Dir. 2017:42

Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt

Kommittédirektiv

Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt

Beslut vid regeringssammanträde den 27 april 2017

Sammanfattning

En särskild utredare ska göra en översyn av den lagstiftning som gäller för personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt. Syftet med uppdraget är att säkerställa att lagstiftningen är anpassad till den tekniska och legala utvecklingen.

Utredaren ska bl.a.

Uppdraget ska redovisas senast den 31 maj 2018.

Grundläggande bestämmelser om skyddet av personuppgifter

En väl avvägd balans är nödvändig mellan å ena sidan skyddet för den personliga integriteten och å andra sidan upprätthållandet av statens säkerhet. Den snabba tekniska utvecklingen skapar möjligheter att på ett effektivt sätt inhämta information som är av betydelse för att kunna skydda landet mot yttre hot, men innebär samtidigt utmaningar för skyddet av den personliga integriteten. Intrång i den personliga integriteten måste alltid stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen av personuppgifterna.

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt 2 kap. 6 § andra stycket är var och en skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap.2022 §§regeringsformen.

Enligt artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Med detta avses bl.a. skyddet av personuppgifter. Rättigheten är dock inte absolut. Inskränkningar får göras med stöd av lag och om det är nödvändigt i ett demokratiskt samhälle med hänsyn till vissa särskilt angivna ändamål, bl.a. statens säkerhet och den allmänna säkerheten. Av 2 kap. 19 § regeringsformen följer att en lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Den europeiska konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen, kan ses som en precisering av skyddet

för enskilda enligt artikel 8 i Europakonventionen i fråga om behandlingen av personuppgifter. Konventionen och dess tilläggsprotokoll har ett generellt tillämpningsområde och kompletteras av ett antal rekommendationer som antagits av ministerkommittén och som handlar om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. En översyn av konventionen pågår inom Europarådet.

I Europeiska unionens stadga om de grundläggande rättigheterna bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Artikel 7 i stadgan anger att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Artikel 8 reglerar skydd av personuppgifter. Enligt artikeln har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna följs.

EU-regleringen och dess svenska genomförande

EU:s dataskyddsdirektiv

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Dataskyddsdirektivet gäller inte för behandling av personuppgifter på områden som faller utanför gemenskapsrätten, t.ex.

försvar och statens säkerhet (artikel 3.2). Direktivet har genomförts i svensk rätt genom personuppgiftslagen (1998:204). Sverige valde i samband med att dataskyddsdirektivet genomfördes i svensk rätt att inte begränsa personuppgiftslagens tillämpningsområde, bl.a. med motiveringen att det är särskilt viktigt med ett starkt integritetsskydd när det gäller uppgifter inom all offentlig verksamhet. En annan motivering var att den valda lösningen garanterar att behovet av särregler i förhållande till personuppgiftslagen alltid övervägs noga i den ordning som krävs för författningsgivning (se prop. 1997/98:44 s. 4041).

EU:s dataskyddsförordning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), kallad dataskyddsförordningen. Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och kommer att ersätta det nuvarande dataskyddsdirektivet. Förordningen ska börja tillämpas den 25 maj 2018.

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll, men rymmer även en rad nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna, men den både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag. Behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, t.ex. försvar och statens säkerhet, undantas från dataskyddsförordningens tillämpningsområde, på samma sätt som gäller för dataskyddsdirektivet. Förordningen ger också ett visst utrymme för medlemsstaterna att behålla eller införa mer specifika bestämmelser för sådan personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla

uppgifter i samband med myndighetsutövning (förordningens artikel 6.2).

Regeringen tillsatte den 25 februari 2016 en utredning som bl.a. ska undersöka vilka kompletterande nationella föreskrifter som dataskyddsförordningen kräver (Ju 2016:04). I utredningens direktiv anges att personuppgiftslagen och personuppgiftsförordningen (1998:1191) samt Datainspektionens föreskrifter i anslutning till denna reglering kommer att behöva upphävas. Uppdraget ska redovisas senast den 12 maj 2017.

Regeringen har även tillsatt en utredning som ska föreslå hur EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet ska genomföras i svensk rätt (Ju 2016:06). Uppdraget ska redovisas senast den 30 september 2017.

Uppdraget att se över den reglering som gäller vid behandling av personuppgifter inom Försvarsmakten och Försvarets radioanstalt

Myndigheternas verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas integritet värnas

Personuppgiftslagen är subsidiär vilket innebär att lagens bestämmelser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestämmelser i s.k. särskilda registerförfattningar.

På Försvarsmaktens verksamhetsområde finns lagen (2007:258) och förordningen (2007:260) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. För stora delar av Försvarets radioanstalts verksamhet gäller lagen (2007:259) och förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet. Lagarna är fristående i förhållande till personuppgiftslagen, men deras strukturer och materiella innehåll är till stor del inspirerade av den lagen.

Försvarsmakten och Försvarets radioanstalt behandlar även personuppgifter för andra syften än de som anges i nu nämnda lagar, t.ex. inom myndigheternas administrativa verksamhet. För sådan behandling av personuppgifter gäller personuppgiftslagen.

De särskilda lagarna om viss personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt tillkom 2007. Personuppgiftslagen kommer att ersättas av dataskyddsförordningen och nationella kompletterande bestämmelser. Det finns därför anledning att säkerställa att regleringen av all den personuppgiftsbehandling som sker inom Försvarsmakten och Försvarets radioanstalt är ändamålsenlig i förhållande till såväl ny övergripande reglering, den tekniska utvecklingen och myndigheternas verksamheter i övrigt. Utgångspunkten är att myndigheternas verksamheter ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas personliga integritet värnas.

Utredaren ska därför

Hur bör personuppgiftsbehandlingen inom Försvarets radioanstalts arbete med informationssäkerhet regleras?

Försvarets radioanstalt ska ha hög teknisk kompetens inom informationssäkerhetsområdet och får, efter begäran, stödja andra statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhets-, säkerhets- eller försvarspolitisk synpunkt. Försvarets radioanstalt gör detta bl.a. genom att på begäran av berörd myndighet eller berört bolag testa sårbarheten i myndighetens eller bolagets it-system. På grund av utvecklingen när det gäller avancerade it-angrepp har Försvarets radioanstalt på regeringens uppdrag tagit fram ett tekniskt detekterings- och varningssystem för att stärka informationssäkerheten vid de mest skyddsvärda verksamheterna bland statliga myndigheter och statligt ägda bolag.

Den personuppgiftsbehandling som kan uppkomma inom ramen för Försvarets radioanstalts arbete på informationssäkerhetsområdet, och som myndigheten ansvarar för, regleras av personuppgiftslagen. Som nämnts kommer lagen att upphävas och ersättas av dataskyddsförordningen med kompletterande nationella föreskrifter.

Utredaren ska därför

Försvarets radioanstalt i samband med att myndigheten stödjer andra myndigheter och statligt ägda bolag inom informationssäkerhetsområdet,

Försvarets radioanstalt är ändamålsenlig med hänsyn till verksamheten och skyddet för enskildas personliga integritet,

Konsekvensbeskrivningar

Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa förslagens konsekvenser för den personliga integriteten och för eventuella verksamhetsmässiga konsekvenser.

Samråd och redovisning av uppdraget

När utredaren genomför uppdraget ska han eller hon särskilt höra Statens inspektion för försvarsunderrättelseverksamheten. Utredaren ska även, i den utsträckning som bedöms lämplig, ha en dialog med och inhämta upplysningar från övriga myndigheter och andra som kan vara berörda av aktuella frågor.

Utredaren ska hålla sig väl informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och Europarådet. Detta innebär bl.a. att utredaren ska hålla sig informerad om arbetet med en ny säkerhetsskyddslag (SOU 2015:25), liksom det arbete som bedrivs i Integritetskommittén (Ju 2014:09), i Dataskyddsutredningen (Ju 2016:04), i utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06), i utredningen om behandling av personuppgifter om totalförsvarspliktiga (Fö 2016:01), samt om den översyn som görs av dataskyddskonventionen.

Uppdraget ska redovisas senast den 31 maj 2018.

(Försvarsdepartementet)