Integritets­policy vid FRA

Vår behandling av personuppgifter

Illustration med hänglås med nätverkskabelbygel

Tillämplig lagstiftning

FRA:s behandling av personuppgifter sker i enlighet med olika regler beroende på om behandlingen sker inom försvarsunderrättelseverksamheten, informationssäkerhetsverksamheten eller den administrativa verksamheten.

  • I försvarsunderrättelseverksamheten gäller lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (FRA-PUL).
  • I informationssäkerhetsverksamheten gäller personuppgiftslagen (1998:204) (PUL) och punkt 3 i övergångsbestämmelserna till lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
  • I den administrativa verksamheten gäller EU:s dataskyddsförordning och dataskyddslagen.

Behandling av personuppgifter enligt FRA-PUL

Enligt lagen (2000:130) om försvarsunderrättelseverksamhet (FUL) ska försvarsunderrättelseverksamheten bedrivas till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet. I verksamheten ingår att medverka i svenskt deltagande i internationellt säkerhetssamarbete. Försvarsunderrättelseverksamhet får endast avse utländska förhållanden.

Insamling och behandling av personuppgifter

FRA behandlar personuppgifter i FRA:s försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i FUL. Uppgifter om en person får endast behandlas om personen har anknytning till en preciserad inriktning för försvarsunderrättelseverksamheten och behandlingen är nödvändig för att fullfölja den inriktningen.

Enligt FRA-PUL får personuppgifter också behandlas av FRA om det är nödvändigt för att följa förändringar av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet och för att fortlöpande utveckla den teknik och metodik som behövs för att bedriva försvarsunderrättelseverksamheten.

Lagringstider

FRA bevarar inte personuppgifter längre än vad som behövs för det ändamål för vilket de behandlas.

Regeringen har i förordning föreskrivit att personuppgifter i en uppgiftssamling för råmaterial ska gallras senast ett år efter det att behandlingen av uppgifterna påbörjades.

Riksarkivet har beslutat att personuppgifter dels i uppgiftsamling för underrättelser, dels i rapportunderlag i uppgiftssamling för analyser ska bevaras för historiska, statistiska och vetenskapliga ändamål.

Känsliga personuppgifter och personnummer

Personuppgifter får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om personuppgifter behandlas på annan grund får de kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen.

Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl.

Offentlighetsprincipen

På begäran kan uppgifter komma att lämnas ut enligt offentlighetsprincipen om de inte omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) (OSL).

Begäran om registerutdrag och rättelse

Vill du veta om FRA behandlar personuppgifter om dig i försvarsunderrättelse­verksamheten kan du skicka en begäran om det till FRA.Tillgången till information kan begränsas om uppgifterna omfattas av sekretess.

Om du har frågor om FRA:s personuppgiftsbehandling enligt FRA-PUL är du välkommen att höra av dig till myndighetens personuppgiftsombud enligt FRA-PUL.

fra@fra.se

Kontroll

Integritetsskyddsmyndigheten, IMY, är tillsynsmyndighet enligt FRA-PUL.

Om du skulle anse att FRA behandlar personuppgifter i strid med FRA-PUL har du möjlighet att lämna ett klagomål till Integritetsskyddsmyndigheten.

imy@imy.se

Utöver Integritetsskyddsmyndigheten har Statens inspektion för försvarsunderrättelse­verksamheten (Siun) särskild uppgift att kontrollera FRA:s behandling av personuppgifter i försvarsunderrättelse­verksamheten.

registrator@siun.se

Behandling av personuppgifter enligt PUL

FRA ska, enligt 4 § förordning (2007:937) med instruktion för Försvarets radioanstalt, ha hög teknisk kompetens inom informationssäkerhetsområdet. FRA får efter begäran stödja sådana statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende.

Enligt 17 § förordning (2015:1053) om totalförsvar och höjd beredskap svarar FRA för att t.ex. Regeringskansliet och Polismyndigheten ska tilldelas säkra kryptografiska funktioner.

Insamling och behandling av personuppgifter

FRA har ett uppdrag att stärka informationssäkerheten inom samhällsviktig verksamhet.

FRA behandlar personuppgifter i FRA:s informationssäkerhetsverksamhet om det är nödvändigt för att myndigheten ska kunna utföra uppgiften i 4 § förordning (2007:937) med instruktion för Försvarets radioanstalt och 17 § förordning (2015:1053) om totalförsvar och höjd beredskap.

Lagringstider

FRA bevarar inte personuppgifter längre än vad som behövs för det ändamål för vilket de behandlas.

Känsliga personuppgifter och personnummer

Känsliga personuppgifter och personnummer kan undantagsvis komma att behandlas om de återfinns i samband med skadlig kod som granskas.

Offentlighetsprincipen

På begäran kan uppgifter komma att lämnas ut enligt offentlighetsprincipen om de inte omfattas av sekretess enligt OSL.

Begäran om registerutdrag och rättelse

Vill du veta om FRA behandlar personuppgifter om dig i informationssäkerhets­verksamheten kan du skicka en begäran om det till FRA. Tillgången till information kan begränsas om uppgifterna omfattas av sekretess. Om dina personuppgifter inte har behandlats i enlighet med gällande rätt är FRA på din begäran skyldig att rätta, blockera eller utplåna sådana personuppgifter.

Om du har frågor om FRA:s personuppgiftsbehandling enligt PUL är du välkommen att höra av dig till myndighetens personuppgiftsombud enligt PUL.

fra@fra.se

Kontroll

Integritetsskyddsmyndigheten är tillsynsmyndighet enligt PUL.

Om du skulle anse att FRA behandlar personuppgifter i strid med PUL har du möjlighet att lämna ett klagomål till Integritetsskyddsmyndigheten.

imy@imy.se

Behandling av personuppgifter enligt EU:s dataskyddsförordning

FRA behandlar personuppgifter i den administrativa verksamheten för olika ändamål, till exempel vid rekrytering och personaladministration samt för att informera om verksamheten på webbplatsen. För detta måste det finnas en så kallad rättslig grund. FRA behandlar personuppgifter när det är nödvändigt för att fullgöra ett avtal, för att fullgöra rättsliga förpliktelser eller för att utföra en uppgift av allmänt intresse. FRA kan i undantagsfall komma att behandla personuppgifter efter samtycke från den registrerade. Insamling och behandling av personuppgifter

De personuppgifter som FRA behandlar i sin administrativa verksamhet kan vara personuppgifter som lämnas i samband med besök hos FRA, vid kontakt med FRA genom brev, e-post eller telefonsamtal, vid ansökan av tjänst eller vid anställning hos FRA.

FRA behandlar personuppgifter om det är nödvändigt för att kunna kommunicera med allmänheten eller för att kunna utföra myndighetens verksamhet.

Som arbetsgivare får FRA lagligt behandla personuppgifter om anställda och uppdragstagare i den utsträckning det är nödvändigt för att fullgöra anställnings- eller uppdragsavtalet.

Personuppgifter som lämnas i samband med rekrytering kommer att behandlas inom FRA för personaladministrativa ändamål. Uppgifterna som lämnas i samband med ansökan, CV, personligt brev och annan information som lämnas sparas i två år efter att rekryteringsärendet avslutats. Personuppgifter för den som anställs kommer att bevaras.

Lagringstider

FRA bevarar inte personuppgifterna under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Uppgifterna kan bevaras under längre tid om de enbart behandlas för arkivändamål av allmänt intresse.

Känsliga personuppgifter och personnummer

Som huvudregel får FRA inte behandla så kallade känsliga personuppgifter, det vill säga uppgifter om till exempel medlemskap i fackförening och uppgifter om hälsa. Sådana uppgifter får under vissa förutsättningar ändå behandlas, bl.a. för att FRA ska kunna fullgöra sina skyldigheter inom arbetsrätten eller för att behandlingen är nödvändig inom förebyggande hälso- och sjukvård.

Vid besök på FRA behandlar FRA personnummer, vilket följer av säkerhetsskyddslagstiftning.

Offentlighetsprincipen

På begäran kan uppgifter komma att lämnas ut enligt offentlighetsprincipen om de inte omfattas av sekretess enligt OSL.

Begäran om registerutdrag och rättelse

Vill du veta om FRA behandlar personuppgifter om dig i den administrativa verksamheten kan du skicka en begäran om det till FRA. Tillgången till information kan begränsas om uppgifterna omfattas av sekretess. Om dina uppgifter är felaktiga eller ofullständiga kan du begära att FRA rättar informationen. Om det förekommit felaktig behandling eller om det inte längre finns något ändamål för vilket det är nödvändigt att behandla uppgifterna kan du begära att de raderas. Om behandlingen grundar sig på ditt samtycke har du rätt att när som helst återkalla det.

Om du har frågor om FRA:s personuppgiftsbehandling är du välkommen att höra av dig till myndighetens dataskyddsombud enligt dataskyddsförordningen.

dataskyddsombud@fra.se

Kontroll

Integritetsskyddsmyndigheten är tillsynsmyndighet enligt dataskyddsförordningen och dataskyddslagen.

Om du skulle anse att FRA behandlar personuppgifter i strid med dataskyddsförordningen har du möjlighet att lämna ett klagomål till till exempel Integritetsskyddsmyndigheten.

imy@imy.se