Information om behandling av person­uppgifter

Behandling av personuppgifter vid Försvarets radioanstalt (FRA)

1. Tillämplig lagstiftning

FRA:s behandling av personuppgifter sker i enlighet med olika regler beroende på vilken verksamhet behandlingen sker inom.

  • Personuppgiftsbehandlingen inom försvarsunderrättelse- och utvecklingsverksamheten samt inom informations­säkerhets­verksamheten regleras av lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt (FRA-PUL).
  • Personuppgiftsbehandlingen inom den övriga verksamheten regleras av EU:s dataskyddsförordning (2016/679) och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).

2. Behandling av personuppgifter enligt FRA-PUL

2.1 Behandlingen av personuppgifter är begränsad till särskilda ändamål

Krav på ändamål för all behandling av personuppgifter
FRA behandlar personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna behandlas inte för något ändamål som är oförenligt med det ändamål som de ursprungligen behandlades för. Detta gäller oavsett om uppgifterna behandlas inom försvarsunderrättelse- eller utvecklingsverksamheten eller inom informations­säkerhets­verksamheten.

Behandling av personuppgifter i försvars­underrättelse­verksamheten
FRA behandlar personuppgifter inom försvars­underrättelse­verksamheten om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvars­underrättelse­verksamhet (FUL) och lagen (2008:717) om signalspaning i försvars­underrättelse­verksamhet (LSF).

Försvars­underrättelse­verksamhet ska enligt FUL bedrivas till stöd för svensk utrikes-, säkerhets-, och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet. I verksamheten ingår att medverka i svenskt deltagande i internationellt säkerhetssamarbete. Försvars­underrättelse­verksamhet får endast avse utländska förhållanden.

Signalspaning i försvars­underrättelse­verksamhet får enligt LSF endast ske i syfte att kartlägga

  1. 1. yttre militära hot mot landet,
  2. 2. förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,
  3. 3. strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,
  4. 4. utveckling och spridning av massförstörelsevapen, krigsmaterial och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,
  5. 5. allvarliga yttre hot mot samhällets infrastrukturer,
  6. 6. konflikter utomlands med konsekvenser för internationell säkerhet,
  7. 7. främmande underrättelseverksamhet mot svenska intressen,
  8. 8. främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes- säkerhets- eller försvarspolitik, eller
  9. 9. sådana företeelser som avses i 1–8, men som inte riktas mot Sverige eller rör svenska intressen, om det är nödvändigt för ett samarbete i underrättelsefrågor med andra länder och internationella organisationer som FRA deltar i.

Inriktning av signalspaning får endast anges av regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdelningen i Polismyndigheten.

Behandling av personuppgifter i utvecklingsverksamheten
FRA behandlar personuppgifter i utvecklingsverksamheten om det är nödvändigt för försvarsunderrättelseverksamheten för att följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet och för att fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Behandling av personuppgifter i informationssäkerhets­verksamheten
FRA behandlar personuppgifter i informations­säkerhets­verksamheten om det är nödvändigt för att skydda den egna myndigheten eller för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller beslut av regeringen i ett enskilt fall.

I förordningen (2007:937) med instruktion för Försvarets radioanstalt regleras myndighetens stöd till verksamheter som är av betydelse för Sveriges säkerhet. FRA får lämna stöd till statliga myndigheter och statligt ägda bolag. FRA ska särskilt kunna stödja insatser vid nationella kriser med IT-inslag, medverka till identifieringen av inblandade aktörer vid IT-relaterade hot mot samhällsviktiga system, genomföra IT-säkerhetsanalyser och ge annat tekniskt stöd (4 §).

2.2 Enskildas rätt att begära information

Vill du veta om FRA behandlar uppgifter om dig i försvarsunderrättelse- eller utvecklings­verksamheten eller i informationssäkerhetsverksamheten kan du skicka en begäran om det till FRA. Tillgången till information kan begränsas om uppgifterna omfattas av sekretess.

2.3 Enskildas rätt att begära rättelse, radering och begränsning av behandlingen

Du har möjlighet att begära att FRA ska rätta, radera eller begränsa behandlingen av sådana personuppgifter som inte har behandlats i enlighet med FRA-PUL eller föreskrifter som har meddelats med stöd av lagen.

2.4 Längsta tid som personuppgifter får behandlas

FRA bevarar inte personuppgifter under längre tid än vad som behövs med hänsyn till ändamålen med behandlingen.

Regeringen har i förordning föreskrivit att personuppgifter i en uppgiftssamling för råmaterial inte får behandlas längre än ett år efter det att behandlingen av uppgifterna påbörjades.

Regeringen har vidare i förordning föreskrivit att personuppgifter i rapportunderlag och underrättelserapporter som inte längre behövs för de ändamål för vilka de behandlas, ska bevaras för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål.

2.5 Behandling av känsliga personuppgifter, biometriska uppgifter, personnummer och samordningsnummer

Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas. När personuppgifter behandlas får de dock kompletteras med sådana uppgifter om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen.

Biometriska uppgifter får behandlas om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen. Med biometriska uppgifter avses personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar identifiering av personen i fråga.

Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

2.6 Utlämnande av personuppgifter

På begäran kan uppgifter komma att lämnas ut enligt offentlighetsprincipen om inte uppgifterna omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400).

3. Behandling av personuppgifter enligt EU:s dataskyddsförordning

FRA behandlar många personuppgifter som inte omfattas av FRA-PUL. Nedan följer en beskrivning av FRA:s personuppgiftsansvar och vanligt förekommande personuppgiftsbehandlingar vid myndigheten. Behandling av personuppgifter som tillhör anställda hos FRA informeras om i särskild ordning internt.

3.1 Personuppgiftsansvar

Inom verksamhet som inte omfattas av FRA-PUL är FRA personuppgiftsansvarig för behandling av personuppgifter som myndigheten bestämmer ändamål och medel för. Exempelvis behandlar FRA personuppgifter i myndighetens ärendehantering, vid hantering av frågor och när någon söker jobb hos FRA.

Offentlighetsprincipen
FRA är en statlig myndighet. Meddelanden som skickas till myndigheten blir allmänna handlingar. Allmänna handlingar diarieförs, registreras och vid begäran lämnas de ut om uppgifterna inte omfattas av sekretess. Syftet med behandlingen är en korrekt hantering av myndighetens allmänna handlingar som följer av bl.a. offentlighets- och sekretesslagen och arkivlagen. Den rättsliga grunden för behandlingen är att utföra en uppgift av allmänt intresse.

Förfrågningar
FRA behandlar personuppgifter för att kommunicera med den som lämnar in en förfrågan och för att handlägga ärenden. Den rättsliga grunden för behandlingen är att utföra en uppgift av allmänt intresse.

Ansökan om arbete
FRA behandlar personuppgifter i samband med att en ansökan om arbete skickas in till myndigheten. Personuppgifterna behandlas för att FRA ska kunna administrera ansökningarna och tillsätta tjänsten. Uppgifter som lämnas i samband med ansökan, t.ex. CV, personlig brev eller annan information, sparas i två år efter att rekryteringsärendet avslutas. Personuppgifter för den som anställs bevaras. Den rättsliga grunden för behandlingen är för att utföra en uppgift av allmänt intresse.

Konsulter och uppdragstagare
FRA behandlar personuppgifter om konsulter och andra uppdragstagare för att hantera deras uppdrag hos FRA. Den rättsliga grunden för behandlingen är att fullgöra ett avtal.

Ekonomiverksamhet
FRA behandlar personuppgifter i sin ekonomiverksamhet. Det kan exempelvis vara uppgifter om leverantörer och personuppgifter i fakturor, avtal och inbetalningar. Den rättsliga grunden är att utföra en uppgift av allmänt intresse och fullgöra en rättslig förpliktelse.

Säkerhetsarbete
FRA behandlar personuppgifter i samband med myndighetens säkerhetsarbete. Det sker bl.a. i samband med besökshantering och genom kamerabevakning av lokaler och fastigheter där myndigheten bedriver verksamhet. Syftet är att säkerställa att obehöriga inte får tillträde till området, byggnader och andra anläggningar eller objekt som FRA nyttjar och där obehöriga inte tillåts vistas. Den rättsliga grunden är att fullgöra en rättslig förpliktelse.

3.2 Kategorier av personuppgifter som behandlas

De kategorier av personuppgifter som behandlas är bl.a. namn och kontaktuppgifter till enskilda som vänt sig till myndigheten. Om ärendet i grunden avser en organisation av något slag och en kontaktperson har utsetts för organisationen behandlas namn och kontaktuppgifter till kontaktpersonen. Ärenden som registreras får ett diarienummer. I handlingar och meddelanden som skickats in till FRA kan andra typer av personuppgifter förekomma. Dessa uppgifter hanteras endast genom att handlingen läggs in i det aktuella ärendet. Uppgifterna registreras inte särskilt och uppgifterna i den inkomna handlingen görs inte sökbara.

3.3 Behandling av känsliga personuppgifter, personnummer och samordningsnummer

Som huvudregel får FRA inom ramen för den administrativa verksamheten inte behandla känsliga personuppgifter. Under vissa förutsättningar får känsliga personuppgifter ändå behandlas, bl.a. för att FRA ska kunna fullgöra sina skyldigheter inom arbetsrätten eller av hänsyn till ett viktigt allmänt intresse. Uppgifterna registreras inte särskilt och görs inte sökbara.

3.4 Längsta tid som personuppgifter får behandlas

Som statlig myndighet är utgångspunkten att myndigheten ska bevara allmänna handlingar. Det följer av arkivlagstiftningen. FRA bevarar därför som huvudregel allmänna handlingar och gallrar allmänna handlingar i enlighet med gällande gallringsföreskrifter och beslut.

Personuppgifter som inte ingår i allmänna handlingar sparas endast så länge som de är nödvändiga för de ändamål som de behandlas för. Handlingar som inte är att ses som allmänna är exempelvis utkast till beslut och minnesanteckningar som inte har arkiverats. När ett ärende har slutbehandlats görs en bedömning av vad som enligt arkivlagstiftningen ska bevaras i ärendet.

Anställningshandlingar som inte avser den som fått tjänsten sparas i två år efter att rekryteringsärendet avslutas.

3.5 Vilka som kan ta del av personuppgifterna

De medarbetare på FRA som kommer att ta del av uppgifterna är de som behöver det för att kunna utföra sina arbetsuppgifter. Allmänna handlingar som inte omfattas av sekretess kan lämna ut enligt offentlighetsprincipen till den som begär det.

FRA använder sig i vissa fall av personuppgiftsbiträden. Det kan t.ex. vara i samband med olika it-tjänster och it-system i samband med rekrytering. Personuppgiftsbiträden behandlar i dessa fall personuppgifter för FRA:s räkning och enligt våra instruktioner.

3.6 Enskildas rättigheter som registrerad

Som registrerad har du flera rättigheter. Nedan följer en uppräkning och beskrivning av dina rättigheter.

Rätt till information
Du kan begära att få besked om huruvida FRA behandlar personuppgifter som rör dig och i så fall få en kopia av dessa, ett så kallat registerutdrag, tillsammans med viss närmare information. Tillgången till information kan begränsas om uppgifterna omfattas av sekretess.

Rätt till rättelse
Om du anser att personuppgifterna som rör dig är felaktiga eller ofullständiga kan du begära att få uppgifterna rättade eller kompletterade.

Rätt att göra invändningar
När FRA behandlar personuppgifter inom ramen för sin myndighetsutövning eller för att kunna utföra andra arbetsuppgifter av allmänt intresse har du rätt att när som helst invända mot behandlingen. Om FRA inte kan visa att det finns tvingande, berättigade skäl att fortsätta att behandla uppgifterna måste den upphöra.

Rätt till begränsning
Du har i vissa fall möjlighet att kräva att FRA begränsar behandlingen av dina personuppgifter. Begränsningen kan ske under visa förutsättningar, bland annat om personuppgifterna inte är korrekta eller inte längre är nödvändiga för ändamålen.

Rätt till radering
Du kan i vissa fall få dina personuppgifter raderade, bl.a. om personuppgifterna inte längre är nödvändiga för ändamålen med behandlingen. När dina personuppgifter behövs för att FRA ska kunna fullgöra sitt uppdrag eller framgår av en allmän handling har FRA ingen möjlighet att radera uppgifterna.

Rätt att flytta personuppgifter
Om FRA behandlar personuppgifter om dig för att uppfylla ett avtal har du i vissa fall möjlighet att få ut personuppgifter som rör dig för att använda dessa på annat håll, exempelvis överföra uppgifterna till en annan personuppgiftsansvarig.

Möjlighet att lämna synpunkter på behandling av personuppgifter
Om du har synpunkter på hur FRA behandlar dina personuppgifter kan du kontakta myndigheten. Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY).

4. Om FRA och tillsyn över behandlingen av personuppgifter


Kontaktuppgifter

Postadress
Försvarets radioanstalt, Box 301, 161 26 Bromma

Telefon
010-557 46 00

E-postadress
fra@fra.se

Dataskyddsombud

Om du har frågor om FRA:s personuppgiftsbehandling enligt FRA-PUL eller EU:s dataskyddsförordning är du välkommen att höra av dig till ansvarigt dataskyddsombud.

FRA:s dataskyddsombud enligt FRA-PUL kan nås på e-postadressen fra@fra.se

FRA:s dataskyddsombud enligt EU:s dataskyddsförordning kan nås på e-postadressen dataskyddsombud@fra.se

Tillsyn

Integritetsskyddsmyndigheten är tillsynsmyndighet enligt FRA-PUL och enligt EU:s dataskyddsförordning och dataskyddslagen. Om du skulle anse att FRA behandlar personuppgifter i strid med FRA-PUL eller EU:s dataskyddsförordning har du möjlighet att lämna ett klagomål till Integritetsskyddsmyndigheten som du når på e-postadressen imy@imy.se

Utöver Integritetsskyddsmyndigheten har Statens inspektion för försvarsunderrättelseverksamheten (Siun) en särskild uppgift att kontrollera FRA:s behandling av personuppgifter i försvarsunderrättelseverksamheten. Siun kan nås på e-postadressen registrator@siun.se