställda. Eventuella kostnader för utbildning bedöms rymmas inom befintliga kostnadsramar. Nya interna föreskrifter och styrande dokument som kan komma att krävas med anledning av den nya lagstiftningen får anses ingå i de normala uppgifterna för myndigheten. Även förslaget om krav på avskiljande får anses utgöra en del av det ordinarie utvecklingsarbetet och borde följaktligen inte medföra några större merkostnader för Totalförsvarets rekryteringsmyndighet. Förslagen har inga ekonomiska konsekvenser för andra statliga myndigheter, kommuner, regioner, företag eller andra enskilda. Regeringen bedömer därför att författningsförslagen inte kommer att medföra några kostnadsmässiga konsekvenser. Den nya lagen är, i likhet med gällande regelverk, endast i mycket begränsad omfattning tillämplig i kommuners verksamhet. Förslagen bedöms inte innebär någon inskränkning i den kommunala självstyrelsen. De bedöms inte heller ha någon påverkan på jämställdheten mellan kvinnor och män eller få några sociala eller miljömässiga konsekvenser. 24 Författningskommentar 24.1 Förslaget till totalförsvarsdatalag Lagens syfte 1 § Syftet med denna lag är att ge Totalförsvarets rekryteringsmyndighet möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett ändamålsenligt sätt samt att skydda människor mot att deras personliga integritet kränks vid sådan behandling. I paragrafen anges lagens övergripande syfte. Övervägandena finns i avsnitt 7.1. Av paragrafen framgår att syftet med lagen är dubbelt. Lagen ska både ge Totalförsvarets rekryteringsmyndighet möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom försvaret på ett ändamålsenligt sätt och samtidigt skydda enskilda mot att deras personliga integritet kränks vid sådan behandling. Därmed tydliggörs att lagen har till syfte att balansera dessa båda intressen. Lagens tillämpningsområde 2 § Denna lag gäller i Totalförsvarets rekryteringsmyndighets verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal som har en uppgift inom totalförsvaret vid höjd beredskap. I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Totalförsvarets rekryteringsmyndighet. När sådan behandling av personuppgifter som avses i första stycket utförs av Totalförsvarets rekryteringsmyndighet i egenskap av vårdgivare inom hälso- och sjukvården tillämpas patientdatalagen (2008:355). Paragrafen anger lagens materiella tillämpningsområde. Övervägandena finns i avsnitt 7.2. I första stycket anges att lagen ska gälla i Totalförsvarets rekryteringsmyndighets verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal som har en uppgift inom totalförsvaret vid höjd beredskap. Begreppen behandling respektive personuppgifter har samma betydelse som i artikel 4 i dataskyddsförordningen. Behandling av personuppgifter om avlidna eller juridiska personer omfattas således inte av lagens bestämmelser (jfr artikel 4.1 och skäl 27 i dataskyddsförordningen). Både behandling av personuppgifter om totalförsvarspliktiga och annan personal som har en uppgift inom totalförsvaret vid höjd beredskap omfattas. Med behandling av personuppgifter om annan personal som har en uppgift inom totalförsvaret vid höjd beredskap avses den behandling som Totalförsvarets rekryteringsmyndighet utför beträffande både anställd personal och avtalspersonal, vars tjänstgöringsskyldighet grundas på avtal och inte på plikt. Bestämmelsen är uttömmande i den meningen att lagen varken är tillämplig på myndighetens interna administrativa verksamhet eller uppdragsverksamhet. Med administrativ verksamhet avses t.ex. anställning och avlöning av personal, lokalfrågor, fakturahantering och liknande administrativa göromål hos myndigheten. Uppdragsverksamheten omfattar uppdrag som Totalförsvarets rekryteringsmyndighet inom sakområdet åtar sig att utföra åt andra myndigheter, kommuner, regioner och enskilda, exempelvis uppdrag om rekrytering åt Polismyndigheten, Kriminalvården eller Myndigheten för samhällsskydd och beredskap. Även behandling av personuppgifter om rekryter som genomgår utbildning enligt förordningen (2015:613) om militär grundutbildning faller utanför lagens tillämpningsområde. Först när rekryterna anställs, krigsplaceras eller tecknar avtal om frivillig tjänstgöring inom totalförsvaret omfattas de av den föreslagna lagens tillämpningsområde. Förordningen tillämpas endast när regeringen beslutat att så kan ske med hänsyn till vad Sveriges försvarsberedskap tillåter (1 § andra stycket). I andra stycket anges att i de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Totalförsvarets rekryteringsmyndighet. Här avses till en början bestämmelserna i 5 § andra stycket som reglerar personuppgiftsansvaret för den behandling av personuppgifter som utförs med stöd av lagen och i 8 § andra stycket som ger annan statlig myndighet än Totalförsvarets rekryteringsmyndighet, en kommun eller region rätt att behandla känsliga personuppgifter enligt lagen vid utredning om den totalförsvarspliktiges personliga förhållanden enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt. I 4 kap. 5 § andra stycket förordningen (1995:238) om totalförsvarsplikt anges uttömmande vilka aktörer som har sådan rätt. Vidare avses bestämmelsen i 14 § första stycket. Enligt den bestämmelsen får Försvarsmakten medges rätt att föra in och rätta personuppgifter i Totalförsvarets rekryteringsmyndighets informationssystem. Tredje stycket innehåller en upplysning om att patientdatalagen ska tillämpas när sådan behandling av personuppgifter som avses i första stycket utförs av Totalförsvarets rekryteringsmyndighet i egenskap av vårdgivare inom hälso- och sjukvården. Genom bestämmelsen erinras om att vårdgivares behandling av personuppgifter inom hälso- och sjukvården, dvs. sådan personuppgiftsbehandling som utförs i Totalförsvarets rekryteringsmyndighets medicinska verksamhet, omfattas av patientdatalagen och därmed faller utanför denna lags tillämpningsområde. 3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I paragrafen anges vilken typ av personuppgiftsbehandling som regleras av lagen. Övervägandena finns i avsnitt 7.4. Paragrafen begränsar lagens tillämpningsområde genom att det klargörs att inte all slags behandling av personuppgifter omfattas av tillämpningsområdet. Det krävs att behandlingen är helt eller delvis automatiserad eller ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Bestämmelsen har motsvarande innebörd som den i artikel 2.1 i dataskyddsförordningen. Helt manuell behandling av personuppgifter som inte ingår i ett register eller annan samling som är tillgänglig för sökning eller sammanställning faller därmed utanför lagens tillämpningsområde. Förhållandet till annan reglering 4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen. Paragrafen reglerar förhållandet mellan lagens bestämmelser om personuppgiftsbehandling och andra dataskyddsregelverk. I paragrafen anges lagens förhållande till dataskyddslagen. Övervägandena finns i avsnitt 6.3. Av 1 kap. 6 § dataskyddslagen följer att om en annan lag eller en förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från den lagen tillämpas den bestämmelsen. Bestämmelsen innebär att dataskyddslagen gäller vid behandling av personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet. En förutsättning är dock att inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Dataskyddslagen är således subsidiär i förhållande till denna lag eller föreskrifter som har meddelats i anslutning till lagen. Enligt 1 kap. 2 § dataskyddslagen ska bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och i dataskyddslagen gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Bestämmelsen innebär att förordningens bestämmelser gäller som svensk rätt vid personuppgiftsbehandling som utförs i sådan verksamhet som inte omfattas av unionsrätten, bl.a. verksamhet som rör nationell säkerhet och försvar. Till följd av 1 kap. 2 § dataskyddslagen blir dataskyddsförordningen tillämplig vid behandling av personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet, förutsatt att inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. Förutom något enstaka undantag innehåller lagen inte några termer och uttryck som avviker från dem som används i dataskyddsförordningen och dataskyddslagen utan de ska förstås på samma sätt. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen gäller vid tillämpning av lagen (jfr 1 kap. 1 § andra stycket dataskyddslagen). Personuppgiftsansvar 5 § Totalförsvarets rekryteringsmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. En kommun, region eller statlig myndighet som behandlar personuppgifter med stöd av denna lag eller föreskrifter som meddelats i anslutning till lagen är personuppgiftsansvarig för den behandlingen. I paragrafen regleras vem som ska vara personuppgiftsansvarig för behandlingen av personuppgifter. Övervägandena finns i avsnitt 8. Av definitionen i artikel 4.7 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. I första stycket anges att Totalförsvarets rekryteringsmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. I andra stycket anges att en kommun, region eller statlig myndighet som behandlar personuppgifter med stöd av denna lag eller föreskrifter som meddelats i anslutning till lagen är personuppgiftsansvarig för den behandlingen. Paragrafen klargör för de registrerade vem som ska hållas ansvarig för behandlingen av personuppgifter enligt lagen. Ändamål 6 § Personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet får behandlas om det är nödvändigt för att 1. ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, 2. redovisa personal med uppgifter inom totalförsvaret, 3. säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och en lämplig placering inom totalförsvaret, 4. se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten, 5. tillgodose den registrerades rättigheter och trygghet i egenskap av totalförsvarspliktig, och 6. fullgöra Totalförsvarets rekryteringsmyndighets serviceskyldighet gentemot bemanningsansvariga organ inom totalförsvaret. Paragrafen reglerar de primära ändamålen, dvs. de ändamål för vilka personuppgifter får både samlas in och behandlas med stöd av lagen. De sekundära ändamålen som regleras i 7 § medger endast behandling av personuppgifter som redan har samlats in. De uppräknade ändamålen i punkterna 1-6 är uttömmande och motsvarar de centrala delarna i Totalförsvarets rekryteringsmyndighets verksamhet. Övervägandena och en närmare beskrivning av ändamålen finns i avsnitt 9.2.1. Kravet på att behandlingen ska vara nödvändig innebär inte att behandlingen ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten om den leder till effektivitetsvinster. Att behandlingen skulle kunna ske manuellt, utan tekniska hjälpmedel, hindrar normalt inte att en automatiserad behandling kan anses nödvändig (prop. 2017/18:105 s. 189). 7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Paragrafen reglerar för vilka sekundära ändamål som personuppgifter får behandlas i Totalförsvarets rekryteringsmyndighets verksamhet. Behandling enligt denna bestämmelse förutsätter att uppgifterna har samlats in för något primärt ändamål som följer av 6 §. Bestämmelsen utgör således inte något stöd för att samla in personuppgifter enbart i syfte att behandla dem enligt denna paragraf. Övervägandena finns i avsnitt 9.2.2. Av första stycket framgår att personuppgifter som behandlas enligt 6 § också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Uppgifter kan lämnas ut av olika anledningar. I vissa fall lämnas uppgifter ut på grund av en skyldighet att lämna uppgifter till vissa myndigheter enligt olika författningar. I andra fall är myndigheterna enligt lag eller förordning skyldiga att på begäran lämna ut uppgifter till andra. Vidare finns det ett antal författningar med bestämmelser som medger att uppgifter får lämnas ut utan att det finns någon uttrycklig skyldighet att göra det. Det kan exempelvis vara fråga om en åtgärd som vidtas för att fullgöra serviceskyldigheten gentemot enskilda enligt 6 § förvaltningslagen (2017:900). Ett annat exempel är 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) som innebär att en sekretessbelagd uppgift får lämnas till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda. I andra stycket anges att personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Enligt den s.k. finalitetsprincipen får uppgifterna inte senare behandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Finalitetsprincipen kommer till uttryck i artikel 5.1 b i dataskyddsförordningen. Av artikeln framgår att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Genom bestämmelsen i andra stycket tydliggörs att insamlade personuppgifter får behandlas för ändamål som inte är oförenliga med insamlingsändamålen. Personuppgifter som samlats in för att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret får således även behandlas för t.ex. arkivändamål av allmänt intresse eller vetenskapliga forskningsändamål. Behandling av känsliga personuppgifter 8 § Känsliga personuppgifter enligt artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, får endast behandlas om det är absolut nödvändigt för de ändamål som anges i 6 och 7 §§. Känsliga personuppgifter får även behandlas om det är absolut nödvändigt vid en utredning om den totalförsvarspliktiges personliga förhållanden som görs enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt av någon annan statlig myndighet än Totalförsvarets rekryteringsmyndighet, en kommun eller region. Paragrafen reglerar när känsliga personuppgifter får behandlas. Med känsliga personuppgifter avses samtliga kategorier av personuppgifter som anges i artikel 9.1 i dataskyddsförordningen och där benämns särskilda kategorier av personuppgifter. Övervägandena finns i avsnitt 10.1. Av första stycket följer att känsliga personuppgifter får behandlas för de ändamål som avses i 6 och 7 §§ om det är absolut nödvändigt. De grundläggande bestämmelserna om när känsliga personuppgifter får behandlas regleras i artikel 9.2 i dataskyddsförordningen. Behandling av känsliga personuppgifter är tillåten för samtliga primära ändamål i 6 § och sekundära ändamål i 7 § och för planering, uppföljning och utvärdering av verksamheten. Syftet med begränsningen att behandlingen ska vara absolut nödvändig är att markera att behandlingen av känsliga personuppgifter bör ske med försiktighet och aldrig slentrianmässigt. Rekvisitet innebär emellertid inte att känsliga personuppgifter endast får behandlas i undantagsfall. Totalförsvarets rekryteringsmyndighets verksamhet kräver regelmässigt att vissa typer av känsliga personuppgifter kan behandlas, exempelvis uppgifter om hälsa. Genom kravet på absolut nödvändighet markeras dock att behandlingen ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det enskilda fallet. En sådan prövning ska inte bara göras när uppgiften samlas in eller behandlas för första gången utan även vid senare behandling av redan insamlade uppgifter. I andra stycket anges att motsvarande ska gälla vid utredning om den totalförsvarspliktiges personliga förhållanden som enligt 2 kap. 1 § lagen om totalförsvarsplikt utförs av annan statlig myndighet än Totalförsvarets rekryteringsmyndighet, en kommun eller region. I 4 kap. 5 § andra stycket förordningen om totalförsvarsplikt anges uttömmande vilka statliga myndigheter som har sådan rätt. Såväl Försvarsmakten som andra aktörer har i samband med annan utredning ett berättigat behov av att behandla känsliga personuppgifter. Dessa aktörer ges därför vid sådan behandling en motsvarande rätt att behandla känsliga personuppgifter som den Totalförsvarets rekryteringsmyndighet har. Sökbegränsningar 9 § Vid behandling som sker med stöd av 8 § är det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det är också förbjudet att som sökbegrepp använda uppgifter om 1. hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning, 2. boende- och familjeförhållanden samt försörjning, 3. resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning, 4. medborgarskap, och 5. lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen (2018:585) samt vilken säkerhetsklass prövningen avsett och resultatet av den. De uppgifter som anges i andra stycket 1-5 får användas som sökbegrepp när uppgifter lämnas ut för framställning av statistik eller för forskningsändamål. De uppgifter som anges i andra stycket 3 får även användas som sökbegrepp för att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret. Paragrafen innehåller ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter och att använda andra integritetskänsliga uppgifter som sökbegrepp. Övervägandena finns i avsnitt 11. Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det innebär bl.a. att uppgift om totalförsvarspliktigas fysiska och psykiska hälsa omfattas av förbudet. Sökförbudet införs för att tillgodose kraven på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen enligt artikel 9.2 g i dataskyddsförordningen. Förbudet omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information så att känsliga personuppgifter avslöjas. Genom hänvisningen till 8 § tydliggörs att sökförbudet även gäller när någon annan än Totalförsvarets rekryteringsmyndighet behandlar känsliga personuppgifter med stöd av lagen. Enligt andra stycket är det också förbjudet att som sökbegrepp använda vissa andra typer av integritetskänsliga uppgifter än sådana som betecknas som känsliga personuppgifter. Förbudet gäller uppgifter om hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning, boende- och familjeförhållanden samt försörjning, resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning, medborgarskap, lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen samt vilken säkerhetsklass prövningen avsett och resultatet av denna. I tredje stycket anges undantag från sökförbudet i andra stycket. Av bestämmelsen följer att de uppgifter som anges i andra stycket 1-5 får användas som sökbegrepp när uppgifter lämnas ut för framställning av statistik eller för forskningsändamål. De uppgifter som anges i andra stycket 3 får även användas för att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret. Bestämmelserna i paragrafens andra och tredje stycke gäller även när någon annan än Totalförsvarets rekryteringsmyndighet behandlar personuppgifter med stöd av lagen. Detta följer av hänvisningen till 8 § i paragrafens första stycke. Rätten att göra invändningar 10 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Paragrafen reglerar dataskyddsförordningens tillämplighet i fråga om rätten för enskilda att göra invändningar. Övervägandena finns i avsnitt 12. Bestämmelsen innebär att artikel 21.1 i dataskyddsförordningen om den registrerades rätt att göra invändningar mot behandling av personuppgifter inte gäller vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Tillgången till personuppgifter 11 § Tillgången till personuppgifter vid Totalförsvarets rekryteringsmyndighet, en annan statlig myndighet, en kommun eller region ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om hur tillgången till personuppgifter ska begränsas. Paragrafen reglerar den interna tillgången till personuppgifter för personal som arbetar vid Totalförsvarets rekryteringsmyndighet eller vid någon av de andra aktörer som behandlar personuppgifter med stöd av lagen. Övervägandena finns i avsnitt 13. I första stycket slås fast att tillgången till personuppgifter hos de aktörer som behandlar personuppgifter med stöd av lagen ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. Bestämmelsen har sin grund i att risken för integritetsintrång minskar om endast en begränsad krets av anställda har tillgång till uppgifterna. Det är de uppräknade aktörerna som avgör vilka uppgifter som respektive anställd behöver för att kunna fullgöra sina uppgifter. Dessa ansvarar också för att deras informationssystem utformas så att det är möjligt att på ett ändamålsenligt sätt begränsa tillgången till information, t.ex. genom krav på behörighet, utbildning och lämplighet. I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas. Direktåtkomst 12 § Direktåtkomst till personuppgifter hos Totalförsvarets rekryteringsmyndighet får endast medges Försvarsmakten och den registrerade. Den registrerade får endast ha direktåtkomst till personuppgifter som rör honom eller henne. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av direktåtkomsten enligt första stycket och föreskrifter om behörighet och säkerhet vid sådan åtkomst. I paragrafen anges vilka aktörer som får medges direktåtkomst till Totalförsvarets rekryteringsmyndighets personuppgifter. Övervägandena finns i avsnitt 14. I bestämmelsen föreskrivs att direktåtkomst får medges. Det ankommer på Totalförsvarets rekryteringsmyndighet att avgöra om direktåtkomst faktiskt ska medges. Att bestämmelsen ger Totalförsvarets rekryteringsmyndighet en möjlighet att medge direktåtkomst innebär således inte någon rätt för de angivna mottagarna att få sådan åtkomst. I första stycket anges vilka aktörer som får medges direktåtkomst. Utöver Försvarsmakten kan direktåtkomst medges den registrerade. Direktåtkomst för den registrerade får endast avse personuppgifter om honom eller henne själv. Det ankommer på Totalförsvarets rekryteringsmyndighet att genom tillräckliga säkerhetsrutiner se till att personuppgifter genom direktåtkomsten inte lämnas ut till någon annan än den registrerade. I tredje stycket finns en upplysning om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter om begränsningar av direktåtkomsten och föreskrifter om behörighet och säkerhet vid sådan åtkomst. Vilka personuppgifter direktåtkomsten får avse regleras därmed för Försvarsmaktens del i förordning. Bestämmelserna om att direktåtkomst får medges bryter inte eventuell sekretess som kan gälla för uppgifterna. Bestämmelser som har en sekretessbrytande verkan vid utlämnande av uppgifter genom direktåtkomst finns i 13 §. 13 § Försvarsmakten har rätt att vid direktåtkomst enligt 12 § första stycket ta del av de personuppgifter som omfattas av åtkomsten. Paragrafen reglerar utlämnande av uppgifter till Försvarsmakten. Övervägandena finns i avsnitt 15. Av bestämmelsen följer att Försvarsmakten har rätt att vid direktåtkomst som medges med stöd av 12 § första stycket ta del av de personuppgifter som omfattas av åtkomsten. Vilka personuppgifter som direktåtkomsten omfattar anges uttömmande i förordning. Genom Försvarsmaktens rätt att ta del av uppgifterna uppkommer en sådan uppgiftsskyldighet som enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen (2009:400) bryter den sekretess som kan gälla för uppgifterna hos Totalförsvarets rekryteringsmyndighet. Försvarsmaktens införande och rättelse av personuppgifter 14 § Försvarsmakten får föra in och rätta personuppgifter om totalförsvarspliktiga i Totalförsvarets rekryteringsmyndighets informationssystem. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om Försvarsmaktens behandling av personuppgifter enligt första stycket och föreskrifter om behörighet och säkerhet vid sådan behandling. Paragrafen reglerar Försvarsmaktens rätt att föra in och rätta uppgifter i Totalförsvarets rekryteringsmyndighets informationssystem. Övervägandena finns i avsnitt 16. I första stycket anges att Försvarsmakten får föra in och rätta personuppgifter i Totalförsvarets rekryteringsmyndighets informationssystem. Försvarsmakten är personuppgiftsansvarig för den behandling som myndigheten utför enligt denna bestämmelse. I andra stycket finns en upplysning om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om Försvarsmaktens behandling av personuppgifter enligt första stycket och om behörighet och säkerhet vid sådan behandling. Avskiljande 15 § Personuppgifter ska avskiljas så att tillgången till dem begränsas när de inte längre behövs i Totalförsvarets rekryteringsmyndighets löpande verksamhet för de ändamål som anges i 6 §. Personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår då den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter. I paragrafen regleras avskiljande av personuppgifter som inte längre behövs i Totalförsvarets rekryteringsmyndighets löpande verksamhet. Övervägandena finns i avsnitt 20.1. Enligt första stycket ska Totalförsvarets rekryteringsmyndighet, i egenskap av personuppgiftsansvarig, avskilja personuppgifter när de inte längre behövs i den löpande verksamheten för de ändamål som anges i 6 §. Med avskiljande menas att personuppgifterna tas bort från de informationssystem som används i verksamheten enligt 2 §. Det åligger Totalförsvarets rekryteringsmyndighet att införa rutiner för när avskiljande ska ske och på vilket sätt. Avskiljandet får dock inte innebära att uppgifter gallras i strid med arkivlagen (1990:782) eller föreskrifter som har meddelats med stöd av den lagen. Det är också Totalförsvarets rekryteringsmyndighets ansvar att begränsa den interna tillgången till avskilda personuppgifter till det som varje anställd behöver för att kunna fullgöra sina arbetsuppgifter, se kommentaren till 11 §. I andra stycket anges att personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår då den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap. Bestämmelsen föreskriver en yttersta tidsgräns för hur länge uppgifter om totalförsvarspliktiga kan få vara tillgängliga i den löpande verksamheten. När totalförsvarsplikten upphör torde det i normalfallet inte längre vara nödvändigt att behandla uppgifter om totalförsvarspliktiga i Totalförsvarets rekryteringsmyndighets verksamhet. Om det vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse utifrån de i lagen angivna primära ändamålen ska de avskiljas redan vid denna tidpunkt. I undantagsfall kan totalförsvarspliktiga även efter att totalförsvarsplikten har upphört ha en uppgift att utföra vid höjd beredskap. Som exempel kan nämnas medlemmar i frivilligorganisationer som väljer att kvarstå som medlemmar efter att de fyllt 70 år och som därmed behåller sina krigsuppgifter. I bestämmelsen föreskrivs undantag för sådana fall. I tredje stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om avskiljande av personuppgifter. Tillsynsmyndighetens befogenheter 16 § Vid behandling enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen gäller inte bestämmelserna i artikel 58.2 f i EU:s dataskyddsförordning och 6 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning om tillsynsmyndighetens befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling. Paragrafen reglerar dataskyddsförordningens och dataskyddslagens tillämplighet i fråga om tillsynsmyndighetens befogenhet att förbjuda Totalförsvarets rekryteringsmyndighets behandling av personuppgifter. Övervägandena finns i avsnitt 17. Paragrafen innebär att bestämmelserna om tillsynsmyndighetens befogenhet enligt artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskyddslagen att förbjuda behandling inte gäller vid Totalförsvarets rekryteringsmyndighets behandling av personuppgifter om totalförsvarspliktiga och annan personal som har en uppgift inom totalförsvaret vid höjd beredskap. I övrigt ska bestämmelserna om tillsynsmyndighetens befogenheter i dataskyddsförordningen och dataskyddslagen tillämpas vid Totalförsvarets rekryteringsmyndighets behandling av personuppgifter om totalförsvarspliktiga och annan personal som har en uppgift inom totalförsvaret vid höjd beredskap. 24.2 Förslaget till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 3. I stället för vad som sägs i 1 kap. 2 § ska den upphävda lagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte omfattas av unionsrätten. Bestämmelsen i punkt 3 är av övergångskaraktär och ska upphävas i samband med att en anpassad lagstiftning om behandling av personuppgifter i den verksamhet som bestämmelsen omfattar träder i kraft. Totalförsvarsdatalagen är en sådan anpassad lagstiftning som avses i bestämmelsen. När den lagen träder i kraft ska bestämmelsen i punkt 3 inte längre gälla i förhållande till Totalförsvarets rekryteringsmyndighet. Ändringen innebär att "Totalförsvarets rekryteringsmyndighet" tas bort i bestämmelsen. Sammanfattning av betänkandet Totalförsvarsdatalag - Rekryteringsmyndighetens personuppgiftsbehandling (SOU 2017:97) Inledning Vårt uppdrag har varit att göra en översyn av regleringen av behandlingen av personuppgifter om totalförsvarspliktiga i form av lagen (1998:938) respektive förordningen (1998:1229) om behandling av personuppgifter om totalförsvarspliktiga och att ta fram förslag till en ny lag och förordning. Utgångspunkten har varit att Totalförsvarets rekryteringsmyndighets (Rekryteringsmyndigheten) verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas rätt till personlig integritet tillgodoses. Som ett led i detta har det bl.a. ingått att göra en kartläggning av Rekryteringsmyndighetens behandling av personuppgifter. Uppdraget har inte omfattat Rekryteringsmyndighetens behandling av personuppgifter inom ramen för myndighetens civila uppdragsverksamhet. Vi har också haft i uppdrag att analysera vilket förhållande lagstiftningen ska ha dels till EU:s dataskyddsförordning och den kompletterande nationella lagstiftning som föreslagits till följd av den, dels till annan reglering på området. Vid utformningen av en ny reglering har vi också beaktat den nya bestämmelsen i 2 kap. 6 § andra stycket regeringsformen med krav på lagform vid betydande intrång i den personliga integriteten. I betänkandet redovisas även vissa andra frågeställningar som har ingått i uppdraget. Allmänna utgångspunkter för den nya regleringen Vår kartläggning av Rekryteringsmyndighetens personuppgiftsbehandling visar att behandlingen är omfattande och att myndigheten i allt större utsträckning använder sig av elektronisk behandling av personuppgifter i sin verksamhet. Den nuvarande regleringen fungerar i huvudsak väl men är i behov av modernisering för att bättre vara anpassad till annan reglering inom rättsområdet och för att möta såväl myndighetens som uppdragsgivarnas krav. Vi föreslår att en ny lag införs, som ska heta totalförsvarsdatalag, samt en anslutande förordning. Den nya regleringen ska ersätta den nu gällande lagen och förordningen om behandling av personuppgifter om totalförsvarspliktiga som därigenom upphävs. Vi föreslår att regleringen av Rekryteringsmyndighetens behandling av personuppgifter inte ska vara helt fristående utan anpassas till bestämmelserna i EU:s dataskyddsförordning och den kompletterande dataskyddslagen. I den nya lagen införs därför en bestämmelse som anger att dataskyddslagen gäller vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen. Dataskyddslagen är således subsidiär i förhållande till denna lag eller föreskrifter som har meddelats med stöd av lagen. Till följd av bestämmelserna i dataskyddslagen kompletterar den nya lagen dataskyddsförordningen som, i tillämpliga delar, blir direkt tillämplig vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet. Uttrycket "tillämpliga delar" tydliggör att vissa bestämmelser i dataskyddsförordningen inte kan tillämpas i rent nationell verksamhet och därmed inte av Rekryteringsmyndigheten. Vårt förslag till ny reglering innebär att de grundläggande reglerna för behandling av personuppgifter om totalförsvarspliktiga ges i form av lag. De grundläggande reglerna avser, med beaktande av 2 kap. 6 § andra stycket regeringsformen, både moment i personuppgiftsbehandlingen som kan uppfattas som intrång i enskilds personliga förhållanden och sådant som är centralt för skyddet av den enskildes personliga integritet. Vi föreslår att övriga bestämmelser ges i form av förordning och kompletterande föreskrifter. Om totalförsvarsdatalagens innehåll Den nya lagen ges en mer generell utformning jämfört med den lag som gäller för Rekryteringsmyndigheten i dag. Lagen innehåller exempelvis inte bestämmelser som, till skillnad från vad som är fallet i dag, särskilt tar sikte på att viss behandling sker i register. I lagen anges inte heller vilka kategorier av personer eller personuppgifter som får behandlas utan alla personuppgifter får behandlas som är nödvändiga för de ändamål för vilken behandlingen får utföras. Lagens syfte och tillämpningsområde Lagens syfte är att ge Rekryteringsmyndigheten möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett effektivt och ändamålsenligt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses vid sådan behandling. Lagen ska tillämpas i Rekryteringsmyndighetens verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. Här avses den behandling som Rekryteringsmyndigheten på grund av sitt uppdrag utför beträffande både totalförsvarspliktiga samt anställd personal och avtalspersonal inom totalförsvaret. Lagen gäller i de fall det anges särskilt även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten. Ett sådant fall är då behandling av känsliga personuppgifter sker vid annan utredning enligt lagen (1994:1809) om totalförsvarsplikt. Ett annat fall är om Försvarsmakten eller annan aktör medges rätt att föra in och rätta personuppgifter i Rekryteringsmyndighetens informationssystem. Utanför lagens tillämpningsområde faller Rekryteringsmyndighetens administrativa verksamhet och civila uppdragsverksamhet. Den nya lagen tillämpas inte heller vid behandling som Rekryteringsmyndigheten utför i egenskap av vårdgivare inom hälso- och sjukvården. Vid sådan behandling tillämpas, precis som tidigare, patientdatalagen (2008:355). Det förekommer att bemanningsansvariga organ lämnar personuppgifter om totalförsvarspliktiga till Rekryteringsmyndigheten eller tar emot sådana uppgifter från myndigheten. Sådan behandling av personuppgifter om totalförsvarspliktiga som bemanningsansvariga organ utför faller också utanför lagens tillämpningsområde. Lagens tillämpningsområde begränsas också genom att lagen endast ska tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatisk eller som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. Personuppgiftsansvar I lagen klargörs att Rekryteringsmyndigheten är personuppgiftsansvarig för den behandling som myndigheten utför. Rättslig grund och tillåtna ändamål Enligt dataskyddsförordningen är behandling av personuppgifter laglig endast om den grundar sig på åtminstone en av vissa särskilt uppräknade rättsliga grunder. För ett par av de rättsliga grunderna krävs att de ska vara fastställda i unionsrätten eller i nationell rätt, bl.a. i fråga om den rättsliga grunden allmänt intresse. Rekryteringsmyndighetens behandling av personuppgifter grundar sig framför allt på denna rättsliga grund. Vår bedömning är att den rättsliga grunden är fastställd i förordningen (2010:1472) med instruktion för Totalförsvarets rekryteringsmyndighet (myndighetsinstruktionen). Dataskyddsförordningens krav i denna del medför därför inte något behov av ytterligare författningsstöd. I lagen anges uttömmande de primära ändamål för vilka personuppgifter får behandlas i Rekryteringsmyndighetens verksamhet i syfte att precisera den rättsliga grunden för behandlingen. De primära ändamålen motsvarar de centrala delarna i Rekryteringsmyndighetens verksamhet, bl.a. att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret samt att redovisa personal med uppgifter inom totalförsvaret. Av lagen framgår även att personuppgifter som har samlats in för något av de primära ändamålen får behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Behandling av känsliga personuppgifter I Rekryteringsmyndighetens verksamhet förekommer känsliga personuppgifter i stor utsträckning. Dataskyddsförordningens bestämmelser innebär att det som huvudregel är förbjudet att behandla känsliga personuppgifter, men det finns vissa undantag som tillåter behandling. Den kompletterande dataskyddslagen ger stöd för ytterligare behandling av känsliga personuppgifter på myndighetsområdet. Vår bedömning är att undantagen i dataskyddsförordningen och dataskyddslagen inte är tillräckliga för att Rekryteringsmyndigheten ska kunna utföra sin verksamhet. Vi föreslår därför en bestämmelse i den nya lagen som tillåter att känsliga personuppgifter därutöver får behandlas om det är absolut nödvändigt för de primära och sekundära ändamålen i lagen. Även annan än Rekryteringsmyndigheten ges vid annan utredning enligt lagen om totalförsvarsplikt motsvarande rätt att behandla känsliga personuppgifter. Genom kravet på absolut nödvändighet markeras att behandlingen ska ske med restriktivitet och att behovet av att behandla den känsliga personuppgiften ska prövas noga i det enskilda fallet. Behandling av känsliga personuppgifter förutsätter också att behandlingen är tillåten enligt de grundläggande principerna i dataskyddsförordningen. Tillgången till personuppgifter För att minska risken för integritetsintrång ska tillgången till personuppgifter hos Rekryteringsmyndigheten begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. Direktåtkomst I lagen införs bestämmelser om att direktåtkomst får medges Försvarsmakten och den registrerade själv. Regeringen får meddela föreskrifter om omfattningen av den direktåtkomst som medges Försvarsmakten. Direktåtkomst för den registrerade själv får endast avse personuppgifter i den registrerades eget ärende. Regeringen ges genom ett bemyndigande en begränsad befogenhet att meddela föreskrifter om att medge även annan aktör direktåtkomst. Direktåtkomsten ska därvid begränsas till de personuppgifter som aktören behöver för att fullgöra sina uppgifter enligt lag eller förordning och får endast avse vissa uppgifter. Utlämnande av uppgifter till myndigheter Bestämmelserna om direktåtkomst bryter inte eventuell sekretess som kan gälla för personuppgifterna. En sekretessbrytande bestämmelse om uppgiftsskyldighet i förhållande till Försvarsmakten som motsvarar den direktåtkomst som myndigheten får medges införs därför i den nya lagen. För det fall behov skulle uppstå att medge andra myndigheter än Försvarsmakten direktåtkomst ges regeringen befogenhet att meddela sekretessbrytande föreskrifter som möjliggör sådan åtkomst. Sökförbud För att tillgodose dataskyddsförordningens krav på särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen införs ett förbud mot att använda känsliga personuppgifter som sökbegrepp. I lagen förbjuds också användning av vissa andra integritetskänsliga uppgifter som sökbegrepp. Sådana uppgifter får dock användas som sökbegrepp vid behandling för ändamålet att planera, följa upp och utvärdera Rekryteringsmyndighetens verksamhet eller då uppgifter lämnas ut för framställning av statistik eller för forskningsändamål. Uppgifter om resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning får även användas som sökbegrepp vid behandling för ändamålet att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret. Annans registrering och rättelse av personuppgifter I lagen införs en bestämmelse som ger Försvarsmakten rätt att föra in och rätta personuppgifter i Rekryteringsmyndighetens informationssystem i den omfattning som följer av förordning. Försvarsmakten är personuppgiftsansvarig för behandling enligt bestämmelsen. Regeringen ges befogenhet att meddela föreskrifter om att även andra aktörer än Försvarsmakten kan medges rätt att registrera och rätta personuppgifter. Avskiljande av personuppgifter från den löpande verksamheten Vår kartläggning av Rekryteringsmyndighetens behandling av personuppgifter visar att någon gallring i egentlig mening, dvs. att informationen förstörs, i allmänhet inte förekommer. Däremot avskiljs personuppgifter från de olika informationssystemen där de behandlas när de inte längre behövs för de olika ändamål för vilka de har samlats in. Det finns ett fortsatt stort behov av att huvuddelen av uppgifterna bevaras i myndighetens s.k. forskningsarkivregister i syfte att utgöra underlag för forskning. Någon särskild bestämmelse om gallring införs därför inte i den nya lagen. I stället ska Rekryteringsmyndigheten, i egenskap av personuppgiftsansvarig, avskilja personuppgifter så att tillgången till dem begränsas när de inte längre behövs i myndighetens löpande verksamhet för de primära ändamålen. Det är Rekryteringsmyndighetens ansvar att dels införa rutiner för när och på vilket sätt avskiljandet ska ske, dels begränsa tillgången till avskilda personuppgifter till det som varje anställd behöver för att kunna utföra sina arbetsuppgifter. För att tillgodose integritetsskyddet föreskrivs i lagen en yttersta gräns för hur länge personuppgifter om totalförsvarspliktiga får behandlas i den löpande verksamheten. Uppgifterna ska som regel avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, dvs. vid totalförsvarspliktens upphörande. Om det vid en tidigare tidpunkt står klart att uppgifterna inte behövs utifrån de primära ändamålen ska de avskiljas redan vid denna tidpunkt. Ett undantag införs dock för det fall där den totalförsvarspliktige, efter att totalförsvarsplikten har upphört, har en uppgift att utföra vid höjd beredskap. Regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om avskiljande. Vissa bestämmelser i dataskyddsförordningen och dataskyddslagen som inte ska tillämpas Vi föreslår att vissa bestämmelser i dataskyddsförordningen och dataskyddslagen inte ska gälla vid Rekryteringsmyndighetens behandling av personuppgifter enligt lagen. Dataskyddsförordningens bestämmelser om den registrerades rätt att göra invändningar samt anmälan av en personuppgiftsincident till tillsynsmyndigheten och information till den registrerade i samband därmed ska inte gälla vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen. Tillsynsmyndigheten ska inte heller kunna förbjuda Rekryteringsmyndigheten att behandla personuppgifter. I övrigt ska dock bestämmelserna om tillsynsmyndighetens befogenheter i dataskyddsförordningen och dataskyddslagen tillämpas vid behandling enligt lagen. Vissa andra frågor av särskild vikt för dataskyddet I betänkandet har vi också tagit upp vissa andra frågor som är av särskild vikt för dataskyddet, bl.a. den registrerades rätt till rättelse, radering och begränsning av behandling, dataskyddsombud, säkerhet för personuppgifter, den registrerades rätt till information och tillgång till personuppgifter och rätten till skadestånd. Vi har funnit att regleringen i dataskyddsförordningen och dataskyddslagen är tillräcklig i dessa delar. Vi bedömer alltså att något behov av en särskild reglering för Rekryteringsmyndighetens behandling av personuppgifter inte finns. Några sådana bestämmelser föreslås därför inte i den nya lagen. I dataskyddsförordningen och i viss utsträckning även i den kompletterande dataskyddslagen finns också andra bestämmelser som ska tillämpas av Rekryteringsmyndigheten men som inte behandlas särskilt i detta betänkande. Ett sådant exempel är bestämmelser om överklagande. Sekretess Det finns inget behov av andra sekretessbestämmelser än de som redan finns i offentlighets- och sekretesslagen (2009:204) för att skydda totalförsvarspliktigas personliga integritet. Sekretesskyddet behöver dock stärkas i ärenden som rör utredning, inskrivning, krigsplacering m.m. Sekretess enligt 38 kap. 1 § offentlighets- och sekretesslagen föreslås därför gälla med ett s.k. omvänt skaderekvisit, dvs. med presumtion för sekretess. Vi föreslår också att det i offentlighets- och sekretesslagen införs en ny sekretessbrytande bestämmelse som innebär att sekretess inte hindrar att uppgift lämnas från den verksamhet som Rekryteringsmyndigheten i egenskap av vårdgivare bedriver inom hälso- och sjukvården, dvs. den medicinska grenen av verksamheten, till myndighetens inskrivningsverksamhet. Ikraftträdande Den nya lagen och förordningen liksom lagen om ändring i offentlighets- och sekretesslagen föreslås träda i kraft den 1 november 2018. Konsekvenser Sammantaget gör vi bedömningen att våra förslag innebär en förstärkning av skyddet för enskildas personliga integritet. Förslagen kan i vissa enskilda delar uppfattas ha negativa konsekvenser för den personliga integriteten. I dessa delar har den avvägning som vi har gjort mellan detta och andra intressen redovisats. Förslagen kommer inte att innebära någon kostnadsökning för det allmänna eller för enskilda och förväntas inte få några konsekvenser i övrigt. Betänkandets lagförslag Förslag till totalförsvarsdatalag Härigenom föreskrivs följande Lagens syfte 1 § Syftet med denna lag är att ge Totalförsvarets rekryteringsmyndighet (Rekryteringsmyndigheten) möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett effektivt och ändamålsenligt sätt samtidigt som skyddet för den enskildes personliga integritet tillgodoses vid sådan behandling. Lagens tillämpningsområde 2 § Denna lag tillämpas i Rekryteringsmyndighetens verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret. I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Rekryteringsmyndigheten. När sådan behandling av personuppgifter som avses i första stycket utförs av Rekryteringsmyndigheten i egenskap av vårdgivare inom hälso- och sjukvården tillämpas patientdatalagen (2008:355). 3 § Lagen tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatisk. Lagen gäller även för annan behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. Förhållandet till annan dataskyddsreglering 4 § Lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) gäller vid behandling av personuppgifter i Rekryteringsmyndighetens verksamhet, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av lagen. Vad som anges i första stycket innebär att denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. 5 § Vid behandling enligt denna lag eller föreskrifter som har meddelats med stöd av lagen gäller inte följande bestämmelser i dataskyddsförordningen och dataskyddslagen: 1. artikel 21.1 i dataskyddsförordningen om rätt att göra invändningar, 2. artikel 33 i dataskyddsförordningen om anmälan av en personuppgiftsincident till tillsynsmyndigheten, 3. artikel 34 i dataskyddsförordningen om information till den registrerade om en personuppgiftsincident, och 4. artikel 58.2 f i dataskyddsförordningen och 6 kap. 1 § dataskyddslagen om tillsynsmyndighetens befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling. Personuppgiftsansvar 6 § Rekryteringsmyndigheten ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Ändamål 7 § Personuppgifter får behandlas om det behövs för att 1. ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, 2. redovisa personal med uppgifter inom totalförsvaret, 3. säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och lämplig placering inom totalförsvaret, 4. se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten, 5. tillgodose den registrerades rättigheter och trygghet i egenskap av totalförsvarspliktig, 6. fullgöra Rekryteringsmyndighetens serviceskyldighet gentemot bemanningsansvariga organ inom totalförsvaret, och 7. planera, följa upp och utvärdera den verksamhet som anges i 1-6. 8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Behandling av känsliga personuppgifter 9 § Utöver vad som följer av 3 kap. dataskyddslagen får känsliga personuppgifter behandlas om det är absolut nödvändigt för de ändamål som anges i 7 och 8 §§. Vad som anges i första stycket gäller även vid annan utredning om den totalförsvarspliktiges personliga förhållanden som enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt utförs av annan än Rekryteringsmyndigheten. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter som begränsar användningen av känsliga personuppgifter. Tillgången till personuppgifter 10 § Tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om hur tillgången till personuppgifter ska begränsas. Direktåtkomst 11 § Direktåtkomst till personuppgifter får medges 1. Försvarsmakten i den utsträckning som följer av föreskrifter som meddelats av regeringen, och 2. den registrerade själv. Direktåtkomst enligt första stycket 2 får endast avse personuppgifter i den registrerades ärende. Regeringen får meddela föreskrifter om att medge annan aktör direktåtkomst. Sådan direktåtkomst ska begränsas till de personuppgifter som aktören behöver för att fullgöra sina uppgifter enligt lag eller förordning och får endast avse vissa personuppgifter. Utlämnande av uppgifter till myndigheter 12 § Försvarsmakten har rätt att vid direktåtkomst enligt 11 § första stycket 1 ta del av de personuppgifter som omfattas av åtkomsten. Regeringen får meddela föreskrifter om att annan myndighet vid direktåtkomst som medges med stöd av 11 § tredje stycket har rätt att ta del av de personuppgifter som omfattas av åtkomsten. Sökförbud 13 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda känsliga personuppgifter. Det är också förbjudet att som sökbegrepp använda uppgifter om 1. hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning, 2. boende- och familjeförhållanden samt försörjning, 3. resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning, 4. medborgarskap, och 5. lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen (1996:627) samt vilken säkerhetsklass prövningen avsett och resultatet av denna. De sökbegrepp som anges i andra stycket får användas som sökbegrepp vid behandling för ändamål som avses i 7 § första stycket 7 eller vid utlämnande enligt 8 § för framställning av statistik eller för forskningsändamål. De sökbegrepp som anges i andra stycket 3 får även användas som sökbegrepp vid behandling för ändamål som avses i 7 § första stycket 1. Annans registrering och rättelse av uppgifter 14 § Försvarsmakten får föra in och rätta personuppgifter i Rekryteringsmyndighetens informationssystem i den utsträckning som följer av förordning. Regeringen får meddela föreskrifter om att även annan än Försvarsmakten får medges sådan rätt. Avskiljande 15 § Personuppgifter ska avskiljas så att tillgången till dem begränsas när de inte längre behövs i Rekryteringsmyndighetens löpande verksamhet för de ändamål som anges i 7 §. Personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter. 1. Denna lag träder i kraft den 1 november 2018. 2. Genom lagen upphävs lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) dels att det i lagen ska införas en ny paragraf, 25 kap. 13 b §, dels att 38 kap. 1 § ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 25 kap. 13 b Sekretessen enligt 1 § hindrar inte att en uppgift om en enskild lämnas från verksamhet hos Totalförsvarets rekryteringsmyndighet som avser medicinsk insats till verksamhet inom samma myndighet som avser inskrivning enligt lagen (1994:1809) om totalförsvarsplikt, om det krävs att uppgiften lämnas för sådan inskrivning av den enskilde. 38 kap. 1 § Sekretess gäller för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i ärende som angår Sekretess gäller för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men och uppgiften förekommer i ärende som angår 1. utredning om totalförsvarspliktigas personliga förhållanden, 2. antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar, 3. inskrivning och krigsplacering av totalförsvarspliktiga, 4. antagning till utbildning vid Försvarsmakten, eller 5. skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring. Sekretessen gäller inte beslut i ärende. För uppgift i en allmän handling gäller sekretessen i högst femtio år. Denna lag träder i kraft den 1 november 2018. Förteckning över remissinstanserna Remissvar har lämnats av Kammarrätten i Göteborg, Förvaltningsrätten i Jönköping, Förvaltningsrätten i Malmö, Justitiekanslern, Domstolsverket, Polismyndigheten, Säkerhetspolisen, Kriminalvården, Myndigheten för samhällsskydd och beredskap, Kustbevakningen, Datainspektionen, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet, Försäkringskassan, Socialstyrelsen, Statens institutionsstyrelse, Skatteverket, Länsstyrelsen i Gotlands län, Länsstyrelsen i Västerbottens län, Länsstyrelsen i Västra Götalands län, Statens skolverk, Myndigheten för ungdoms- och civilsamhällefrågor, Universitets- och högskolerådet, Uppsala universitet, Försvarshögskolan, Affärsverket svenska kraftnät, Post- och telestyrelsen, Trafikverket, Transportstyrelsen, Sjöfartsverket, Statens jordbruksverk, Riksarkivet, Diskrimineringsombudsmannen, Gävle kommun, Halmstad kommun, Mölndals kommun, Norrköpings kommun, Östersunds kommun, Stockholms läns landsting, Svenska Journalistförbundet och Centrum för vapenfrihet. Riksdagens ombudsmän, Universitetskanslersämbetet, Borgholms kommun, Eksjö kommun, Falu kommun, Heby kommun, Huddinge kommun, Karlstads kommun, Lunds kommun, Stockholms kommun, Håbo kommun, Härjedalens kommun, Härryda kommun, Karlsborgs kommun, Kumla kommun, Luleå kommun, Malmö kommun, Mora kommun, Pajala kommun, Säffle kommun, Trelleborgs kommun, Vallentuna kommun, Västerås kommun, Växjö kommun, Ånge kommun, Öckerö kommun, Örnsköldsviks kommun, Västernorrlands läns landsting, Civil Right Defenders, Forum för dataskydd, Landsorganisationen i Sverige (LO), Officersförbundet, PostNord Sverige AB, Svenska försvarsutbildningsförbundet, Svenska kyrkan, Sveriges advokatsamfund, Sveriges Akademikers Centralorganisation (SACO), Sveriges Kommuner och Landsting, Svenskt Näringsliv, Tjänstemännens Centralorganisation (TCO), Vattenfall AB och Vårdföretagarna har avstått från att lämna synpunkter på förslagen i betänkandet eller har inte svarat på remissen. Lagrådsremissens lagförslag Regeringen har följande förslag till lagtext. Förslag till totalförsvarsdatalag Härigenom föreskrivs följande. Lagens syfte 1 § Syftet med denna lag är att ge Totalförsvarets rekryteringsmyndighet möjlighet att i sin verksamhet behandla personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret på ett ändamålsenligt sätt samt att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagens tillämpningsområde 2 § Denna lag gäller i Totalförsvarets rekryteringsmyndighets verksamhet vid behandling av personuppgifter om totalförsvarspliktiga och annan personal som har en uppgift inom totalförsvaret vid höjd beredskap. I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av någon annan än Totalförsvarets rekryteringsmyndighet. När sådan behandling av personuppgifter som avses i första stycket utförs av Totalförsvarets rekryteringsmyndighet i egenskap av vårdgivare inom hälso- och sjukvården tillämpas patientdatalagen (2008:355). 3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Lagen gäller även för annan behandling av personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förhållandet till annan reglering 4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen. Personuppgiftsansvar 5 § Totalförsvarets rekryteringsmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Den kommun, region eller statliga myndighet som behandlar personuppgifter med stöd av denna lag eller föreskrifter som har meddelats i anslutning till lagen är personuppgiftsansvarig för den behandlingen. Ändamål 6 § Personuppgifter i Totalförsvarets rekryteringsmyndighets verksamhet får behandlas om det är nödvändigt för att 1. ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret, 2. redovisa personal med uppgifter inom totalförsvaret, 3. säkerställa att den registrerade fortlöpande får ändamålsenlig utbildning och en lämplig placering inom totalförsvaret, 4. se till att den registrerade fullgör sina skyldigheter i fråga om totalförsvarsplikten, 5. tillgodose den registrerades rättigheter och trygghet i egenskap av totalförsvarspliktig, och 6. fullgöra Totalförsvarets rekryteringsmyndighets serviceskyldighet gentemot bemanningsansvariga organ inom totalförsvaret. 7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifter som behandlas enligt 6 § får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Behandling av känsliga personuppgifter 8 § Känsliga personuppgifter enligt artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, får endast behandlas om det är absolut nödvändigt för de ändamål som anges i 6 och 7 §§. Känsliga personuppgifter får även behandlas om det är absolut nödvändigt vid en utredning om den totalförsvarspliktiges personliga förhållanden som görs enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt av någon annan statlig myndighet än Totalförsvarets rekryteringsmyndighet, en kommun eller region. Sökbegränsningar 9 § Vid behandling som sker med stöd av 8 § är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det är också förbjudet att som sökbegrepp använda uppgifter om 1. hinder för mönstring, annan utredning, utbildning, krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning, 2. boende- och familjeförhållanden samt försörjning, 3. resultat från begåvningstest eller anlagstest som utförs vid mönstring eller annan utredning, 4. medborgarskap, och 5. lagöverträdelser, säkerhetsprövning enligt säkerhetsskyddslagen (2018:585) samt vilken säkerhetsklass prövningen avsett och resultatet av den. De uppgifter som anges i andra stycket 1-5 får dock användas som sökbegrepp när uppgifter lämnas ut för framställning av statistik eller för forskningsändamål. De uppgifter som anges i andra stycket 3 får även användas som sökbegrepp för att ta fram underlag för beslut om mönstring, inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret. Rätten att göra invändningar 10 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Tillgången till personuppgifter 11 § Tillgången till personuppgifter vid Totalförsvarets rekryteringsmyndighet, en annan statlig myndighet, en kommun eller region ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om hur tillgången till personuppgifter ska begränsas. Direktåtkomst 12 § Direktåtkomst till personuppgifter hos Totalförsvarets rekryteringsmyndighet får endast medges 1. Försvarsmakten, och 2. den registrerade. Den registrerade får endast ha direktåtkomst till personuppgifter som rör honom eller henne. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av direktåtkomsten enligt första stycket och föreskrifter om behörighet och säkerhet vid sådan åtkomst. 13 § Försvarsmakten har rätt att vid direktåtkomst enligt 12 § första stycket 1 ta del av de personuppgifter som omfattas av åtkomsten. Försvarsmaktens införande och rättelse av personuppgifter 14 § Försvarsmakten får föra in och rätta personuppgifter om totalförsvarspliktiga i Totalförsvarets rekryteringsmyndighets informationssystem. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om Försvarsmaktens behandling av personuppgifter enligt första stycket och föreskrifter om behörighet och säkerhet vid sådan behandling. Avskiljande 15 § Personuppgifter ska avskiljas så att tillgången till dem begränsas när de inte längre behövs i Totalförsvarets rekryteringsmyndighets löpande verksamhet för de ändamål som anges i 6 §. Personuppgifter om totalförsvarspliktiga ska avskiljas senast vid utgången av det kalenderår då den totalförsvarspliktige fyller 70 år, om inte den totalförsvarspliktige därefter har en uppgift inom totalförsvaret vid höjd beredskap. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om avskiljande av personuppgifter. Tillsynsmyndighetens befogenheter 16 § Vid behandling enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen gäller inte bestämmelserna i artikel 58.2 f i EU:s dataskyddsförordning och 6 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning om tillsynsmyndighetens befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling. 1. Denna lag träder i kraft den 1 maj 2020. 2. Genom lagen upphävs lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga. Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning Härigenom föreskrivs att punkt 3 i ikraftträdande- och övergångsbestämmelserna till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 3. I stället för vad som sägs i 1 kap. 2 § ska den upphävda lagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten. 3. I stället för vad som sägs i 1 kap. 2 § ska den upphävda lagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte omfattas av unionsrätten. Denna lag träder i kraft den 1 maj 2020. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2019-10-08 Närvarande: F.d. justitierådet Ella Nyström samt justitieråden Per Classon och Stefan Johansson Totalförsvarsdatalag - personuppgiftsbehandling vid Totalförsvarets rekryteringsmyndighet Enligt en lagrådsremiss den 3 oktober 2019 har regeringen (Försvarsdepartementet) beslutat inhämta Lagrådets yttrande över förslag till 1. totalförsvarsdatalag, 2. lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Förslagen har inför Lagrådet föredragits av rättssakkunniga Karin Byström. Lagrådet lämnar förslagen utan erinran. Försvarsdepartementet Utdrag ur protokoll vid regeringssammanträde den 28 november 2019 Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Johansson, Baylan, Hallengren, Hultqvist, Andersson, Bolund, Damberg, Shekarabi, Eriksson, Linde, Ekström, Eneroth, Dahlgren, Nilsson, Lindhagen, Lind, Hallberg, Nordmark Föredragande: statsrådet Hultqvist Regeringen beslutar proposition Totalförsvarsdatalag - personuppgiftsbehandling vid Totalförsvarets rekryteringsmyndighet