Post 2888 av 7189 träffar
Integritetsskydd vid signalspaning i försvarsunderrättelseverksamhet
Ansvarig myndighet: Försvarsdepartementet
Dokument: Skr. 48
Regeringens skrivelse
2011/12:48
Integritetsskydd vid signalspaning
i försvarsunderrättelseverksamhet
Skr.
2011/12:48
Regeringen överlämnar denna skrivelse till riksdagen.
Stockholm den 20 december 2011
Fredrik Reinfeldt
Sten Tolgfors
(Försvarsdepartementet)
Skrivelsens huvudsakliga innehåll
I denna skrivelse redogörs för resultatet av den uppföljning och granskning av signalspaning i försvarsunderrättelseverksamhet som regeringen beslutat om och som genomförts av Datainspektionen och den parlamentariska Signalspaningskommittén.
Skrivelsen är den kontrollstation och årliga rapport som riksdagen frågat efter i samband med riksdagsbehandlingen av lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet.
Innehållsförteckning
1 Ärendet och dess beredning 3
2 Förutsättningar för regeringens redovisning 3
3 Bakgrund 3
3.1 Signalspaning i försvarsunderrättelseverksamhet 3
3.2 Reglering av signalspaning i försvarsunderrättelseverksamhet 4
3.3 Ändringar i lagstiftningen om signalspaning i försvarsunderrättelseverksamhet 5
4 Uppföljning av signalspaningslagstiftningen 6
4.1 Uppdraget till Datainspektionen 6
4.2 Kommittén för uppföljning av lagen om signalspaning
i försvarsunderrättelseverksamhet 6
5 Utvärdering av signalspaningens konsekvenser för den enskildes integritet 7
5.1 Datainspektionens slutsatser 7
5.1.1 Signalspaning och integritet 8
5.2 Signalspaningskommitténs betänkande 11
5.2.1 Signalspaningskommitténs rekom-
mendationer 14
5.2.2 Integritetsskyddet 16
5.2.3 Internationellt samarbete och integritet 17
5.2.4 Underrättelseskyldigheten till den enskilde 17
5.2.5 Tillstånds- och kontrollfunktionernas
betydelse för integritetsskyddet 18
5.3 Siuns granskning 18
6 Slutsatser om signalspaning och personlig integritet 19
6.1 Avslutande kommentar 25
Utdrag ur protokoll vid regeringssammanträde
den 20 december 2011 27
1
Ärendet och dess beredning
Vid riksdagens slutbehandling av regeringens proposition En anpassad försvarsunderrättelseverksamhet tillkännagav riksdagen som sin mening vad försvarsutskottet anfört om ytterligare rättssäkerhets- och kontrollmekanismer (prop. 2006/07:63, bet. 2007/08:FöU15, rskr. 2007/08:266). Riksdagen anförde bland annat att regeringen en gång om året ska redovisa en granskning av den signalspaningsverksamhet som bedrivits enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet. Vidare anfördes att regeringen under 2011 ska redovisa en kontrollstation.
I regeringens skrivelse Integritetsskydd vid signalspaning i försvarsunderrättelseverksamhet (skr. 2010/11:41) anförde regeringen att då den årliga rapporten och kontrollstationen har samma fokus avser regeringen under 2011 behandla dessa båda i en samlad redogörelse.
I enlighet med riksdagens tillkännagivande lämnar regeringen denna skrivelse med redovisning av kontrollstation 2011 om integritetsskydd vid signalspaning i försvarsunderrättelseverksamhet.
2 Förutsättningar för regeringens redovisning
I regeringens skrivelse Integritetsskydd vid signalspaning i försvarsunderrättelseverksamhet (skr. 2010/11:41), vilken lämnades i november 2010, konstaterade regeringen att lagstiftningen och de nya myndigheterna hunnit verka under en relativt kort tid. Detta innebar ett begränsat underlag för slutsatser.
Myndigheterna och lagstiftningen har nu verkat ytterligare ett år och Datainspektionen och den parlamentariska Signalspaningskommittén har lämnat sina rapporter.
Detta innebär att det nu finns ett bättre underlag för att bedöma lagstiftningens konsekvenser ur ett integritetsperspektiv. Samtidigt har Datainspektionen och Signalspaningskommittén konstaterat att inhämtningen av trafik i tråd inte utvecklats tillräckligt för att det ska vara möjligt att dra säkra slutsatser om denna inhämtningsforms konsekvenser för den enskildes integritet.
3 Bakgrund
3.1 Signalspaning i försvarsunderrättelseverksamhet
Signalspaning i försvarsunderrättelseverksamhet regleras i lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet (fortsättningsvis signalspaningslagen) och i förordningen (2008:923) om signalspaning i försvarsunderrättelseverksamhet.
Enligt lagen får den myndighet som regeringen bestämmer (signalspaningsmyndigheten) inhämta signaler i elektronisk form vid signalspaning.
Signaler får endast inhämtas för de ändamål som särskilt anges i lagen och endast efter inriktning av regeringen, Regeringskansliet och Försvarsmakten. Inhämtningen får inte avse signaler mellan en avsändare och mottagare som båda befinner sig i Sverige.
3.2 Reglering av signalspaning
i försvarsunderrättelseverksamhet
Regeringen lämnade 2007 propositionen En anpassad försvarsunderrättelseverksamhet (prop. 2006/07:63). I propositionen föreslogs bland annat en ny lag om signalspaning i försvarsunderrättelseverksamhet.
Riksdagen beslutade 2007 att anta de lagförslag i propositionen som avsåg sekretess samt ändringar i lagen om försvarsunderrättelseverksamhet. Riksdagen beslutade att förslagen till lag om signalspaning i försvarsunderrättelseverksamhet och lag om ändring i lagen (2003:389) om elektronisk kommunikation, när det gäller 6 kap. 21 §, skulle återförvisas av kammaren till försvarsutskottet för att där vila i minst tolv månader.
Efter ny behandling i försvarsutskottet biföll riksdagen den 18 juni 2008 regeringens förslag till lag om signalspaning i försvarsunderrättelseverksamhet (prop. 2006/07:63, bet. 2007/08:FöU15, rskr. 2007/08:266).
I samband med beslutet tillkännagav riksdagen som sin mening vad försvarsutskottet anfört om ytterligare rättssäkerhets- och kontrollmekanismer. I denna del anförde försvarsutskottet bl.a. att regeringen skulle återkomma med vissa förslag till ändringar i den antagna lagen.
Utskottet anförde att regeringen skulle meddela närmare föreskrifter i förordningsform om ytterligare rättssäkerhets- och kontrollmekanismer när det gällde:
- en precisering av för vilka ändamål signalspaning skulle få bedrivas inom ramen för den föreslagna lagstiftningen,
- hur tillämpningen av tillståndsgivningen (inriktning, behov, proportionalitetsbedömning, uppdragsgivare och sökord) skulle ske,
- hur förstöring av uppgifter skulle genomföras.
Utskottet anförde vidare att lagen om signalspaning skulle kompletteras på följande sätt:
- att tillstånden enligt signalspaningslagen skulle beslutas av en ny domstolsliknande nämnd,
- att den domstolsliknande nämnden skulle fatta beslut om tillstånd för användande av sökbegrepp hänförliga till fysiska personer,
- att regeringen och Regeringskansliet skulle ta integritetshänsyn vid sina beslut om inriktningen.
Utskottet anförde också att regeringen senast under hösten 2008 skulle återkomma med förslag till ändringar i signalspaningslagen i dessa delar. Därutöver skulle regeringen:
- lämna årliga rapporter till riksdagen,
- redovisa en kontrollstation 2011.
Enligt försvarsutskottet skulle vidare ett särskilt uppdrag lämnas till Datainspektionen om att fram till kontrollstationen 2011 följa personuppgiftsbehandlingen i verksamheten vid Försvarets radioanstalt (FRA) ur ett integritetsskyddsperspektiv. Till Datainspektionen skulle en särskild referensgrupp knytas med personer som nomineras av riksdagspartierna.
Utskottet anförde också att regeringen skulle tillsätta en parlamentarisk kommitté med uppgift att följa verksamheten vid Försvarets radioanstalt ur ett integritetsperspektiv fram till kontrollstationen.
3.3 Ändringar i lagstiftningen om signalspaning
i försvarsunderrättelseverksamhet
Under hösten 2008 träffade regeringspartierna en politisk överenskommelse om åtgärder för att ytterligare stärka integritetsskyddet vid signalspaning i försvarsunderrättelseverksamhet.
Som ett resultat av den politiska överenskommelsen utarbetades inom Regeringskansliet (Försvarsdepartementet) promemorian Förstärkt integritetsskydd vid signalspaning (Ds 2009:1). Förslagen i denna promemoria kom att ligga till grund för propositionen 2008/09:201 Förstärkt integritetsskydd vid signalspaning, som regeringen beslutade om den 20 maj 2009.
I propositionen föreslogs ändringar i signalspaningslagen, en ny lag om försvarsunderrättelsedomstol samt ändringar i offentlighets- och sekretesslagen (2009:400) och säkerhetsskyddslagen (1996:627). Dessa ändringar tillgodosåg vad riksdagen anfört om ytterligare rättssäkerhets- och kontrollmekanismer samt övriga kompletteringar av lagstiftningen med regler som ytterligare stärker skyddet för den enskildes integritet.
Riksdagen beslutade den 14 oktober 2009 att anta regeringens förslag (bet. 2009/10:FöU3, rskr. 2009/10:3) och ändringarna trädde i kraft den 1 december 2009.
Som en följd av ändringarna i lagstiftningen inrättades från och med den 1 december 2009 två nya myndigheter, Försvarsunderrättelsedomstolen och Statens inspektion för försvarsunderrättelseverksamheten (Siun).
Försvarsunderrättelsedomstolen har till uppgift att pröva signalspaningsmyndighetens ansökningar om tillstånd för verkställighet av signalspaning.
Statens inspektion för försvarsunderrättelseverksamheten har till uppgift att kontrollera försvarsunderrättelseverksamheten hos de myndigheter som enligt förordningen (2000:131) om försvarsunderrättelseverksamhet bedriver sådan verksamhet. Siun är också kontrollmyndighet enligt signalspaningslagen samt ser till att Försvarets radioanstalt endast får tillgång till den trafik som domstolen lämnat tillstånd till.
Vidare inrättades ett integritetsskyddsråd vid Försvarets radioanstalt för en fortlöpande insyn i de åtgärder som vidtas och för att säkerställa integritetsskyddet i signalspaningsverksamheten. Integritetsskyddsrådets främsta uppgift är att utifrån lagstiftningen granska hur Försvarets radioanstalt styrs genom myndighetens interna föreskrifter och rutiner.
En utförlig beskrivning av lagstiftningen och de nya myndigheternas uppgifter har lämnats av regeringen i skrivelsen Integritetsskydd vid signalspaning i försvarsunderrättelseverksamhet (2010/11:41).
4 Uppföljning av signalspaningslagstiftningen
Som nämnts under avsnitt 3.2 anförde riksdagen i sitt yttrande över propositionen En anpassad försvarsunderrättelseverksamhet (prop. 2006/07:63), att ett uppföljningsuppdrag skulle ges till Datainspektionen och att en parlamentarisk kommitté skulle tillsättas för att följa konsekvenserna av lagstiftningen ur ett integritetsperspektiv.
4.1 Uppdraget till Datainspektionen
Regeringen gav i februari 2009 i uppdrag till Datainspektionen att under 2009 och 2010 granska den personuppgiftsbehandling som signalspaningslagen föranleder vid Försvarets radioanstalt.
I uppdraget ingick att analysera vilka särskilda integritetsproblem som kan uppstå i samband med personuppgiftsbehandling i Försvarets radioanstalts signalspaningsverksamhet. Vidare skulle Datainspektionen utreda om de rutiner och riktlinjer som Försvarets radioanstalt tillämpar är tillräckliga för att hantera sådana problem.
I uppdraget ingick även att bistå Försvarets radioanstalt vid utarbetandet av de eventuella ytterligare rutiner och riktlinjer som kan vara nödvändiga för att tillgodose integritetsskyddsbehovet vid personuppgiftsbehandling i signalspaningsverksamheten.
4.2 Kommittén för uppföljning av lagen om signalspaning i försvarsunderrättelseverksamhet
Den 12 februari 2009 beslutade regeringen i direktiv Uppföljning av lagen om signalspaning i försvarsunderrättelseverksamhet (dir. 2009:10) att ge en parlamentarisk kommitté i uppdrag att följa upp signalspaningslagen.
Den parlamentariska kommittén, som tog namnet Signalspaningskommittén, fick i uppdrag att följa signalspaningen vid Försvarets radioanstalt för att kunna redovisa och bedöma verksamhetens konsekvenser för den enskildes integritet.
Kommittén skulle inte bara bedöma verksamheten vid Försvarets radioanstalt utifrån rättsliga aspekter utan också med utgångspunkt från om verksamheten bedrevs på ett etiskt riktigt sätt.
Kommittén skulle i det sammanhanget analysera vilka etiska problem som aktualiserades i verksamheten samt bedöma om de rutiner som fanns för att hantera sådana frågeställningar var tillräckliga. Kommitténs arbete skulle resultera i en utvärdering av lagstiftningens konsekvenser för integritetsskyddet. I uppdraget ingick också att kommittén skulle fungera som referensgrupp till Datainspektionen.
5 Utvärdering av signalspaningens konsekvenser för den enskildes integritet
De slutsatser som dras om signalspaningens konsekvenser för den enskildes integritet grundar sig på den utvärdering av verksamheten vid Försvarets radioanstalt som genomförts av Datainspektionen och Signalspaningskommittén.
5.1 Datainspektionens slutsatser
Datainspektionen redovisade den 6 december 2010 sina slutsatser i en rapport till regeringen.
Datainspektionen anger att målet har varit att genomföra en så heltäckande genomlysning som möjligt av den personuppgiftsbehandling som signalspaningslagen ger upphov till. Det finns dock delar av verksamheten som Datainspektionen endast har granskat översiktligt. Till denna kategori hör främst den s.k. partnersamverkan, dvs. Försvarets radioanstalts samarbete med andra staters motsvarigheter till myndigheten. Datainspektionen har heller inte närmare granskat sådan personuppgiftsbehandling som avser rent militär kommunikation, eftersom integritetsaspekterna enligt Datainspektionen i detta sammanhang inte kan anses göra sig lika starkt gällande som för annan kommunikation.
En annan avgränsning avser granskningen av Försvarets radioanstalts signalspaning i tråd. Denna granskning har utförts i begränsad omfattning till följd av att myndighetens inhämtning i tråd av olika skäl inte påbörjades förrän mot slutet av projekttiden.
Datainspektionens slutsatser om inhämtning i tråd är således inte på samma sätt som när det gäller satellit- och annan eterburen inhämtning baserade på de bedömningar som inspektionen har kunnat göra utifrån egna observationer i den faktiska inhämtningen.
Datainspektionen anser dock att de slutsatser som redovisas och som avser signalspaning i tråd kan anses som tillförlitliga, bl.a. mot bakgrund av de likheter som ändå finns jämfört med satellitinhämtning.
Datainspektionens sammanfattande bedömning är att frågor som har med personuppgiftsbehandling och personlig integritet att göra tas på allvar vid Försvarets radioanstalt och att myndigheten har lagt ned mycket tid och resurser på att skapa rutiner och utbilda personalen på ett sådant sätt att risken för otillbörliga intrång i den personliga integriteten minimeras. Datainspektionen konstaterar att det intryck som de fått under sin granskning således på det hela taget är positivt.
5.1.1 Signalspaning och integritet
Den integritetspåverkan som kan uppstå i samband med den personuppgiftsbehandling som sker i Försvarets radioanstalts signalspaningsverksamhet rör enligt Datainspektionen i huvudsak följande områden.
Trafikmängd och komplexitet
Datainspektionen konstaterar att Försvarets radioanstalt är en organisation som i takt med teknikutvecklingen och utvecklingen i vår omvärld står inför nya utmaningar.
Den verksamhet som Försvarets radioanstalts signalspaning har kommit att inrikta sig på avser i dag delvis helt nya miljöer och förhållanden. Dessa omständigheter får även betydelse för den personuppgiftsbehandling som sker vid myndigheten. En mycket stor förändring är att Försvarets radioanstalt nu får signalspana i tråd.
Datainspektionen gör bedömningen att mängden inhämtade signaler typiskt sett kommer att öka i och med att möjligheten till inhämtning i tråd finns. Ett stort antal signaler leder till en potentiellt mer omfattande personuppgiftsbehandling vid Försvarets radioanstalt och därmed typiskt sett en större risk för integritetsintrång. I de nya signalmiljöerna är trafiken också mer uppblandad än vad som gällde tidigare, när det främst var den militära eterburna trafiken som var föremål för signalspaning.
Datainspektionen framhåller att detta ställer högre krav än tidigare på att Försvarets radioanstalt med olika metoder kan välja ut just de signaler som är relevanta för myndighetens uppdrag. Det är på motsvarande sätt viktigt att Försvarets radioanstalt kan välja bort sådana signaler som är irrelevanta, för att minimera intrånget i den personliga integriteten. Detta betonar i sin tur vikten av en effektiv utvecklingsverksamhet vid myndigheten.
Trafikdata
Med trafikdata menas uppgifter om ett meddelande, t.ex. om avsändare, mottagare, ärendemening samt vissa tekniska parametrar: IP-nummer, protokoll m.m. Trafikdata omfattar dock inte innehållet i ett meddelande.
Trafikdata finns inte som begrepp i lagstiftningen, däremot talas det om "råmaterial". Enligt Datainspektionen har detta lett till vissa oklarheter om vilken kategori en viss information ska hänföras till, vilket i sin tur kan få betydelse för tillämpningen av bl.a. gallringsregler.
Datainspektionen har funnit att sökbegreppen vid inhämtning av trafikdata är mer generella än vid inhämtning av meddelanden och medför en omfattande behandling av personuppgifter. Datainspektionen drar slutsatsen att det innebär att det är relativt hög sannolikhet att de personer som kommunicerar i de signalbärare som Försvarets radioanstalt bedriver inhämtning mot, kommer att få uppgifter om sin kommunikation sparad hos myndigheten i form av trafikdata.
Datainspektionen anser därför att Försvarets radioanstalt bör överväga tekniska sökbegränsningar i syfte att skydda de personuppgifter som finns i trafikdatabasen mot otillbörliga intrång i den personliga integriteten.
Inhemsk trafik
Med inhemsk trafik menas trafik mellan avsändare och mottagare som båda befinner sig i Sverige. När det gäller förbudet mot att inhämta inhemsk trafik bör enligt Datainspektionen sådan trafik i första hand uteslutas från inhämtning genom användandet av automatiska processer som skiljer bort den otillåtna trafiken. Vidare ska den automatiserade processen vara skyddad mot obehörig åtkomst och inblandning så att det inte är möjligt för en ensam befattningshavare att ta sig in i processen och starta en egen inhämtning av inhemska signaler.
I de fall inhemsk trafik ändå skulle inhämtas är det viktigt att Försvarets radioanstalt har rutiner som säkerställer att informationen hanteras på ett sådant sätt att intrånget i den personliga integriteten minimeras. Försvarets radioanstalt bör även säkerställa att så få personer som möjligt behöver ta del av den aktuella informationen. Vidare behöver myndigheten i förekommande fall inrätta rutiner för dokumentation, återkoppling och uppföljning.
Datainspektion konstaterar att i den uppgiftssamling som innehåller inhämtade meddelanden finns det i dag, i fråga om satellitinhämtning, tillräckliga metoder för att urskilja inhemsk trafik. När det gäller inhämtning i tråd bedömer Datainspektionen att det finns behov av att förbättra metoderna för att urskilja sådan trafik med större noggrannhet.
I detta sammanhang noterar Datainspektionen att signalspaningen måste ges förutsättningar att lösa sina uppgifter. Datainspektionen anser att det är fråga om en avvägning mellan effektivitet och integritet.
Förstöringsskyldighet
Enligt 7 § 1 signalspaningslagen ska upptagning eller uppteckning av uppgifter förstöras om innehållet avser en viss fysisk person och bedöms sakna betydelse för sådan verksamhet som avses i 1 § samma lag.
Datainspektionen konstaterar att en stor andel av de meddelanden som inhämtas av Försvarets radioanstalt tas bort kort tid efter inhämtningen då de bedöms vara irrelevanta.
Inspektionen ifrågasätter dock om uppgifterna verkligen är att anse som analysmaterial eller om det i själva verket, i ett inledande skede, är fråga om råmaterial för vilket en absolut gallringsfrist på ett år gäller.
Datainspektionen anser att det finns anledning för Försvarets radioanstalt att kontrollera, följa upp och dessutom utbilda handläggarna på ett sådant sätt att det säkerställs att samtliga meddelanden som omfattas av förstöringsskyldighet också förstörs på ett sådant sätt att informationen inte kan återskapas.
När det gäller förstöringsskyldigheten enligt 7 § 2 och 3 signalspaningslagen, råder det enligt Datainspektionen oklarheter kring den geografiska räckvidden av förstöringsskyldigheten, något som kan få betydelse för den praktiska tillämpningen av bestämmelserna. Dessa oklarheter bör enligt Datainspektionen avhjälpas, t.ex. genom utbildning och handledning av den personal vid Försvarets radioanstalt som behandlar personuppgifter.
Datainspektionen konstaterar att rutiner har införts vid Försvarets radioanstalt som säkerställer att meddelanden som inhämtats inte blir föremål för vidare behandling, utan att det först har kontrollerats att meddelandena inte innehåller förstöringspliktig information. Detta innebär ett ökat skydd vid behandling av personuppgifter.
Sökbegrepp
Enligt 3 § signalspaningslagen får sökbegrepp som är direkt hänförliga till en viss fysisk person användas endast om det är av synnerlig vikt för verksamheten.
Datainspektionen som har granskat Försvarets radioanstalts föreskrifter avseende användande av sökbegrepp har inte haft något väsentligt att invända om föreskrifternas innehåll och ändamålsenlighet. Datainspektionen har dock funnit att de sökbegrepp som myndigheten använder vid sin signalspaning i stor omfattning är direkt hänförliga till en viss fysisk person. Enligt Datainspektionen är det faktum att Försvarsunderrättelsedomstolen tillståndsprövar de sökbegrepp som Försvarets radioanstalt har behov av att använda en väsentlig del i upprätthållandet av ett integritetsskydd. Det är också av väsentlig betydelse att den kontroll som Siun gör enligt 10 § signalspaningslagen bedrivs på ett effektivt sätt avseende Försvarets radioanstalts sökbegreppsanvändning.
Känsliga personuppgifter
Vid signalspaning kan s.k. känsliga personuppgifter komma att inhämtas. Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen (1998:204) uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör hälsa eller sexualliv. Sådana uppgifter får behandlas av Försvarets radioanstalt endast om vissa förutsättningar är uppfyllda enligt 1 kap. 11 § lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (FRA-PuL).
Datainspektionen har funnit att det inte finns någon teknisk funktion som säkerställer att den nödvändighetsbedömning som krävs, genomförs och dokumenteras i Försvarets radioanstalts it-system. En sådan funktion skulle enligt Datainspektionen vara av stort värde för att säkerställa integritetsskyddet vid behandling av känsliga personuppgifter. Datainspektionen anser därför att Försvarets radioanstalt bör ta fram rutiner för den praktiska hanteringen av känsliga personuppgifter som säkerställer att de nödvändiga bedömningarna görs.
Underrättelse till enskild
Den i 11 a § signalspaningslagen beskrivna underrättelseskyldigheten vid användning av sökbegrepp som är direkt hänförliga till en fysisk person har på grund av sekretess inte använts av Försvarets radioanstalt sedan bestämmelsen trädde i kraft. Datainspektionen ifrågasätter värdet av denna underrättelseskyldighet som en integritetsskyddande åtgärd. I stället måste enligt Datainspektionen rättssäkerheten och den personliga integriteten huvudsakligen skyddas på annat sätt, inte minst genom den granskning som kontrollorganen utför.
5.2 Signalspaningskommitténs betänkande
Signalspaningskommittén presenterade den 7 februari 2011 betänkandet Uppföljning av signalspaningslagen (SOU 2011:13).
I betänkandet konstaterar Signalspaningskommittén att integritetsskyddsfrågorna har en naturlig plats i Försvarets radioanstalts verksamhet och att personalen tar dessa frågor på allvar. Försvarets radioanstalt har utifrån gällande lagstiftning och uppdragets särskilda karaktär skapat rutiner som är avsedda att minimera otillbörliga intrång i enskildas personliga integritet.
Signalspaningskommitténs uppfattning är att Försvarets radioanstalt tillämpar signalspaningslagen och tillhörande förordning med försiktighet, utan att tänja på gränsen för det tillåtna. Detta innebär att myndigheten har skapat restriktiva rutiner som avser att förhindra att signalspaning sker i strid med lagstiftningen och att det pågår ett fortsatt arbete med att förfina arbetsmetoderna. Kommittén konstaterar att Försvarets radioanstalt utifrån lagändringarna har justerat interna föreskrifter och rutiner samt genomfört förändringar i de tekniska systemen.
Utifrån gjorda iakttagelser och presentationer av verksamheten gör kommittén bedömningen att Försvarets radioanstalt i sitt implementeringsarbete följer signalspaningslagens intentioner.
Signalspaningskommittén framhåller dock att signalspaning i tråd under uppdragets gång varit under uppbyggnad och påbörjats först under den senare delen av utredningstiden. Det konkreta bedömningsunderlaget hänför sig därför i allt väsentligt till eterburen inhämtning. Kommittén har fått kontinuerlig information från Försvarets radioanstalt om hur signalspaning i tråd byggs upp och vilka bedömningar som görs av metodens potential. Vad signalspaning i tråd kommer att innebära för enskildas personliga integritet då denna del av verksamheten är mer utbyggd har kommittén inte kunnat uttala sig om.
Personlig integritet
Signalspaningskommittén konstaterar att svensk lagstiftning inte innehåller någon definition av begreppet personlig integritet. Inom ramen för olika utredningar har man försökt ge begreppet en entydig och allmänt vedertagen definition. Det har emellertid visat sig att begreppets innebörd är svårfångad.
Som en klar gemensam nämnare framstår dock uppfattningen att personlig integritet innebär att alla människor har rätt till en personlig sfär och att rättsordningen ska upprätthålla ett skydd för denna.
I svensk rätt kommer skyddet för enskildas integritet till uttryck bland annat genom olika bestämmelser i de svenska grundlagarna och i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.
Kommittén framhåller vikten av att en signalspaningsverksamhet i ett demokratiskt samhälle bedrivs utifrån godtagbara principer om integritetsskydd. Att värna om integriteten har därför ett värde som sträcker sig längre än till individnivån. Att slå vakt om integritetsskyddsintresset och därmed de fri- och rättigheter som är förknippade med demokratin har ett allmänintresse på ett generellt plan.
Man måste dock enligt Signalspaningskommittén samtidigt beakta att skyddet för den personliga integriteten alltid måste balanseras mot andra samhälleliga intressen. Den personliga integriteten kan således sättas ur spel om det finns motstående intressen som väger tyngre.
När det gäller utformningen av den svenska lagstiftningen om signalspaning har överväganden gjorts kring integritetsskyddsintresset och behovet av en effektiv underrättelseverksamhet. I praktiken handlar det om att väga nyttan och effektiviteten av en signalspaningsåtgärd mot det möjliga intrång i den personliga integriteten som åtgärden kan förorsaka.
Försvarets radioanstalt har som uppgift att med hjälp av signalspaning kartlägga företeelser av de slag som specificerats i 1 § signalspaningslagen. Det är således personer som kommunicerar kring dessa ämnen som är av intresse för myndigheten. Vad dessa personer företar sig kan ha ett underrättelsevärde och kartläggningen syftar därför till att informera uppdragsgivaren om detta.
För frågan om ingrepp i den personliga integriteten är det emellertid inte syftet med signalspaningen som står i förgrunden, utan effekten av att elektronisk kommunikation kan göras tillgänglig för signalspaning och i vissa fall även behandlas av Försvarets radioanstalt. I båda fallen kan det innebära ett integritetsintrång.
Den lagreglerade möjligheten att signalspana i tråd som går över rikets gräns medför att Försvarets radioanstalt ges tillgång till signalbärare som innehåller större mängder signaler än t.ex. satellitstråken. Eftersom myndigheten gör ett urval ur en större trafikmängd blir förmågan att välja den försvarsunderrättelsemässigt intressanta trafiken central för frågan om konsekvenserna för den enskildes integritet.
Verksamheten bedrivs på ett professionellt sätt
Signalspaningskommittén konstaterar att kompetens- och kunskapsnivån hos personalen vid Försvarets radioanstalt är hög och att det finns en tydlig strävan hos dem att utföra uppdraget inom de ramar som riksdagen och regeringen har bestämt. Kommittén framhåller också att de personer som de talat med på myndigheten är väl insatta i sina respektive arbetsområden och har presenterat verksamheten på ett kunnigt och nyanserat sätt.
Kommittén anser att integritetsfrågan har en naturlig plats i verksamheten och att tjänstemännen tar integritetsskyddsfrågor på allvar.
Den integritetsskyddande delen av lagstiftningen har aldrig inför kommittén beskrivits som ett hinder i verksamheten utan som en förstärkt del av den utveckling som, oavsett den nya lagstiftningen, pågått inom Försvarets radioanstalt de senaste åren.
Signalspaningskommitténs slutsats är att verksamheten vid Försvarets radioanstalt bedrivs på ett professionellt sätt. Utifrån de redogörelser som lämnats av myndigheten och kontrollorganen har kommittén fått uppfattningen att myndigheten har genomtänkta rutiner och att åtgärder vidtas då brister uppmärksammas.
Omfattningen av inhämtningen och dess konsekvenser
En effektiv signalspaningsprocess strävar efter att begränsa underlaget till det som är relevant information ur ett verksamhetsperspektiv. Detta gör att Signalspaningskommittén dragit slutsatsen att Försvarets radioanstalt saknar intresse av att inhämta mer trafik än vad som är nödvändigt för att utföra uppdraget.
Att Försvarets radioanstalt har god förmåga att avskilja den tillåtna och relevanta trafiken i ett tidigt skede är således centralt för att integritetsintrången ska begränsas men också för att verksamheten ska vara framgångsrik. I detta avseende sammanfaller effektivitets- och integritetsskyddsintressena.
Den signalspaning som Försvarets radioanstalt bedriver handlar ofta om att inom ramen för en inriktning och ett tillstånd förutse kommande skeenden eller följa pågående skeenden i omvärlden. Vidare arbetar myndigheten med att inom samma ram söka efter information om sådant som redan har hänt. Det ligger därför i sakens natur att tillgången till signaler, liksom inhämtningen av signaler, behöver omfatta en större mängd information än den som på förhand kan bedömas relevant. Kommittén konstaterar att detta innebär att även icke relevant information kan komma att inhämtas och lagras av Försvarets radioanstalt under en viss tid, men att denna informationen tas bort i så gott som samtliga fall innan någon människa tagit del av den.
Försvarets radioanstalt har även rätt att använda insamlade data för utvecklingsverksamhet. I utvecklingsverksamheten inhämtas signaler främst för att få tillgång till trafikdata.
Utvecklingsverksamheten har två huvudsakliga syften. Det första är att optimera användningen av den befintliga förmågan att bedriva signalspaning och därigenom understödja den pågående underrättelseverksamheten. Det andra är att ta fram nya förmågor att signalspana och därigenom skapa tekniska och metodmässiga förutsättningar för framtida försvarsunderrättelseverksamhet.
Den inhämtning av signaler som sker för framtida metodutveckling handlar exempelvis om att Försvarets radioanstalt behöver skaffa sig förmåga att inhämta och bearbeta en ny typ av signal. Detta kan innebära att icke-relevant trafik inhämtas och att tjänstemän under den tekniska undersökningen av signalen kan läsa eller lyssna på meddelandeinnehållet.
Inom den utvecklingsverksamhet som sker i syfte att stödja den pågående underrättelseverksamheten inhämtas trafikdata men normalt inte innehållet i meddelandet. I dessa sammanhang kan det dock ibland finnas anledning att använda uppgifter från utvecklingsverksamheten även inom underrättelseverksamheten. Möjligheten till sådan hantering ges under den i 1 kap. 6 § 4 FRA-PuL angivna förutsättningen att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.
Mot bakgrund av de beskrivna förhållandena drar Signalspaningskommittén slutsatsen att delar av utvecklingsverksamheten utgör en direkt nödvändig förutsättning för att Försvarets radioanstalt ska kunna generera underrättelserapportering enligt de ändamål som anges i lagen.
Skyddet för den enskildes integritet utgörs i dessa fall av att Försvarets radioanstalt enligt 1 kap. 6 § 4 FRA-PuL prövar att uppgifterna används inom ramen för den inriktning för vilka uppgifterna har samlats in. Siuns uppdrag gör det möjligt att följa upp myndighetens tillämpning av denna bestämmelse.
Sekretesskydd och personlig integritet
En viktig aspekt för skyddet för den enskildes integritet är det sätt på vilket de insamlade uppgifterna behandlas.
Signalspaningskommittén påpekar att det ligger i underrättelsetjänstens natur att upprätthålla en hög grad av säkerhet kring alla uppgifter i verksamheten. Den information som lämnats till kommittén tyder på att säkerhetsnivån är hög på Försvarets radioanstalt och att hantering som inte följer givna instruktioner har förutsättningar att upptäckas och beivras.
5.2.1 Signalspaningskommitténs rekommendationer
Signalspaningskommittén har i sin rapport lämnat ett antal observationer och rekommendationer angående skyddet för personlig integritet vid signalspaning.
Inhämtning i tråd
Som tidigare nämnts har signalspaning i tråd varit under uppbyggnad under den tid som Signalspaningskommittén granskat verksamheten. Vad signalspaning i tråd kommer att innebära för enskildas personliga integritet då denna del av verksamheten är mer utbyggd har kommittén därför inte kunnat uttala sig om.
Från ett integritetsskyddsperspektiv ser dock Signalspaningskommittén positivt på Försvarets radioanstalts förmåga att avgränsa inhämtningen till de delar av signalbäraren där man bedömer att den intressanta trafiken finns. Därigenom minskar risken för inhämtning av för verksamheten icke-relevanta meddelanden.
Samtidigt konstaterar kommittén att trafikvolymerna ännu inte är av den omfattning att relevanta bedömningar kan göras. Med anledning av detta anser kommittén att det framgent bör göras en uppföljning av konsekvenserna för enskildas integritet av signalspaning i tråd. Denna bör innefatta hur Försvarets radioanstalt säkerhetsmässigt anpassar sin verksamhet till en förmodat ökande trafikmängd.
Trafikdata
Inhämtning av elektronisk kommunikation enligt signalspaningslagen innefattar både meddelandeinnehåll och trafikdata.
Genom inhämtning och bearbetning av trafikdata är det möjligt för Försvarets radioanstalt att på kort tid skaffa sig en uppfattning om mellan vilka länder trafik förs på en viss signal. Trafikdata bidrar också med uppgifter som begränsar sökningarna till det som är relevant trafik. Användningen av trafikdata kan därför medföra att behovet av att inhämta och bearbeta meddelandeinnehåll begränsas.
Eftersom trafikdata ger upplysningar om kommunikationen utan att ge information om innehållet i meddelandet kan inhämtningen av signaler med trafikdata sägas vara mindre integritetskänslig än inhämtning som sker för att ta del av meddelandeinnehåll.
Av 2 § 2 stycket FRA-PuL följer att trafikdata kan sparas i uppgiftssamlingar för råmaterial. Informationen i dessa uppgiftssamlingar ska dock gallras inom ett år.
Signalspaningskommittén anser att det är viktigt att på några års sikt följa upp konsekvenserna för den personliga integriteten av en förmodad ökning av Försvarets radioanstalts trafikdatahantering.
Proportionalitet och etik
Försvarets radioanstalt prövar i varje skede av signalspaningsprocessen om syftet med åtgärden väger tyngre än det intrång i den personliga integriteten som den kan innebära. Proportionalitetsbedömningar görs bl.a. utifrån signalspaningslagen, de interna föreskrifterna och praxis.
Signalspaningskommittén har dock funnit att Försvarets radioanstalt saknar myndighetsgemensamma metoder samt tydliga och konkreta riktlinjer för proportionalitetsbedömningar. Kommittén anser därför att det finns behov av att utveckla beslutsstödet till tjänstemännen för att åstadkomma systematiska överväganden kring proportionalitet.
Signalspaningskommittén påpekar att det vid sidan av konkreta verktyg för bedömning också är viktigt att det inom organisationen finns en ständigt pågående diskussion kring myndighetens etiska policy och vad denna innebär då den ska tillämpas i olika delar av verksamheten. Vidare anser Signalspaningskommittén att det krävs återkommande utbildningsinsatser som är inriktade på metoder för etiska överväganden och proportionalitetsbedömningar.
Samtidigt konstaterar Signalspaningskommittén att Försvarets radioanstalt har gjort flera insatser under de senaste åren för att hantera de etiska problem som kan uppkomma i verksamheten. Det utvecklas också ständigt nytt material och nya arbetsformer som syftar till att ge personalen adekvat stöd kring etiska frågor.
Signalspaningskommittén anser att det framgent finns behov av att följa upp de integritetsskyddande effekterna av åtgärderna som vidtagits.
5.2.2 Integritetsskyddet
I signalspaningslagen är det främst tre bestämmelser som verkar integritetsskyddande vid inhämtning av signaler. Dessa är reglerna om att inhemsk trafik inte får inhämtas, att inhämtningen ska göras med hjälp av sökbegrepp som medför ett så begränsat integritetsintrång som möjligt, samt att inhämtad trafik med ett visst innehåll omgående ska förstöras.
Inhemsk trafik
Eftersom bestämmelsen i 2 a § signalspaningslagen om förbud mot inhämtning av inhemsk trafik utgör ett från nationellt perspektiv centralt integritetsskydd anser Signalspaningskommittén att Försvarets radioanstalt måste vara inriktad mot att finna tekniska metoder som säkerställer att den inhemska trafiken skiljs bort innan den når myndighetens hantering för bearbetning och analys. Det innebär att informationen i första hand inte ska nå det mänskliga ögat eller örat och att bestämmelsen om förstöringsskyldighet endast undantagsvis ska behöva tillämpas.
Utifrån de uppgifter som lämnats av Försvarets radioanstalt anger Signalspaningskommittén att den saknar anledning att anta annat än att myndigheten har denna utgångspunkt för sin tillämpning av den nämnda bestämmelsen. Kommittén menar dock att Försvarets radioanstalt bör fortsätta att utveckla metoder som så långt det är möjligt säkerställer att inhemsk trafik inte inhämtas.
Sökbegreppens betydelse för integriteten
Enligt signalspaningslagen ska sökbegrepp utformas och användas med respekt för enskildas integritet och så att signalspaning medför ett så begränsat integritetsintrång som möjligt. Dessutom får sökbegrepp som är direkt hänförliga till en viss fysisk person endast användas om det är av synnerlig vikt för verksamheten.
Försvarets radioanstalt har beskrivit för kommittén att de sökbegrepp som används vid signalspaning i stor omfattning är direkt hänförliga till en viss fysisk person. Detta är den gängse metoden för signalspaning som har sin grund i att den kommunikation som myndigheten söker efter sker mellan individer.
Utifrån denna information har Signalspaningskommittén dragit slutsatsen att det vid signalspaning är nödvändigt att använda sökbegrepp hänförliga till personer. Kommittén konstaterar därför att den enligt lag uttryckta mycket restriktiva möjligheten att använda sökbegrepp hänförliga till viss fysisk person inte motsvaras av de beskrivna förutsättningarna för att bedriva signalspaning.
Samtidigt anför Signalspaningskommittén att sökbegrepp som är direkt hänförliga till en fysisk person betyder att inhämtningen av den ur underrättelsesynpunkt relevanta trafiken blir mer exakt och att risken minimeras för att icke-relevant trafik kommer under bearbetning.
Kommittén konstaterar därför att ett stort antal välmotiverade sökbegrepp, i jämförelse med mindre specifika sökbegrepp, kan medföra ett integritetsskydd för de personer vars kommunikation saknar betydelse för försvarsunderrättelseuppdraget. Signalspaningskommittén har också funnit att Försvarets radioanstalts föreskrifter för sökbegreppens utformning och användning är utformade med utgångspunkt från signalspaningslagens bestämmelser. Kommittén har inte funnit något som tyder på annat än att myndigheten har skapat rutiner som innebär att integritetsskyddsintresset beaktas.
Skyldighet att förstöra insamlad trafik
Det är av vikt för integriteten att insamlad trafik förstörs i enlighet med signalspaningslagens bestämmelser.
Signalspaningskommittén har funnit att det finns väl utarbetade föreskrifter och ändamålsenliga rutiner på Försvarets radioanstalt när det gäller förstöringsskyldigheten.
5.2.3 Internationellt samarbete och integritet
Signalspaningskommittén har också övervägt integritetsaspekterna av det samarbete som Försvarets radioanstalt har med andra länder.
Myndighetens samarbete med utländska underrättelseorganisationer utgår enligt 3 § förordningen (2000:131) om försvarsunderrättelseverksamhet från att det ska tjäna statsledningen och det svenska totalförsvaret och att det inte är till skada för svenska intressen.
Signalspaningskommittén har funnit att Försvarets radioanstalt har rutiner och regelverk som syftar till att förhindra att uppgifter som lämnas till andra länder skadar svenska intressen och att integritetsintresset beaktas. Kommittén framhåller att Siun har en viktig roll för att kontrollera att Försvarets radioanstalt bedriver det internationella samarbetet i enlighet med tillämpliga lagar och författningar.
5.2.4 Underrättelseskyldigheten till den enskilde
Försvarets radioanstalts underrättelseskyldighet till enskilda regleras i 11 a och 11 b §§ signalspaningslagen och utgör främst ett rättssäkerhetsskydd. Av bestämmelserna framgår att om det vid signalspaning har använts sökbegrepp som är direkt hänförliga till en viss fysisk person ska den personen underrättas om detta.
Vid sidan om underrättelseskyldigheten finns i 10 a § signalspaningslagen även en möjlighet för den enskilde att via Siun få kontrollerat om hans eller hennes meddelande har inhämtats i samband med signalspaning.
Regleringen om underrättelseskyldighet är dock försedd med flera begränsningar och undantag och Signalspaningskommitténs bedömning är att underrättelseskyldigheten i praktiken är mycket begränsad. Signalspaningskommittén anser därför att den efterhandskontroll som Siun utför på enskilds begäran utgör ett viktigare instrument eftersom denna kontroll innebär en granskningsmöjlighet från ett fristående och självständigt organ.
5.2.5 Tillstånds- och kontrollfunktionernas betydelse
för integritetsskyddet
Det ingick inte i Signalspaningskommitténs uppdrag att granska verksamheten vid Försvarsunderrättelsedomstolen och Siun. Kommittén har dock ändå funnit skäl att informera sig om dessa myndigheters roll för integritetsskyddet.
Signalspaningskommittén framhåller att då det gäller offentlig verksamhet som står utanför allmänhetens insyn så utgör självständiga kontroll- och insynsorgan medborgarnas ögon och öron. Förekomsten av kontrollorgan inom försvarsunderrättelseverksamheten medför enligt kommittén att verksamheten vid Försvarets radioanstalt kan utvecklas löpande och inte riskerar ett enkelriktat synsätt. En effektiv kontrollfunktion minskar också risken för att myndigheten blir misstänkliggjord endast på grund av sin slutenhet.
Signalspaningskommitténs slutsats är därför att Försvarsunderrättelsedomstolens och Siuns uppdrag är viktiga för att tillförsäkra att Försvarets radioanstalt bedriver signalspaning med det integritetsskydd som krävs. Detta är också centralt för att skapa förtroende för signalspaningsverksamheten.
Signalspaningskommittén har även övervägt betydelsen av det integritetsskyddsråd som inrättats vid Försvarets radioanstalt. Kommittén konstaterar att integritetsskyddsrådet, trots den organisatoriska tillhörigheten till myndigheten, är ett organ som verkar självständigt. Integritetsskyddsrådets arbete har enligt kommittén bidragit till att myndigheten genomfört integritetsförbättrande åtgärder.
5.3 Siuns granskning
Utöver den särskilda granskning som under 2010 genomförts av Datainspektionen och den parlamentariska kommittén, har Siun också genomfört ett antal granskningar inom ramen för sin ordinarie uppgift att kontrollera försvarsunderrättelsemyndigheterna och den verksamhet som Försvarets radioanstalt bedriver enligt signalspaningslagen.
Siun har under 2011 genomfört nio granskningar av verksamheten vid myndigheten, varav sju granskningar är avslutade. I majoriteten av dessa har Siun inte funnit anledning att lämna några synpunkter. I ett ärende som avser rapportering samt i ett ärende från 2010 som avsåg sökbegrepp och i ett ärende som avser personuppgiftsbehandling har synpunkter lämnats. Det är regeringens bedömning att resultatet av Siuns granskningar stöder slutsatsen att verksamheten vid Försvarets radioanstalt bedrivs enligt gällande lagstiftning.
6 Slutsatser om signalspaning och personlig integritet
Regeringen lämnade under 2010 den första årliga skrivelsen om signalspaning i försvarsunderrättelseverksamhet. I skrivelsen konstaterade regeringen att det finns ett regelverk som ger ett långtgående skydd för den enskildes integritet vid signalspaning. Samtidigt framhöll regeringen att längre tid behövdes för att fullt ut kunna bedöma lagstiftningens effekter.
Under det år som förflutit sedan förra skrivelsen har Datainspektionen och Signalspaningskommittén redovisat sina uppföljningar av lagstiftningen ur ett integritetsskyddsperspektiv. Vidare har lagstiftningen hunnit vara i kraft ytterligare ett år och kontrollmyndigheterna har utvecklat sin granskningsverksamhet. Sammantaget ger detta ett bättre underlag för att dra slutsatser om lagstiftningens konsekvenser.
De utvärderingar som Datainspektionen och Signalspaningskommittén gjort ger en samstämmig bild av att signalspaningsverksamheten vid Försvarets radioanstalt bedrivs i enlighet med lagstiftningens intentioner och med respekt för den enskildes integritet.
Under större delen av den tid som Datainspektionen och Signalspaningskommittén arbetat har inhämtningsverksamheten i tråd varit under uppbyggnad. Datainspektionen och Signalspaningskommittén har trots detta kunnat dra vissa slutsatser om konsekvenserna för integritetsskyddet av inhämtningen i tråd, utifrån hur Försvarets radioanstalt bedriver sin övriga signalspaningsverksamhet. Det saknas dock praktiska förutsättningar för att kunna dra säkra slutsatser om denna inhämtningsforms konsekvenser. Signalspaningskommittén och Datainspektionen förordar därför en fortsatt uppföljning av verksamheten vid myndigheten.
Regeringen instämmer i behovet av en fortsatt uppföljning av verksamheten. Det ingår också i Siuns uppdrag att löpande granska verksamheten vid Försvarets radioanstalt och Datainspektionen har att granska personuppgiftsbehandlingen i myndighetens signalspaningsverksamhet.
Generella bedömningar
Datainspektionen och Signalspaningskommittén har granskat verksamheten vid Försvarets radioanstalt med delvis olika fokus och med delvis olika metoder. Rapporten från Datainspektionen och betänkandet från Signalspaningskommittén uppvisar trots detta i flera fall en tydlig samstämmighet i slutsatserna om hur myndighetens verksamhet bedrivs och vilken påverkan den kan ha för den enskildes integritet.
Datainspektionens sammanfattande bedömning är att frågor som har med personuppgiftsbehandling och personlig integritet att göra tas på allvar vid Försvarets radioanstalt och att myndigheten har lagt ned mycket tid och resurser på att skapa rutiner och utbilda personalen på ett sådant sätt att risken för otillbörliga intrång i den personliga integriteten minimeras.
Signalspaningskommittén bedömer att Försvarets radioanstalt följer lagens intentioner samt konstaterar att integritetsskyddsfrågor har en naturlig plats i verksamheten och att personalen tar dessa frågor på allvar. Kommittén framhåller vidare att myndigheten skapat restriktiva rutiner som avser att förhindra att signalspaning sker i strid med lagen och att det pågår ett fortsatt arbete med att förfina dessa arbetsmetoder. Det generella intrycket av hur verksamheten bedrivs vid Försvarets radioanstalt är således positivt.
Det faktum att två av varandra oberoende granskningar kommer till samma slutsats tyder på att lagstiftningen fungerar som tänkt och att Försvarets radioanstalt arbetar enligt lagstiftningens intentioner. Detta innebär att myndigheten har vidtagit åtgärder för att riskerna för otillbörligt intrång i enskildas integritet i tillfredsställande mån kan begränsas i signalspaningsverksamheten.
Proportionalitet
Lagstiftningen om signalspaning i försvarsunderrättelseverksamhet är utformad utifrån en avvägning mellan behovet av att få för Sverige värdefulla underrättelser och samtidigt respektera skyddet för den enskildes integritet.
Detta innebär att Försvarets radioanstalt i varje skede av signalspaningsprocessen ska pröva om syftet med en åtgärd väger tyngre än det intrång i den personliga integriteten som åtgärden kan innebära. Dessa proportionalitetsbedömningar görs bl.a. utifrån signalspaningslagen, de interna föreskrifterna och praxis.
Signalspaningskommittén som har granskat myndighetens rutiner har funnit att Försvarets radioanstalt saknar myndighetsgemensamma metoder samt tydliga och konkreta riktlinjer för dessa bedömningar. Kommittén anser därför att man behöver utveckla beslutsstödet till tjänstemännen för att åstadkomma systematiska överväganden kring proportionalitet.
Samtidigt konstaterar Signalspaningskommittén att Försvarets radioanstalt har gjort flera insatser för att hantera de etiska problem som kan uppkomma i verksamheten. Myndigheten utvecklar också ständigt nytt material och nya arbetsformer som syftar till att ge personalen adekvat stöd kring etiska frågor.
Kommittén anser sig dock inte i nuläget kunna bedöma om pågående insatser kommer att ge önskvärd integritetsskyddande effekt eller utgör adekvat stöd för handläggarna och anser därför att det framgent finns behov av att följa upp de åtgärder som vidtagits.
Försvarets radioanstalt har redovisat till regeringen att myndigheten arbetar med att utveckla de interna regelverken och riktlinjerna samt genomför utbildningsinsatser för personalen. Myndigheten har också förstärkt avdelningen för signalunderrättelser med resurser för att bl.a. samordna tillståndsprocessen samt skapat ett s.k. policyforum. Forumet syftar till att identifiera och diskutera verksamhetsfrågor och etik- och integritetsfrågor av principiell art. Forumet ska skapa praktiska riktlinjer och verksamhetsregler för verksamheten.
Inom avdelningen för signalunderrättelser finns också särskilt utsedda personer med ansvar för att vara kontaktpersoner i frågor som avser tillståndsprocessen samt stödet till kontroll- och tillsynsorganen.
Regeringen ser positivt på att Försvarets radioanstalt arbetar med att utveckla metoder och rutiner som är integritetsskyddande. Regeringen instämmer i de synpunkter som Signalspaningskommittén lämnat och betonar vikten av att myndighetens insatser fortsätter och att dessa följs upp.
Betydelsen av att göra rätt urval
En viktig aspekt av skyddet för den enskildes integritet är det sätt på vilket trafikdata väljs ut samt hur insamlade uppgifter behandlas.
Den uppbyggnad av inhämtning i tråd som för närvarande pågår förväntas innebära att en ökande mängd elektronisk kommunikation kommer att hanteras av Försvarets radioanstalt. I de nya signalmiljöerna är trafiken också mer uppblandad än vad som tidigare var fallet då det främst var den militära eterburna trafiken som var föremål för signalspaning.
Datainspektionen och Signalspaningskommittén framhåller att detta ställer högre krav än tidigare på att Försvarets radioanstalt med olika metoder kan välja ut just de signaler som är relevanta för de förhållanden som myndigheten har till uppgift att följa samt att myndigheten har ett ansvar för att vidta särskilda tekniska åtgärder för att åstadkomma erforderligt skydd för den inhämtade kommunikationen.
Signalspaningskommittén framhåller också att Försvarets radioanstalt saknar intresse av att inhämta mer trafik än vad som är nödvändigt för att utföra uppdraget. I detta avseende sammanfaller således effektivitets- och integritetsskyddsintressena.
Samtidigt anser Signalspaningskommittén att det mot bakgrund av osäkerheten om vad de ökade trafikvolymerna innebär, i framtiden bör göras en uppföljning av konsekvenserna för den enskildes integritet av signalspaning i tråd.
Som tidigare nämnts bejakar regeringen en fortsatt uppföljning av signalspaningen vid Försvarets radioanstalt. En central del i den fortsatta teknikutvecklingen som Försvarets radioanstalt avser genomföra de kommande åren bör också vara att skapa system som gör intrången i den personliga integriteten så små som möjligt. Ofta sammanfaller detta med myndighetens strävan efter ökad effektivitet i signalspaningen.
Sökbegrepp
Enligt signalspaningslagen ska sökbegrepp som är direkt hänförliga till en viss fysisk person endast användas om det är av synnerlig vikt för verksamheten. Både Datainspektionen och Signalspaningskommittén har dock funnit att de sökbegrepp som Försvarets radioanstalt använder i många fall är direkt hänförliga till viss fysisk person. Signalspaningskommittén framhåller samtidigt att den inte sett något som tyder på annat än att myndigheten har skapat rutiner som innebär att integritetsskyddsintresset beaktas.
Signalspaningskommittén har dragit slutsatsen att det vid signalspaning är nödvändigt att använda sökbegrepp hänförliga till personer och att sökbegrepp som är hänförliga till en fysisk person betyder att inhämtningen av den relevanta trafiken blir mer exakt och att risken för att icke-relevant trafik kommer under bearbetning därmed minimeras.
Kommittén konstaterar mot bakgrund av detta att den enligt lag uttryckta mycket restriktiva möjligheten att använda sökbegrepp hänförliga till en viss fysisk person inte motsvaras av de beskrivna förutsättningarna för att bedriva signalspaning.
Försvarets radioanstalt har informerat regeringen om att myndigheten sett över frågor som rör förstöring, behandling av personuppgifter och användning av sökbegrepp. Under hösten 2011 har sådana föreskrifter ytterligare reviderats mot bakgrund av vad som kommit fram i rapporterna från Datainspektionen och Signalspaningskommittén.
Försvarets radioanstalt gör också alltid en proportionalitetsbedömning av de sökbegrepp som ingår i ansökan till Försvarsunderrättelsedomstolen och strävar då efter att begränsa antalet sökbegrepp till de källor som bär på mest intressant information. Försvarsunderrättelsedomstolen i sin tur ger tillstånd att använda sökbegrepp eller kategorier av sökbegrepp hänförliga till en viss fysisk person endast om detta är av synnerlig vikt för verksamheten.
När regeringen utformade bestämmelserna om sökbegrepp relaterade till en enskild person var skyddet för den enskildes integritet vägledande. I de fall då sökbegrepp relaterade till en enskild person är absolut nödvändiga ger lagstiftningen utrymme för detta. En oberoende bedömning sker då i varje fall av Försvarsunderrättelsedomstolen, som beslutar om tillstånd ska ges eller inte.
Känsliga personuppgifter
Datainspektionen anförde i sin granskning av Försvarets radioanstalts behandling av s.k. känsliga personuppgifter att myndigheten bör ta fram rutiner för den praktiska hanteringen av dessa uppgifter som säkerställer att de nödvändiga bedömningarna görs samt dokumenteras.
Försvarets radioanstalt har med anledning av detta infört en ny beslutsrutin som innebär att användandet av dessa typer av personuppgifter kräver ett skriftligt beslut av ansvarig chef, där det tydligt framgår vilka förutsättningar som ska vara uppfyllda innan behandlingen kan godkännas.
Regeringen ser positivt på att myndigheten infört tydliga rutiner för beslut och dokumentation i hanteringen av känsliga personuppgifter.
Utvecklingsverksamhet och insamling av trafikdata
Inom utvecklingsverksamheten vid Försvarets radioanstalt inhämtas trafikdata men normalt inte meddelandeinnehåll. Signalspaningskommittén har dragit slutsatsen att denna inhämtning är en nödvändig förutsättning för att myndigheten ska kunna generera underrättelserapportering utifrån de ändamål som anges i lagen.
Signalspaningskommittén konstaterar också att trafikdata kan ge uppgifter som begränsar sökningarna till det som är relevant trafik och därför kan medföra att behovet av att inhämta och bearbeta meddelandeinnehåll begränsas. Vidare ger trafikdata upplysningar om kommunikationen utan att ge information om innehållet i meddelandet och kan därmed sägas vara mindre integritetskänsligt än annan inhämtning. Samtidigt berör inhämtning av trafikdata fler individer och bör därför enligt Signalspaningskommittén följas upp på några års sikt.
Datainspektionen har å sin sida funnit att sökbegreppen vid inhämtning av trafikdata är mer generella än vid inhämtning av meddelanden och medför en mer omfattande behandling av personuppgifter hos Försvarets radioanstalt. Datainspektionen anser därför att myndigheten bör överväga tekniska sökbegränsningar i databasen och förstärka den införda logguppföljningen.
Som tidigare nämnts anser regeringen att en löpande uppföljning bör ske av verksamheten vid Försvarets radioanstalt. Detta ligger inom ramen för Siuns uppdrag. Försvarets radioanstalt har också meddelat regeringen att en förstudie inletts om ett nytt system för innehållsbearbetning. Studien fokuserar på att få med funktioner som underlättar spårbarhet, granskning och uppföljning.
Regeringen delar i huvudsak de synpunkter som Signalspaningskommittén och Datainspektionen gett uttryck för. I ett avseende, Datainspektionens synpunkt att Försvarets radioanstalt bör överväga tekniska sökbegränsningar, är det dock regeringens uppfattning att denna fråga bör bli föremål för ytterligare överväganden i den fortsatta uppföljningen av signalspaningsverksamheten.
Inhemsk trafik
Eftersom bestämmelsen om förbud mot inhämtning av inhemsk trafik utgör ett från nationellt perspektiv centralt integritetsskydd anser Signalspaningskommittén att Försvarets radioanstalt måste vara inriktad mot att finna tekniska metoder som säkerställer att den inhemska trafiken skiljs bort innan den når myndigheten för bearbetning och analys.
Signalspaningskommittén påpekar samtidigt att den saknar anledning att anta annat än att Försvarets radioanstalt har den nämnda utgångspunkten för sin tillämpning av signalspaningslagen. Kommittén anser dock att Försvarets radioanstalt måste fortsätta att utveckla metoder som så långt det är möjligt säkerställer att den inhemska trafiken inte inhämtas.
Regeringen instämmer i Signalspaningskommitténs slutsats. Det pågår vid myndigheten en kontinuerlig utveckling och förfining av inhämtningen. Försvarets radioanstalt har t.ex. meddelat regeringen att myndigheten utvecklat ett helt nytt system för en effektivare dataflödeskontroll. Detta system har anpassats för att ge stöd till Siun och till funktionen för internkontroll av att lagstiftningen följs.
Förstöringsskyldighet
Datainspektionen anser att det finns anledning för Försvarets radioanstalt att utbilda och kontrollera handläggarna på ett sådant sätt att det säkerställs att samtliga meddelanden som omfattas av förstöringsskyldighet också förstörs på ett sådant sätt att informationen inte kan återskapas.
Enligt Datainspektionen finns det också oklarheter kring den geografiska räckvidden av förstöringsskyldigheten, något som kan få betydelse för den praktiska tillämpningen av bestämmelserna. Dessa oklarheter bör enligt Datainspektionen avhjälpas, t.ex. genom utbildning och handledning av den personal vid myndigheten som behandlar personuppgifter.
Datainspektionen påpekar att det är viktigt att Försvarets radioanstalt har rutiner som säkerställer att meddelanden som inhämtats inte behandlas vidare utan att det först har kontrollerats att meddelandena inte innehåller förstöringspliktig information. Datainspektionen framhåller samtidigt att sådana rutiner nu har införts vid myndigheten, vilket innebär ett ökat skydd vid behandling av personuppgifter. Även Signalspaningskommittén har gjort bedömningen att det finns väl utarbetade föreskrifter och ändamålsenliga rutiner på Försvarets radioanstalt när det gäller skyldigheten att förstöra viss information.
Regeringen vill betona att det är viktigt för skyddet för den enskildes integritet att insamlade uppgifter förstörs på rätt sätt och i rätt tid. Försvarets radioanstalt har meddelat regeringen att ett systemstöd vid användandet av förstöringsskyldigheten införts som kompletterar de utbildningsinsatser som genomförts. Regeringen ser positivt på de initiativ myndigheten har tagit för att på detta sätt ytterligare stärka skyddet för den enskildes integritet.
Underrättelse till enskild
När det gäller bestämmelserna om underrättelse till enskild ifrågasätter både Datainspektionen och Signalspaningskommittén värdet av denna underrättelseskyldighet som en integritetsskyddande åtgärd.
Signalspaningskommitténs slutsats är att underrättelseskyldigheten i praktiken är mycket begränsad eftersom den har flera begränsningar och undantag. Kommittén anser därför att den efterhandskontroll som Siun utför på en enskilds begäran utgör ett viktigare instrument eftersom denna innebär en granskningsmöjlighet från ett fristående och självständigt organ.
Som tidigare nämnts har regeringen i utformandet av signalspaningslagen gjort en avvägning mellan behovet av en effektiv signalspaning och skyddet för den enskildes integritet. Reglerna om underrättelseskyldighet samt de undantag som finns från dessa är baserade på noggranna överväganden om vad som kan meddelas utan att röja mål och medel för den svenska försvarsunderrättelseverksamheten samtidigt som den enskildes integritet så långt som möjligt respekteras. Det finns för närvarande inte skäl att överväga någon ändring av den gällande ordningen.
Internationellt samarbete
Signalspaningskommittén har även övervägt integritetsaspekterna av det samarbete som Försvarets radioanstalt har med andra länder och internationella organisationer.
Signalspaningskommittén har funnit att myndigheten har rutiner och regelverk som syftar till att förhindra att uppgifter som lämnas till andra länder skadar svenska intressen och att integritetsintresset beaktas.
Kommittén framhåller dock att Siun har en viktig roll för att kontrollera att myndigheten bedriver det internationella samarbetet enligt tillämpliga författningar och regeringsbeslut.
Regeringen konstaterar att Försvarets radioanstalt har rutiner och regelverk för internationellt samarbete samt instämmer i kommitténs bedömning om betydelsen av Siuns uppföljning.
Tillstånds- och kontrollorganens betydelse
När det gäller offentlig verksamhet som står utanför allmänhetens insyn utgör självständiga kontroll- och tillsynsorgan medborgarnas ögon och öron. En effektiv kontroll innebär att allmänheten ska kunna förlita sig på att det finns en tydlig procedur, att kontroll sker utifrån gällande lagstiftning, att missbruk förhindras och att åtgärder vidtas om felaktigheter upptäcks.
Signalspaningskommitténs slutsats är därför att Försvarsunderrättelsedomstolen och Siun är viktiga kontrollorgan för att säkerställa att Försvarets radioanstalt bedriver signalspaning med tillräckligt integritetsskydd. Detta är också centralt för att skapa förtroende för signalspaningsverksamheten. Kommittén anser därför att det är viktigt att Siun ges tillräckliga resurser för att kunna utföra sitt omfattande uppdrag.
Regeringen instämmer i kommitténs slutsatser och vill framhålla att Siun tilldelats de resurser som myndigheten bedömt nödvändiga för att kunna genomföra sin verksamhet med en hög ambitionsnivå.
6.1 Avslutande kommentar
Genom förslagen i propositionen Förstärkt integritetsskydd vid signalspaning (prop. 2008/09:201) som antagits av riksdagen har signalspaningslagen kompletterats med integritetsskyddande bestämmelser. En Försvarsunderrättelsedomstol och en tillsynsmyndighet i form av Statens inspektion för försvarsunderrättelseverksamheten har också inrättas.
Regeringen har därmed uppfyllt vad riksdagen önskat avseende kompletteringar av lagstiftningen och tydligare tillståndsgivning och kontroll i signalspaningsprocessen.
Genom tillsättandet av den parlamentariska kommittén och uppdraget till Datainspektionen samt de årligen återkommande skrivelserna har regeringen också uppfyllt vad riksdagen uttalat i fråga om uppföljning av lagstiftningen.
I denna skrivelse med kontrollstation lämnar regeringen i enlighet med riksdagens önskemål en redogörelse för resultatet av den uppföljning som gjorts av signalspaningslagen ur ett integritetsskyddsperspektiv.
Skyddet för den personliga integriteten har nyligen getts uttryckligt grundlagsstöd i och med den ändring som gjordes i 2 kap. 6 § regeringsformen den 1 januari 2011 (prop. 2009/10:80, bet. 2009/10:KU19 och 2010/11:KU4, rskr. 2010/11:21).
Skyddet för den personliga integriteten balanseras samtidigt mot andra samhälleliga intressen och kan få ge vika om det finns motstående intressen som väger tyngre, men bara om detta sker i enlighet med Europakonventionens artikel 8. Det vill säga om det görs med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till bland annat statens säkerhet. När det gäller signalspaningslagens utformning har sådana noggranna överväganden gjorts.
Det är nu närmare två år sedan signalspaningslagen trädde i kraft. Under denna tid har verksamheten vid Försvarets radioanstalt utvecklats och anpassats enligt lagens intentioner. Signalspaningsverksamheten vid Försvarets radioanstalt har också utvärderats grundligt av Datainspektionen och den parlamentariska Signalspaningskommittén. Verksamheten granskas dessutom löpande genom den tillsyn som bedrivs av Siun och när det gäller personuppgiftsbehandlingen av Datainspektionen.
De utvärderingar som gjorts ger en samstämmig bild av att signalspaningsverksamheten vid Försvarets radioanstalt bedrivs enligt lagstiftningens intentioner och med respekt för den enskildes integritet. Samtidigt konstateras att det finns behov av att fortsatt följa verksamheten, inte minst med tanke på att inhämtningen i tråd fortfarande är under uppbyggnad.
Regeringen bejakar en fortsatt uppföljning och vill i detta sammanhang betona att Siun inrättades som myndighet för att bland annat löpande följa den signalspaning som Försvarets radioanstalt bedriver enligt signalspaningslagen. Regeringen anser samtidigt att det som komplement till den löpande uppföljningen är befogat att inom några år låta Siun genomföra en ny fördjupad uppföljning av lagstiftningens konsekvenser, bland annat för enskildas integritet.
Försvarsdepartementet
Utdrag ur protokoll vid regeringssammanträde den 20 december 2011
Närvarande: Statsministern Reinfeldt, ordförande, och statsråden Björklund, Bildt, Ask, Larsson, Hägglund, Carlsson, Adelsohn Liljeroth, Tolgfors, Attefall, Kristersson, Elmsäter-Svärd, Hatt
Föredragande: statsrådet Tolgfors
Regeringen beslutar skrivelse Integritetsskydd vid signalspaning i försvarsunderrättelseverksamhet
Skr. 2011/12:48
Skr. 2011/12:48
2
27
1