Förordning (2021:1207) om behandling av personuppgifter vid Försvarsmakten

Departement
Försvarsdepartementet
Utfärdad
2021-12-09
Ändring införd
SFS 2021:1207
Ikraft
2022-01-01
Källa
Regeringskansliets rättsdatabaser
Senast hämtad
2021-12-15

1 kap. Allmänna bestämmelser

[K1]1 §  Denna förordning innehåller föreskrifter som ansluter till lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten.

[S2]Ord och uttryck som används i denna förordning har samma innebörd som i lagen.

[K1]2 §  Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.

2 kap. Behandling av personuppgifter

Överföring av personuppgifter till en mottagare utomlands

[K2]1 §  Försvarsmakten får inom ramen för verksamhet som rör Sveriges försvar och säkerhet överföra personuppgifter till en utländsk myndighet, en internationell organisation eller en enskild, om överföringen är nödvändig för att fullgöra myndighetens uppdrag.

[K2]2 §  Försvarsmakten får inom ramen för internationellt försvars- och säkerhetssamarbete överföra personuppgifter till en utländsk myndighet eller en internationell organisation, om överföringen tjänar den svenska statsledningen eller det svenska totalförsvaret.

[S2]Överföringen av personuppgifter får inte vara till skada för svenska intressen.

3 kap. Gemensamt tillgängliga uppgifter

Uppgiftssamlingar

Försvarsunderrättelseverksamhet

[K3]1 §  Vid Försvarsmakten får det finnas uppgiftssamlingar för försvarsunderrättelseverksamhet som innehåller personuppgifter.

[S2]Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för att Försvarsmakten ska kunna bedriva verksamhet enligt lagen (2000:130) om försvarsunderrättelseverksamhet.

[K3]2 §  En uppgiftssamling för försvarsunderrättelseverksamhet får endast innehålla

  1. identifieringsuppgifter,
  2. uppgifter om de omständigheter och händelser som ger anledning att anta att den registrerade har betydelse för försvarsunderrättelseverksamheten, och
  3. upplysningar om varifrån uppgiften kommer och om en uppgiftslämnares trovärdighet.

[S2]Om de personuppgifter som finns i rapportunderlag och underrättelserapporter inte längre behövs för de ändamål för vilka de behandlas, ska personuppgifterna bevaras för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål.

Militär säkerhetstjänst

[K3]3 §  Vid Försvarsmakten får det finnas uppgiftssamlingar för säkerhetsunderrättelsetjänst som innehåller personuppgifter.

[S2]Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för att upptäcka och klarlägga säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen.

[S3]Om de personuppgifter som finns i rapportunderlag och underrättelserapporter inte längre behövs för de ändamål för vilka de behandlas, ska personuppgifterna bevaras för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål.

[K3]4 §  Vid Försvarsmakten får det finnas uppgiftssamlingar för säkerhetsskyddstjänst som innehåller personuppgifter.

[S2]Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för att förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen.

[K3]5 §  Vid Försvarsmakten får det finnas uppgiftssamlingar för signalkontroll som innehåller personuppgifter.

[S2]Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för att förhindra obehörig insyn i och påverkan på totalförsvarets telekommunikations- och informationssystem.

[S3]Personuppgifter i en uppgiftssamling för signalkontroll får inte behandlas längre än ett år efter att behandlingen av uppgifterna påbörjades.

Direktåtkomst

Försvar och säkerhet

[K3]6 §  Kustbevakningen får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten och som rör sjölägesinformation som är sammanställd för civila behov. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga inom Försvarsmakten.

[S2]Vid sådan direktåtkomst har Kustbevakningen rätt att ta del av de personuppgifter som omfattas av åtkomsten.

[K3]7 §  Försvarets materielverk får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten. Direktåtkomsten får endast avse personuppgifter som behandlas inom Försvarsmaktens materiel- och logistikförsörjning och som har gjorts gemensamt tillgängliga inom Försvarsmakten.

[S2]Vid sådan direktåtkomst har Försvarets materielverk rätt att ta del av de personuppgifter som omfattas av åtkomsten.

[K3]8 §  Nationella operativa avdelningen i Polismyndigheten, Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap, Försvarets materielverk, Försvarets radioanstalt och Post- och telestyrelsen får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten. Direktåtkomsten får endast avse personuppgifter som behandlas inom ramen för Försvarsmaktens deltagande i Nationellt cybersäkerhetscenter och som har gjorts gemensamt tillgängliga inom Försvarsmakten.

[S2]Vid sådan direktåtkomst har myndigheterna rätt att ta del av de personuppgifter som omfattas av åtkomsten.

[K3]9 §  Försvarsmakten får i andra fall än som anges i 6-8 §§ medge direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten och som avser Försvarsmaktens personal, om det behövs för att genomföra nödvändig verksamhet som rör Sveriges försvar och säkerhet. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga inom Försvarsmakten.

[S2]Vid sådan direktåtkomst har mottagaren rätt att ta del av de personuppgifter som omfattas av åtkomsten.

[K3]10 §  Finlands försvarsmakt får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten om det behövs för planering, förberedelser och genomförande av stöd inom ramen för lagen (2020:782) om operativt militärt stöd mellan Sverige och Finland. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga inom Försvarsmakten.

Försvarsunderrättelseverksamhet

[K3]11 §  Regeringskansliet, Nationella operativa avdelningen i Polismyndigheten, Kustbevakningen, Myndigheten för samhällsskydd och beredskap, Inspektionen för strategiska produkter, Försvarets materielverk, Totalförsvarets forskningsinstitut och Tullverket får medges direktåtkomst till personuppgifter som utgör bearbetningsunderlag och analysresultat och som finns i en uppgiftssamling för försvarsunderrättelseverksamhet.

[S2]Vid sådan direktåtkomst har myndigheterna rätt att ta del av de personuppgifter som omfattas av åtkomsten.

[K3]12 §  Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrättelse- och säkerhetssamarbete får en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas enligt 2 kap. 3 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för försvarsunderrättelseverksamhet som Försvarsmakten har upprättat i syfte att ge mottagaren tillgång till uppgifterna.

[S2]Försvarsmakten ska underrätta Regeringskansliet (Försvarsdepartementet) innan direktåtkomst medges en utländsk underrättelse- eller säkerhetstjänst.

Militär säkerhetstjänst

[K3]13 §  Säkerhetspolisen, Nationella operativa avdelningen i Polismyndigheten, Myndigheten för samhällsskydd och beredskap, Kustbevakningen, Migrationsverket, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Totalförsvarets plikt- och prövningsverk och Fortifikationsverket får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 6 § 1 och 2 lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för säkerhetsunderrättelsetjänst.

[S2]Vid sådan direktåtkomst har myndigheterna rätt att ta del av de personuppgifter som omfattas av åtkomsten.

[K3]14 §  Säkerhetspolisen får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 6 § 5 lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för säkerhetsskyddstjänst.

[S2]Vid sådan direktåtkomst har Säkerhetspolisen rätt att ta del av de personuppgifter som omfattas av åtkomsten.

[K3]15 §  Om det behövs för samarbetet mot säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen, får en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 6 § 1 och 2 lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för säkerhetsskyddstjänst som Försvarsmakten har upprättat i syfte att ge mottagaren tillgång till uppgifterna.

[S2]Försvarsmakten ska underrätta Regeringskansliet (Försvarsdepartementet) innan direktåtkomst medges en utländsk underrättelse- eller säkerhetstjänst.

Omfattningen av direktåtkomsten

[K3]16 §  Försvarsmakten beslutar om omfattningen av direktåtkomst som följer av lag, förordning eller regeringens beslut i ett enskilt fall.

[K3]17 §  Försvarsmakten ska säkerställa att förutsättningarna för direktåtkomsten dokumenteras.

[S2]Tillgången till uppgifter hos mottagaren ska vara förbehållen de personer som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna.

[S3]Direktåtkomst får inte medges innan Försvarsmakten har försäkrat sig om att mottagaren uppfyller kraven på behörighet och säkerhet.

4 kap. Skyldigheter som personuppgiftsansvarig

Tekniska och organisatoriska åtgärder

[K4]1 §  De åtgärder som Försvarsmakten ska vidta enligt 4 kap. 1 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten ska vara rimliga med beaktande av behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen.

Dokumentationsskyldighet

Förteckning över kategorier av behandlingar

[K4]2 §  Försvarsmakten ska föra en förteckning över de kategorier av behandlingar av personuppgifter som myndigheten ansvarar för. Förteckningen ska innehålla följande uppgifter:

  1. namnet på och kontaktuppgifter till myndigheten,
  2. namnet på dataskyddsombudet,
  3. namnet på personuppgiftsbiträdet,
  4. ändamålen med behandlingen,
  5. de kategorier av registrerade som berörs av behandlingen,
  6. de kategorier av personuppgifter som kan komma att behandlas,
  7. de kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas,
  8. de kategorier av mottagare som uppgifterna kan komma att överföras till, inbegripet mottagare i ett annat land eller i en internationell organisation, och
  9. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder som har vidtagits.

Loggning

[K4]3 §  Försvarsmakten ska föra loggar i myndighetens informationssystem som innehåller uppgiftssamlingar för försvarsunderrättelseverksamhet och militär säkerhetstjänst. Av loggarna ska, så långt det är möjligt, framgå vem som har läst, skapat, ändrat eller raderat personuppgifter i en uppgiftssamling samt tidpunkten för åtgärden.

Tillgången till personuppgifter

[K4]4 §  För tilldelning av behörighet för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, kan finnas krav på utbildning och erfarenhet.

[S2]Försvarsmakten ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter.

Säkerheten vid behandling av personuppgifter

[K4]5 §  De skyddsåtgärder som ska vidtas enligt 4 kap. 3 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten ska åstadkomma en skyddsnivå som är lämplig med hänsyn till

  1. de tekniska möjligheterna,
  2. kostnaderna för åtgärderna,
  3. behandlingens art, omfattning, sammanhang och ändamål,
  4. de särskilda riskerna med behandlingen,
  5. om känsliga personuppgifter behandlas, och
  6. hur integritetskänsliga övriga personuppgifter som behandlas är.

Anmälan av överträdelser

[K4]6 §  Försvarsmakten ska ha sådana interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.

Dataskyddsombud

[K4]7 §  Försvarsmakten ska säkerställa att dataskyddsombud ges möjlighet att delta i arbetet med frågor som rör skyddet av personuppgifter.

[S2]Försvarsmakten ska se till att dataskyddsombud kan utföra de uppgifter som anges i 4 kap. 5 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Försvarsmakten ska också se till att dataskyddsombud har den sakkunskap som krävs och att de ges möjlighet att upprätthålla denna.

Personuppgiftsbiträden

Avtalets eller överenskommelsens innehåll

[K4]8 §  Ett avtal eller annan överenskommelse enligt 4 kap. 7 § lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten ska ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, kategorier av personuppgifter, kategorier av registrerade samt Försvarsmaktens skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt anges att personuppgiftsbiträdet ska

  1. behandla personuppgifter enbart enligt instruktioner från Försvarsmakten,
  2. säkerställa att personer som har tillstånd att behandla personuppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,
  3. hjälpa Försvarsmakten att säkerställa att bestämmelserna om registrerades rättigheter följs,
  4. radera eller återlämna alla personuppgifter till Försvarsmakten när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior,
  5. ge Försvarsmakten tillgång till den information som krävs för att visa att denna paragraf och 4 kap.6-9 §§ lagen om behandling av personuppgifter vid Försvarsmakten följs, och
  6. respektera de villkor som följer av denna paragraf och 4 kap. 8 § lagen om behandling av personuppgifter vid Försvarsmakten om ett annat personuppgiftsbiträde anlitas.

Övriga skyldigheter

[K4]9 §  Skyldigheterna enligt 4 § om tillgången till personuppgifter tillämpas även för personuppgiftsbiträden.

5 kap. Bemyndiganden

[K5]1 §  Riksarkivet får, efter att ha gett Försvarsmakten tillfälle att yttra sig, meddela föreskrifter om att personuppgifter som inte längre får behandlas enligt 2 kap. 21 § första stycket lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten ska bevaras för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. Sådana föreskrifter får dock inte avse sådana personuppgifter som ska bevaras enligt 3 kap. 2 § andra stycket och 3 § tredje stycket.

[K5]2 §  Försvarsmakten får meddela ytterligare föreskrifter om verkställigheten av lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten och föreskrifter om verkställigheten av denna förordning.

[S2]Försvarsmakten ska ge Integritetsskyddsmyndigheten tillfälle att yttra sig innan den meddelar föreskrifter om integritetsskyddet vid personuppgiftsbehandling.

Ändringar och övergångsbestämmelser

Förordning (2021:1207) om behandling av personuppgifter vid Försvarsmakten

Övergångsbestämmelse

  1. Denna förordning träder i kraft den 1 januari 2022.
  2. Genom förordningen upphävs förordningen (2007:260) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst.
  3. Bestämmelserna i 4 kap. 2 § om innehållet i förteckningen över kategorier av behandlingar av personuppgifter som Försvarsmakten ansvarar för tillämpas första gången den 1 juli 2026 i fråga om de behandlingar av personuppgifter som har förtecknats före ikraftträdandet.
  4. Bestämmelserna i 4 kap. 3 § om loggning tillämpas första gången den 1 juli 2026 i fråga om uppgiftssamlingar som har inrättats före ikraftträdandet.
Ikraftträder
2022-01-01