Både beröm och kritik till FRA från Data­inspek­tionen

Datainspektionen (DI) har under 2016 granskat behandlingen av personuppgifter inom FRA:s försvarsunderrättelseverksamhet. FRA får godkänt på fem av sex områden som granskats. På ett område begär DI att FRA senast den 1 maj 2017 redovisar vilka åtgärder FRA har vidtagit. 

2016-10-25

På följande områden lämnar DI inga synpunkter:

  • personuppgiftsbehandling vid FRA generellt efter införandet av ny lagstiftning
  • hur FRA säkerställer att personuppgifter behandlas endast där det är nödvändigt
  • behandling av känsliga personuppgifter vid FRA
  • hur FRA arbetar med förstöringsplikten
  • tillämpning av gallringsbestämmelser

På en punkt får dock FRA kritik av DI. FRA har hittills inte haft någon central funktion för att analysera sökloggar, utan ansvaret för logganalys har varit decentraliserat. Dessutom har logguppföljningen inte genomförts regelbundet. DI ger FRA kritik för att ha varit för långsam med att införa den centrala logganalysfunktionen.

- Vi vidtar en rad olika åtgärder för att skydda de personuppgifter som behandlas inom ramen för vår signalspaning. En central loggfunktion är ett viktigt led i det arbetet. Vi räknar med att funktionen är på plats under våren 2017. Det borde ha gått snabbare, så DI:s kritik är berättigad, säger Anni Bölenius, informationschef vid FRA.

All signalspaning vid FRA riktas mot utländska företeelser. Det kan till exempel handla om kartläggning av militär förmåga i andra länder, utvecklingen inom internationell terrorism eller om att följa cyberangrepp i det globala nätet. Enligt den personuppgiftslag som gäller för FRA:s signalspaning måste den personuppgiftsbehandling som sker inom ramen för FRA:s signalspaning alltid ha koppling till någon av dessa företeelser.

Datainspektionen redovisar också sin tolkning i en fråga som Statens Inspektion för Försvarsunderrättelseverksamheten (Siun), som löpande granskar FRA:s signalspaning, tidigare överlämnat till Datainspektionen för bedömning. Frågan rör tillämpligheten av en lagbestämmelse om personuppgiftsbehandling i förhållande till det uppdrag som FRA har enligt signalspaningslagen.

I denna fråga menar DI att "det är uppenbart att bestämmelsen inte är anpassad till de behov och förutsättningar som gäller för FRA:s verksamhet" och avslutar med att konstatera att "bestämmelsen behöver ses över och anpassas till det mandat som lagstiftaren gett FRA".