Information om behandling av person­uppgifter

Behandling av personuppgifter vid Försvarets radioanstalt (FRA)

Illustration med hänglås med nätverkskabelbygel

1. Tillämplig lagstiftning

FRA:s behandling av personuppgifter sker i enlighet med olika regler beroende på om behandlingen sker inom försvarsunderrättelse- eller utvecklingsverksamheten, informations­säkerhets­verksamheten eller inom den administrativa verksamheten.

  • Personuppgiftsbehandlingen inom försvarsunderrättelse- och utvecklings­verksamheten samt inom informations­säkerhets­verksamheten regleras av lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt (FRA-PUL).
  • I den administrativa verksamheten gäller EU:s dataskyddsförordning (2016/679) och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).

2. Behandling av personuppgifter enligt FRA-PUL

2.1 Behandlingen av personuppgifter är begränsad till särskilda ändamål

Krav på ändamål för all behandling av personuppgifter
FRA behandlar personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna behandlas inte för något ändamål som är oförenligt med det ändamål som de ursprungligen behandlades för. Detta gäller oavsett om uppgifterna behandlas inom försvarsunderrättelse- eller utvecklingsverksamheten eller inom informations­säkerhets­verksamheten.

Behandling av personuppgifter i försvars­underrättelse­verksamheten
FRA behandlar personuppgifter inom försvars­underrättelse­verksamheten om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvars­underrättelse­verksamhet (FUL) och lagen (2008:717) om signalspaning i försvars­underrättelse­verksamhet (LSF).

Försvars­underrättelse­verksamhet ska enligt FUL bedrivas till stöd för svensk utrikes-, säkerhets-, och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet. I verksamheten ingår att medverka i svenskt deltagande i internationellt säkerhetssamarbete. Försvars­underrättelse­verksamhet får endast avse utländska förhållanden.

Signalspaning i försvars­underrättelse­verksamhet får enligt LSF endast ske i syfte att kartlägga

  1. 1. yttre militära hot mot landet,
  2. 2. förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,
  3. 3. strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,
  4. 4. utveckling och spridning av massförstörelsevapen, krigsmaterial och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,
  5. 5. allvarliga yttre hot mot samhällets infrastrukturer,
  6. 6. konflikter utomlands med konsekvenser för internationell säkerhet,
  7. 7. främmande underrättelseverksamhet mot svenska intressen,
  8. 8. främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes- säkerhets- eller försvarspolitik, eller
  9. 9. sådana företeelser som avses i 1–8, men som inte riktas mot Sverige eller rör svenska intressen, om det är nödvändigt för ett samarbete i underrättelsefrågor med andra länder och internationella organisationer som FRA deltar i.

Inriktning av signalspaning får endast anges av regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdelningen i Polismyndigheten.

Behandling av personuppgifter i utvecklingsverksamheten
FRA behandlar personuppgifter i utvecklingsverksamheten om det är nödvändigt för försvarsunderrättelseverksamheten för att följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet och för att fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Behandling av personuppgifter i informationssäkerhets­verksamheten
FRA behandlar personuppgifter i informations­säkerhets­verksamheten om det är nödvändigt för att skydda den egna myndigheten eller för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller beslut av regeringen i ett enskilt fall.

I förordningen (2007:937) med instruktion för Försvarets radioanstalt regleras myndighetens stöd till verksamheter som är av betydelse för Sveriges säkerhet. FRA får lämna stöd till statliga myndigheter och statligt ägda bolag. FRA ska särskilt kunna stödja insatser vid nationella kriser med IT-inslag, medverka till identifieringen av inblandade aktörer vid IT-relaterade hot mot samhällsviktiga system, genomföra IT-säkerhetsanalyser och ge annat tekniskt stöd (4 §).

2.2 Enskildas rätt att begära information

Vill du veta om FRA behandlar uppgifter om dig i försvarsunderrättelse- eller utvecklings­verksamheten eller i informationssäkerhetsverksamheten kan du skicka en begäran om det till FRA. Tillgången till information kan begränsas om uppgifterna omfattas av sekretess.

2.3 Enskildas rätt att begära rättelse, radering och begränsning av behandlingen

Du har möjlighet att begära att FRA ska rätta, radera eller begränsa behandlingen av sådana personuppgifter som inte har behandlats i enlighet med FRA-PUL eller föreskrifter som har meddelats med stöd av lagen.

2.4 Längsta tid som personuppgifter får behandlas

FRA bevarar inte personuppgifter under längre tid än vad som behövs med hänsyn till ändamålen med behandlingen.

Regeringen har i förordning föreskrivit att personuppgifter i en uppgiftssamling för råmaterial inte får behandlas längre än ett år efter det att behandlingen av uppgifterna påbörjades.

Regeringen har vidare i förordning föreskrivit att personuppgifter i rapportunderlag och underrättelserapporter som inte längre behövs för de ändamål för vilka de behandlas, ska bevaras för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål.

2.5 Behandling av känsliga personuppgifter, biometriska uppgifter, personnummer och samordningsnummer

Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas. När personuppgifter behandlas får de dock kompletteras med sådana uppgifter om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen.

Biometriska uppgifter får behandlas om det är absolut nödvändigt med hänsyn till ändamålen med behandlingen. Med biometriska uppgifter avses personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar identifiering av personen i fråga.

Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

2.6 Utlämnande av personuppgifter

På begäran kan uppgifter komma att lämnas ut enligt offentlighetsprincipen om inte uppgifterna omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400).

3. Behandling av personuppgifter enligt EU:s dataskyddsförordning

3.1 Behandlingen av personuppgifter stödjer sig på rättslig grund och är begränsad till särskilda ändamål

FRA behandlar personuppgifter i den administrativa verksamheten för olika ändamål, till exempel vid rekrytering och personaladministration samt för att informera om verksamheten på webbplatsen. För detta måste det finnas en så kallad rättslig grund. FRA behandlar personuppgifter när det är nödvändigt för att fullgöra ett avtal, för att fullgöra rättsliga förpliktelser eller för att utföra en uppgift av allmänt intresse. FRA kan i undantagsfall komma att behandla personuppgifter efter samtycke från den registrerade.

De personuppgifter som FRA behandlar i sin administrativa verksamhet kan vara personuppgifter som lämnas i samband med besök hos FRA, vid kontakt med FRA genom brev, e-post eller telefonsamtal, vid ansökan av tjänst eller vid anställning hos FRA.

FRA behandlar personuppgifter om det är nödvändigt för att kunna kommunicera med allmänheten eller för att kunna utföra myndighetens verksamhet.

Som arbetsgivare får FRA behandla personuppgifter om anställda och uppdragstagare i den utsträckning det är nödvändigt för att fullgöra anställnings- eller uppdragsavtalet.

Personuppgifter som lämnas i samband med rekrytering kommer att behandlas inom FRA för personaladministrativa ändamål. Uppgifter som lämnas i samband med ansökan, t.ex. CV, personligt brev eller annan information, sparas i två år efter att rekryteringsärendet avslutats. Personuppgifter för den som anställs kommer att bevaras.

3.2 Enskildas rätt att begära information, rättelse och radering

Vill du veta om FRA behandlar personuppgifter om dig i den administrativa verksamheten kan du skicka en begäran om det till FRA. Tillgången till information kan begränsas om uppgifterna omfattas av sekretess.

Om dina uppgifter är felaktiga eller ofullständiga kan du begära att FRA rättar informationen. Om det förekommit felaktig behandling eller om det inte längre finns något ändamål för vilket det är nödvändigt att behandla uppgifterna kan du begära att de raderas. Om behandlingen grundar sig på ditt samtycke har du rätt att när som helst återkalla det.

I vissa fall har du rätt att få dina personuppgifter raderade, t.ex. om du har återkallat ditt samtycke.

3.3 Längsta tid som personuppgifter får behandlas

FRA behandlar inte personuppgifter under längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Uppgifterna kan bevaras under längre tid om de enbart behandlas för arkivändamål av allmänt intresse.

3.4 Behandling av känsliga personuppgifter, personnummer och samordningsnummer

Som huvudregel får FRA inte behandla personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en persons sexualliv eller sexuella läggning (känsliga personuppgifter).

Känsliga personuppgifter får under vissa förutsättningar ändå behandlas, bl.a. för att FRA ska kunna fullgöra sina skyldigheter inom arbetsrätten eller för att behandlingen är nödvändig inom förebyggande hälso- och sjukvård.

FRA får behandla personnummer och samordningsnummer utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. FRA behandlar personnummer i samband med besök på FRA, vilket följer av krav på fysisk säkerhet i säkerhetsskyddsförordningen (2021:955).

3.5 Utlämnande av personuppgifter

På begäran kan uppgifter komma att lämnas ut enligt offentlighetsprincipen om inte uppgifterna omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400).

4. Om FRA och tillsyn över behandlingen av personuppgifter


Kontaktuppgifter

Postadress
Försvarets radioanstalt, Box 301, 161 26 Bromma

Telefon
010-557 46 00

E-postadress
fra@fra.se

Dataskyddsombud

Om du har frågor om FRA:s personuppgiftsbehandling enligt FRA-PUL eller EU:s dataskyddsförordning är du välkommen att höra av dig till ansvarigt dataskyddsombud.

FRA:s dataskyddsombud enligt FRA-PUL kan nås på e-postadressen fra@fra.se genom att klicka på denna länk

FRA:s dataskyddsombud enligt EU:s dataskyddsförordning kan nås på e-postadressen dataskyddsombud@fra.se genom att klicka på denna länk

Tillsyn

Integritetsskyddsmyndigheten är tillsynsmyndighet enligt FRA-PUL och enligt EU:s dataskyddsförordning och dataskyddslagen. Om du skulle anse att FRA behandlar personuppgifter i strid med FRA-PUL eller EU:s dataskyddsförordning har du möjlighet att lämna ett klagomål till Integritetsskyddsmyndigheten som du når på e-postadressen imy@imy.se genom att klicka på denna länk

Utöver Integritetsskyddsmyndigheten har Statens inspektion för försvarsunderrättelseverksamheten (Siun) en särskild uppgift att kontrollera FRA:s behandling av personuppgifter i försvarsunderrättelseverksamheten. Siun kan nås på e-postadressen registrator@siun.se genom att klicka på denna länk

Ovanstående text som pdf-fil Pdf, 47.7 kB, öppnas i nytt fönster. kan du ladda ned genom att klicka på denna länk