Lag (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst

Departement
Försvarsdepartementet
Utfärdad
2007-05-10
Ändring införd
SFS 2007:258 i lydelse enligt SFS 2018:590
Ikraft
2007-07-01
Källa
Regeringskansliets rättsdatabaser
Senast hämtad
2018-08-19

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde m.m.

[K1]1 §  Denna lag gäller vid behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

[S2]Personuppgiftslagen (1998:204) gäller inte vid sådan behandling av personuppgifter som anges i första stycket.

Prop. 2006/07:46: I första stycket anges lagens tillämpningsområde. Lagen är tillämplig vid behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, om behandlingen av personuppgifter är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. Med personuppgifter avses detsamma som i ...

[K1]2 §  Syftet med lagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst.

Prop. 2006/07:46: I paragrafen anges lagens syfte, som är detsamma som det i 1 § personuppgiftslagen (1998:204). Se avsnitt 7.4.

Förhållandet till offentlighetsprincipen

[K1]3 §  Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka Försvarsmaktens skyldighet enligt 2 kap.tryckfrihetsförordningen att lämna ut personuppgifter.

Prop. 2006/07:46: Bestämmelsen innehåller en upplysning, motsvarande den i 8 § första stycket personuppgiftslagen (1998:204), om att lagen inte skall tillämpas om det skulle strida mot en myndighets skyldigheter enligt 2 kap. tryckfrihetsförordningen. Se avsnitt 8.1.

Definitioner

[K1]4 §  I denna lag används följande beteckningar med nedan angiven betydelse.

BeteckningBetydelse
Behandling (av personuppgifter)Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
Blockering (av personuppgifter)En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap.tryckfrihetsförordningen.
MottagareDen till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut från Försvarsmakten för att en annan myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte den myndigheten som mottagare.
PersonuppgifterAll slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
PersonuppgiftsbiträdeDen som behandlar personuppgifter för den personuppgiftsansvariges räkning.
PersonuppgiftsombudDen fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
Den registreradeDen som en personuppgift avser.
Tredje manNågon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter.
UppgiftssamlingEn samling med uppgifter som med hjälp av automatiserad behandling används gemensamt.

Prop. 2006/07:46: I bestämmelsen definieras centrala begrepp i lagen. Definitionerna överensstämmer med de i personuppgiftslagen (1998:204), med undantag av begreppen samtycke och tredje land som inte används i den föreslagna lagen samt begreppen personuppgiftsansvarig respektive tillsynsmyndighet, vars betydelse framgår av 5 kap. 1 §. Utöver personuppgiftslagens definitioner återfinns, ...

Personuppgiftsansvar

[K1]5 §  Försvarsmakten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Prop. 2006/07:46: I bestämmelsen tydliggörs att Försvarsmakten är personuppgiftsansvarig för den personuppgiftsbehandling som sker i försvarsunderrättelseverksamheten och i den militära säkerhetstjänsten, se avsnitt 8.3. Med personuppgiftsansvaret följer en rad skyldigheter. Den personuppgiftsansvarige skall bl.a. se till att behandlingen av personuppgifter sker på ett korrekt sätt samt att information lämnas till den registrerade, se bl.a. ...

Grundläggande krav på behandling av personuppgifter

[K1]6 §  Försvarsmakten skall se till att

  1. personuppgifter behandlas bara om det är lagligt,
  2. personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,
  3. personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,
  4. personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,
  5. de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,
  6. inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,
  7. de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella, och
  8. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

Prop. 2006/07:46: Bestämmelsen innehåller grundläggande krav på behandling av personuppgifter och upptar delvis de krav som återfinns i 9 § personuppgiftslagen. De närmare övervägandena framgår av avsnitt 8.4.

Uppgiftssamlingar

[K1]7 §  I Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst får, under de förutsättningar som anges i denna lag, personuppgifter behandlas i uppgiftssamlingar.

[S2]Regeringen meddelar föreskrifter eller beslut i enskilda fall om vilka uppgiftssamlingar som får finnas och vilka uppgifter som får behandlas i respektive samling.

Prop. 2006/07:46: I paragrafen anges att i den verksamhet som omfattas av lagen får personuppgifter behandlas i uppgiftssamlingar. Uppgifterna har hämtats in i den militära underrättelse- och säkerhetstjänsten och har gjorts gemen-

När behandling av personuppgifter är tillåten

Försvarsunderrättelseverksamhet

[K1]8 §  Personuppgifter får behandlas i Försvarsmaktens försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet.

[S2]Uppgifter om en person får endast behandlas om personen har anknytning till en preciserad inriktning för försvarsunderrättelseverksamheten och behandlingen är nödvändig för att fullfölja den inriktningen.

Prop. 2006/07:46: Paragrafen anger de ändamål för vilka personuppgifter får användas i försvarsunderrättelseverksamheten genom en hänvisning till lagen (2000:130) om försvarsunderrättelseverksamhet.

Försvarsunderrättelseverksamheten är ett led i Försvarsmaktens uppgifter att i fred, under beredskap och i krig ge underlag för Försvarsmaktens beredskap, operativa verksamhet och förbandsproduktion samt för krigsorganisationens utveckling ...

Den militära säkerhetstjänsten

[K1]9 §  Personuppgifter får behandlas i Försvarsmaktens militära säkerhetstjänst för att upptäcka, förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen, om det är nödvändigt för att

  1. klarlägga verksamhet som innefattar hot mot rikets säkerhet, eller
  2. vidta åtgärder som hindrar eller försvårar säkerhetshotande verksamhet.

Prop. 2006/07:46: Paragrafen anger de ändamål för vilka uppgifter får behandlas – d.v.s. samlas in, registreras, lämnas ut m.m. – i den militära säkerhetstjänsten.

Ändamålet med behandlingen av personuppgifter inom den militära säkerhetstjänsten är att Försvarsmakten skall kunna utföra de uppgifter som åligger myndigheten enligt säkerhetsskyddslagen (1996:627), säkerhetsskyddsförordningen ...

/Upphör att gälla U: 2019-04-01/

[K1]10 §  Uppgifter om en person får behandlas för de ändamål som anges i 9 § endast om

  1. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva verksamhet som innefattar brott som kan hota rikets säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,
  2. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva underrättelseverksamhet riktad mot Försvarsmakten och dess säkerhetsintressen,
  3. uppgifterna ger grundad anledning att anta att personen utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften skall behandlas,
  4. personen har lämnat uppgifter om säkerhetshotande verksamhet och personuppgifterna är nödvändiga för att bedöma personens trovärdighet, eller
  5. uppgifterna avser information som har framkommit i samband med att en person har genomgått registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (1996:627).

[S2]Uppgifter om en person skall förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet skall det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet skall förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.

[S3]Uppgifter om en person som avses i första stycket 1-3 skall förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Prop. 2006/07:46: I paragrafen preciseras de ändamål för vilka personuppgifter får behandlas inom den militära säkerhetstjänsten med en särskild bestämmelse om vilka uppgiftskategorier som får behandlas i verksamheten. Av första stycket framgår att uppgifter om en person i huvudsak får behandlas endast om uppgifterna ger grundad anledning anta att personen utövat eller kan komma att utöva säkerhetshotande verksamhet eller har lämnat uppgift om sådan verksamhet samt om uppgifterna har framkommit genom att någon genomgått ...

/Träder i kraft I: 2019-04-01/

10 §  Uppgifter om en person får behandlas för de ändamål som anges i 9 § endast om

  1. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva verksamhet som innefattar brott som kan hota rikets säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,
  2. uppgifterna ger grundad anledning att anta att personen har utövat eller kan komma att utöva underrättelseverksamhet riktad mot Försvarsmakten och dess säkerhetsintressen,
  3. uppgifterna ger grundad anledning att anta att personen utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgifterna ska behandlas,
  4. personen har lämnat uppgifter om säkerhetshotande verksamhet och personuppgifterna är nödvändiga för att bedöma personens trovärdighet, eller
  5. uppgifterna avser information som har framkommit i samband med att en person har genomgått registerkontroll eller särskild personutredning enligt säkerhetsskyddslagen (2018:585).

Uppgifter om en person ska förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet ska förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.

Uppgifter om en person som avses i första stycket 1–3 ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Lag (2018:590).

[K1]11 §  Trots vad som sägs i 10 § får personuppgifter som ingår i eller har uppkommit i samband med användning av totalförsvarets telekommunikations- och informationssystem behandlas för att förhindra obehörig insyn i och påverkan av dessa system. Det gäller även sådana uppgifter som avses i 12 och 13 §§. Behandling som särskilt syftar till att identifiera en person får dock endast utföras om bestämmelserna i 10 § första stycket 1, 2 eller 3 tilllämpas.

[S2]Försvarsmakten skall föra en förteckning över de behandlingar som särskilt syftar till att identifiera en person och de uppgifter som utgjort anledningen till behandlingen.

Prop. 2006/07:46: Bestämmelsen innebär att personuppgifter som ingår i eller har uppkommit i samband med användning av totalförsvarets telekommunikations- och informationssystem – även sådana som omfattas av särskilda restriktioner – får behandlas i syfte att förhindra obehörig insyn i och påverkan av dessa system. Den omständigheten att sådan behandling genom signalkontroll utförs utan att förekomsten av relevanta personuppgifter på förhand kan avgöras utgör följaktligen inte något hinder för verksamheten. ...

Behandling av känsliga personuppgifter

[K1]12 §  Personuppgifter får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

[S2]Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som beskriver en persons utseende skall alltid utformas på ett objektivt sätt med respekt för människovärdet.

[S3]Vid sökning får personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv användas som sökbegrepp endast om det är absolut nödvändigt för syftet med behandlingen.

Prop. 2006/07:46: I första stycket anges att känsliga personuppgifter inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Det innebär t.ex. att det inte är tillåtet att föra register över, eller på annat sätt göra anteckningar om, enskilda personer enbart på den grunden att de tillhör en viss etnisk grupp.

Av andra stycket framgår att om uppgifter ...

Behandling av personnummer

[K1]13 §  Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till

  1. ändamålet med behandlingen,
  2. vikten av en säker identifiering, eller
  3. något annat beaktansvärt skäl.

Prop. 2006/07:46: Bestämmelsen motsvarar 22 § personuppgiftslagen med undantag av att samtycke från den enskilde inte tillåter behandling av personnummer eller samordningsnummer i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, se avsnitt 8.9.

Utlämnande av personuppgifter på medium för automatiserad behandling

[K1]14 §  Endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att uppgifter får lämnas ut på sådant medium även i andra fall.

Prop. 2006/07:46: Paragrafen reglerar under vilka förutsättningar uppgifter får lämnas ut i elektronisk form, t.ex. i ett e-postmeddelande eller på diskett. Bestämmelsen har inte någon sekretessbrytande verkan.

Bestämmelsen innebär att en större mängd personuppgifter, t.ex. ett helt register eller delar av ett register, inte får lämnas ut på medium för automatiserad behandling såvida inte regeringen har meddelat föreskrifter eller beslut i enskilda fall om detta. Undantagsregeln har utformats ...

Direktåtkomst

[K1]15 §  Säkerhetspolisen och Försvarets radioanstalt får medges direktåtkomst till sådana uppgifter i en uppgiftssamling för försvarsunderrättelseverksamhet som behövs för att myndigheterna, inom ramen för myndighetsöverskridande samverkan mellan Försvarets radioanstalt, Försvarsmakten och Säkerhetspolisen, ska kunna göra bedömningar på strategisk nivå av terrorhotet mot Sverige och svenska intressen. Tillgången till sådana uppgifter ska vara förbehållen de personer inom myndigheterna som på grund av sina arbetsuppgifter inom sådan samverkan behöver ha tillgång till uppgifterna.

[S2]Regeringen meddelar föreskrifter om vilka myndigheter som i andra fall får ha direktåtkomst till uppgiftssamlingar.

[S3]Regeringen, eller den myndighet som regeringen bestämmer, meddelar

  1. ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktåtkomsten, och
  2. föreskrifter om behörighet och säkerhet vid sådan åtkomst. Lag (2018:51).

Prop. 2017/18:36: I första stycket har det införts en ny bestämmelse som ger Försvarsmakten möjlighet att lämna ut uppgifter genom direktåtkomst till Säkerhetspolisen och Försvarets radioanstalt (FRA) inom ramen för samarbetet i Nationellt centrum för terrorhotbedömning (NCT). Övervägandena finns i avsnitt 7.2.

Prop. 2006/07:46: Bestämmelsen innebär en upplysning om att regeringen föreskriver om i vilken utsträckning annan myndighet får ha direktåtkomst till uppgiftssamlingar i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Vidare framgår att omfattningen av direktåtkomsten regleras av regeringen eller den myndighet regeringen bestämmer. I en-

lighet ...

Uppgiftsskyldighet

[K1]15 a §  Säkerhetspolisen och Försvarets radioanstalt har, trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av sådana uppgifter som avses i 15 § första stycket. Lag (2018:51).

Prop. 2017/18:36: Paragrafen är ny och reglerar viss uppgiftsskyldighet för Försvarsmakten. Övervägandena finns i avsnitt 7.3.

Tillgången till personuppgifter

[K1]16 §  Tillgången till personuppgifter skall alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Prop. 2006/07:46: Med hänsyn till skyddet för den personliga integriteten skall personuppgifter inte spridas till en vidare krets inom Försvarsmakten än nödvändigt. Detsamma gäller inom de myndigheter som får direktåtkomst till uppgifter hos Försvarsmakten. I paragrafen föreskrivs därför att tillgången till personuppgifter skall vara förbehållen de personer som behöver tillgång till uppgifterna för att kunna fullgöra sina arbetsuppgifter. Av verksamhetens art följer att inskränkningar av behörigheten också är nödvändiga ...

Överföring av personuppgifter till andra länder

[K1]17 §  Personuppgifter som behandlas med stöd av denna lag får föras över till andra länder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvarsmakten skall kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att överföring får ske även i andra fall då det är nödvändigt för verksamheten vid Försvarsmakten.

Prop. 2006/07:46: Enligt paragrafen får personuppgifter föras över till andra länder eller internationella organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvarsmakten skall kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet. Paragrafen är ägnad att uppfylla de krav på nationell lagstiftning som dataskyddskonventionen ställer när det gäller överföring av personuppgifter till andra länder. Huruvida ett utlämnade skall ...

2 kap. Information till den enskilde, rättelse och skadestånd

Information till den enskilde

Information skall lämnas självmant

[K2]1 §  Om uppgifter om en person samlas in i den militära säkerhetstjänsten från personen själv skall Försvarsmakten i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. Informationen skall omfatta

  1. uppgift om att det är Försvarsmakten som är personuppgiftsansvarig för behandlingen,
  2. uppgift om ändamålen med behandlingen, och
  3. all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

[S2]Information enligt första stycket behöver inte lämnas om sådant som den registrerade redan känner till.

Information skall lämnas efter ansökan

[K2]2 §  Försvarsmakten är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om huruvida personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om

  1. vilka uppgifter om den sökande som behandlas,
  2. varifrån dessa uppgifter har hämtats,
  3. ändamålen med behandlingen, och
  4. till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

[S2]En ansökan enligt första stycket skall göras skriftligen hos Försvarsmakten och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Prop. 2006/07:46: Bestämmelsen motsvarar 26 § första och andra stycket personuppgiftslagen. För en kommentar se vidare prop. 1997/98:44 s. 131 f.

Se avsnitt 10.1.

[K2]3 §  Information enligt 2 § behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Detta gäller dock inte om uppgifterna har lämnats ut till tredje man eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

Prop. 2006/07:46: Bestämmelsen motsvarar i princip 26 § tredje stycket personuppgiftslagen. För en kommentar se prop. 1997/98:44 s. 131.

Se avsnitt 10.1.

Undantag från informationsskyldigheten vid sekretess

[K2]4 §  Bestämmelserna i 1 och 2 §§ gäller inte i den utsträckning sekretess hindrar att uppgifterna lämnas ut till den registrerade.

Prop. 2006/07:46: Bestämmelsen motsvarar till sin innebörd 27 § första meningen personuppgiftslagen. För en kommentar se prop. 1997/98:44 s. 133.

Se avsnitt 10.1.

Rättelse

[K2]5 §  Försvarsmakten är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen. Försvarsmakten skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Skadestånd

[K2]6 §  Staten skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats med stöd av lagen har orsakat.

[S2]Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om Försvarsmakten visar att felet inte berodde på myndigheten.

Prop. 2006/07:46: Bestämmelsen motsvarar i huvudsak 48 § personuppgiftslagen, se vidare prop. 1997/98:44 s. 143 f. Skadeståndsskyldigheten skall dock, utöver behandling av personuppgifter i strid med lagen, också omfatta behandling i strid med föreskrifter som har meddelats med stöd av lagen.

Se avsnitt ...

3 kap. Säkerheten vid behandling

[K3]1 §  Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller Försvarsmaktens ledning får behandla personuppgifter bara i enlighet med instruktioner från Försvarsmakten.

[S2]Det ska finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för Försvarsmaktens räkning. I det avtalet ska det särskilt anges att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från Försvarsmakten och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 2 § första stycket.

[S3]I fråga om sekretess och tystnadsplikt i det allmännas verksamhet tillämpas bestämmelserna i offentlighets- och sekretesslagen (2009:400) i stället för första stycket. Lag (2009:520).

Prop. 2006/07:46: Bestämmelsens första och andra stycke motsvarar 30 § första och andra stycket personuppgiftslagen, se vidare prop. 1997/98:44 s. 136.

Av 30 § tredje stycket personuppgiftslagen framgår att om det i lag eller annan författning finns särskilda bestämmelser om behandlingen ...

[K3]2 §  Försvarsmakten skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av

  1. de tekniska möjligheter som finns,
  2. vad det skulle kosta att genomföra åtgärderna,
  3. de särskilda risker som finns med behandlingen av personuppgifterna, och
  4. hur pass känsliga de behandlade personuppgifterna är.

[S2]När Försvarsmakten anlitar ett personuppgiftsbiträde, skall Försvarsmakten förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

4 kap. Personuppgiftsombud

[K4]1 §  Försvarsmakten skall utse ett eller flera personuppgiftsombud och anmäla dessa till den tillsynsmyndighet som avses i 5 kap. Även ett entledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten.

Prop. 2006/07:46: I paragrafen föreskrivs att Försvarsmakten skall utse ett eller flera personuppgiftsombud. Myndigheten har således, till skillnad från vad som gäller enligt personuppgiftslagen, inte någon valfrihet härvidlag. Ett personuppgiftsombud skall anmälas till tillsynsmyndigheten såväl när det utses som när det entledigas.

2–4 §§ Bestämmelserna motsvarar i huvudsak 38–...

[K4]2 §  Personuppgiftsombudet skall ha till uppgift att självständigt se till att Försvarsmakten behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för myndigheten.

[S2]Har personuppgiftsombudet anledning att misstänka att Försvarsmakten bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten.

[S3]Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.

[K4]3 §  Personuppgiftsombudet skall över de behandlingar som Försvarsmakten genomför och som är helt eller delvis automatiserade föra en förteckning som avser försvarsunderrättelseverksamheten och en förteckning som avser den militära säkerhetstjänsten.

[S2]Regeringen, eller den myndighet som regeringen bestämmer, meddelar föreskrifter om vad förteckningen skall innehålla.

[K4]4 §  Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.

5 kap. Tillsynsmyndigheten

[K5]1 §  Den myndighet som regeringen bestämmer skall utöva tillsyn över Försvarsmaktens behandling av personuppgifter enligt denna lag.

Prop. 2006/07:46: I förordning i anslutning till lagen skall anges att Datainspektionen är den myndighet som, i likhet med vad som nu gäller, skall utöva tillsyn över Försvarsmaktens behandling av personuppgifter.

[K5]2 §  Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

  1. tillgång till de personuppgifter som behandlas,
  2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och
  3. tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

[K5]3 §  Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.

Prop. 2006/07:46: Bestämmelsen motsvarar 45 § första stycket första meningen personuppgiftslagen, se vidare prop. 1997/98:44 s. 142. Till skillnad från vad som gäller enligt personuppgiftslagen ges tillsynsmyndigheten här inte möjlighet att vid vite förbjuda fortsatt personuppgiftsbehandling, eftersom vite ...

[K5]4 §  Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

[S2]Beslut om utplånande får inte meddelas om det är oskäligt. Lag (2009:850).

6 kap. Övriga bestämmelser

Gallring

[K6]1 §  Personuppgifter som behandlas automatiserat skall gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i enskilt fall beslutat att gallring skall ske senast vid viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Prop. 2006/07:46: I paragrafen anges i vilken utsträckning personuppgifter som behandlas automatiserat skall gallras. Traditionellt sett har gallring inneburit utsortering och förstöring av dokument. I samband med gallringen har alltså såväl informationen som informationsbäraren försvunnit. I fråga om information på ADB-medier anses dock att gallring sker även då den elektroniskt lagrade informationen överförs till en pappersutskrift och sedan raderas från ADB-mediet. Avgörande för om gallring skall anses ha skett ...

Straff

[K6]2 §  Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsamhet

  1. lämnar osann uppgift i sådan information till registrerade som föreskrivs i 2 kap., i anmälan till tillsynsmyndigheten enligt 4 kap. 1 § eller till tillsynsmyndigheten när myndigheten begär information enligt 5 kap. 2 §, eller
  2. behandlar personuppgifter i strid med 1 kap. 12 §.

[S2]I ringa fall döms inte till ansvar.

Prop. 2006/07:46: Bestämmelsen motsvarar till viss del 49 § personuppgiftslagen, se vidare prop. 1997/98:44 s. 145 f. I avsnitt 13.3 redogörs för de skillnader som föreslås i förhållande till personuppgiftslagens bestämmelse. ...

Överklagande

[K6]3 §  Försvarsmaktens beslut om information som skall lämnas enligt 2 kap.1 och 2 §§ och om rättelse och underrättelse till tredje man enligt 2 kap. 5 § får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

[S2]Prövningstillstånd krävs vid överklagande till kammarrätten.

Prop. 2006/07:46: Lagen ger inte tillsynsmyndigheten sådana befogenheter att någon bestämmelse om överklagande av tillsynsmyndighetens beslut är nödvändig (jfr 51 § personuppgiftslagen). Däremot kan Försvarsmakten med stöd av lagen komma att meddela beslut som rör enskilda, framförallt beslut om information respektive rättelse. Sådana beslut är överklagbara. Besluten överklagas i enlighet med den normalt gällande ordningen i fråga om förvaltningsbeslut, ...

Ändringar och övergångsbestämmelser

Lag (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst

Tryckt format (PDF)

Övergångsbestämmelse

  1. Denna lag träder i kraft den 1 juli 2007.
  2. Bestämmelserna i 1 kap. 6 § om grundläggande krav på behandling av personuppgifter och i 1 kap. 12 § om behandling av känsliga personuppgifter skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst bestämt ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
  3. Bestämmelserna i 2 kap. 6 § om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas äldre bestämmelser.
Förarbeten
Rskr. 2006/07:144, Prop. 2006/07:46, Bet. 2006/07:FöU6
Ikraftträder
2007-07-01

Lag (2009:520) om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst

Tryckt format (PDF)

Förarbeten
Rskr. 2008/09:237, Prop. 2008/09:150, Bet. 2008/09:KU24
Omfattning
ändr. 3 kap. 1 §
Ikraftträder
2009-06-30

Lag (2009:850) om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst

Tryckt format (PDF)

Förarbeten
Rskr. 2008/09:290, Prop. 2008/09:165, Bet. 2008/09:JuU23
Omfattning
ändr. 5 kap. 4 §
Ikraftträder
2010-02-15

Lag (2018:51) om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst

Tryckt format (PDF)

Förarbeten
Rskr. 2017/18:143, Prop. 2017/18:36, Bet. 2017/18:JuU9
Omfattning
ändr. 1 kap. 15 §; ny 1 kap. 15 a §, rubr. närmast före 1 kap. 15 a §
Ikraftträder
2018-03-01

Lag (2018:590) om ändring i lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst

Officiell autentisk version

Övergångsbestämmelse

  1. Denna lag träder i kraft den 1 april 2019.
  2. Äldre föreskrifter gäller fortfarande i fråga om registerkontroll eller särskild personutredning som har genomförts enligt säkerhetsskyddslagen (1996:627) före ikraftträdandet.
Förarbeten
Rskr. 2017/18:289, Prop. 2017/18:89, Bet. 2017/18:JuU21
Omfattning
ändr. 1 kap. 10 §
Ikraftträder
2019-04-01