SOU 2011:13
Uppföljning av signalspaningslagen
Till statsrådet och chefen för Försvarsdepartementet Sten Tolgfors
Regeringen beslutade den 12 februari 2009 att tillsätta en kommitté (Fö 2009:01) med uppdrag bl.a. att följa signalspaningen vid Försvarets radioanstalt i syfte att kunna redovisa och bedöma verksamhetens konsekvenser för den enskildes integritet. Regeringen tillgodosåg därigenom vad riksdagen anfört i samband med dess slutbehandling av regeringens proposition En anpassad försvarsunderrättelseverksamhet (prop. 2006/07:63, bet. 2007/08:FöU15, rskr. 2007/08:266) om att en kommitté ska följa Försvarets radioanstalt från ett integritetsskyddsperspektiv.
Som ordförande i kommittén förordnades fr.o.m. den 9 juni 2009 dåvarande riksdagsledamoten Inger René och som övriga ledamöter förordnades samma dag riksdagsledamöterna Leif Jakobsson, Annie Johansson och Tommy Waidelich, dåvarande riksdagsledamöterna Berit Andnor och Cecilia Wigström samt f.d. generalmajoren Paul Degerlund.
Som sekreterare i kommittén anställdes den 21 september 2009 hovrättsassessorn Pernilla Arrland.
Kommittén har antagit namnet Signalspaningskommittén. Genom tilläggsdirektiv den 25 november 2010 har tiden för redovisning av uppdraget förlängts från den 6 december 2010 till den 7 februari 2011.
Kommittén överlämnar nu betänkandet Uppföljning av signalspaningslagen (SOU 2011:13).
Vårt uppdrag är härmed slutfört.
Stockholm den 8 februari 2011
Inger René
Berit Andnor Paul Degerlund
Leif Jakobsson Annie Johansson
Tommy Waidelich Cecilia Wigström
/Pernilla Arrland
Förkortningar
Dir. Kommittédirektiv
FRA Försvarets radioanstalt
FRA-PuL Lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet
Prop. Proposition
Siun Statens inspektion för försvarsunderrättelseverksamheten
SOU Statens offentliga utredningar
Sammanfattning
Uppdraget
Den 1 januari 2009 införde Sverige lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet (signalspaningslagen). Lagen och den därtill anslutande förordningen ger möjlighet för Försvarets radioanstalt (FRA) att för försvarsunderrättelseändamål bedriva signalspaning i eter- och trådburen trafik som passerar Sveriges gränser.
Vårt uppdrag har varit att följa signalspaningen vid FRA i syfte att utifrån rättsliga och etiska aspekter redovisa och bedöma verksamhetens konsekvenser för den enskildes integritet. I enlighet med direktivet har kommittén även utsett ett integritetsombud med uppgift att vid Signalspaningsnämndens tillståndsprövning bevaka integriteten för personer i Sverige.
Detta betänkande utgör den öppna redovisningen av uppdraget.
Uppföljningen
Vid signalspaning inhämtas elektroniska signaler. De inhämtade signalerna bearbetas och analyseras i syfte att producera underrättelser till berörda myndigheter. För att kunna redovisa och bedöma vad FRA:s inhämtning av signaler har för konsekvenser för enskildas integritet har kommittén informerat sig om verksamhetens rutiner och arbetsmetoder. Detta har skett genom besök på FRA där ledamöterna har bildat sig en uppfattning om hur arbetet bedrivs i praktiken och hur integritetsskyddsintressena tillvaratas. Under uppdraget har kommittén samrått med Datainspektionen och Statens inspektion för försvarsunderrättelseverksamheten (Siun). Samtal har också förts med Försvarsunderrättelsedomstolen och integritetsskyddsrådet inom FRA.
Den sedan drygt ett år tillbaka utvidgade möjligheten att signalspana i tråd medför att FRA kan ges tillgång till större trafikvolymer.
Detta betyder att ett ökande antal människor kan komma att beröras av signalspaning.
Signalspaning i tråd har under uppdragets gång varit under uppbyggnad och endast berört en begränsad mängd trafik. Vad signalspaning i tråd kommer att innebära för enskildas personliga integritet då denna del av verksamheten är utbyggd kan kommittén således inte uttala sig om i detta betänkande.
Signalspaning och signalspaningslagen
Signalspaning får endast ske på uppdrag av regeringen, Regeringskansliet och Försvarsmakten. Inhämtning av signaler är begränsad till utländska förhållanden och i signalspaningslagen specificeras ändamålen försvarsunderrättelseverksamheten. Signalspaning får även ske inom ramen för FRA:s utvecklingsverksamhet. Utvecklingsverksamheten har två huvudsakliga syften. Det första är att understödja den pågående underrättelseverksamheten. Det andra är att ta fram nya förmågor att signalspana och därigenom skapa tekniska och metodmässiga förutsättningar för framtida försvarsunderrättelseverksamhet.
Signalspaning får endast avse kommunikation som sker utanför eller över Sveriges gränser och som är tillståndsprövad. Signalspaning är inriktad mot utländska företeelser och får inte endast inriktas mot enskilda individer. Bakom alla företeelser och kommunikationer kring dessa ligger dock människor. I signalspaningssammanhang kan därför enskilda personer vara intressanta som bärare av information. Den information som kommer fram genom signalspaning i försvarsunderrättelseverksamhet får inte användas i brottsutredande syfte.
Inhämtning av information sker genom att sökbegrepp appliceras på signaler. Sökbegreppen är utformade så att de väljer bort respektive väljer ut de signaler som är av intresse för försvarsunderrättelseverksamheten. Signalspaningslagen reglerar hur sökbegreppen ska vara utformade och hur de får användas.
Signalspaningslagens integritetsskyddande regelverk gör ingen åtskillnad på person eller medborgarskap. I lagen finns bestämmelser om i vilken utsträckning inhämtade uppgifter omgående ska förstöras. Förstöringsplikt gäller om innehållet berör viss fysisk person och har bedömts sakna betydelse för försvarsunderrättelseuppdraget samt om uppgifterna är av viss förtrolig karaktär. Lagen ger också ett övergripande integritetsskydd för den kommunikation
som inte omfattas av underrättelseuppdraget men som hamnar i inhämtningssystemet till följd av att signalspaning utgör en i vissa avseenden ”trubbig” metod för underrättelseinhämtning. Här handlar det om att FRA endast ges tillgång till vissa signalbärare och att myndigheten i tidigast möjliga skede ska filtrera bort kommunikation som saknar anknytning till försvarsunderrättelseuppdraget.
Signalspaningslagens integritetsskyddande regelverk verkar både på generell nivå (kontrollsystemet) och på individnivå. Bestämmelserna skapar också ett samlat integritetsskydd som griper in i olika faser av signalunderrättelsetjänstens arbete, från inhämtning av signaler till rapportering.
All signalspaning förutsätter tillstånd från Försvarsunderrättelsedomstolen och FRA:s verksamhet kontrolleras fortlöpande av Siun.
Iakttagelser och bedömning
Signalspaningslagen i dess nuvarande lydelse trädde i kraft för drygt ett år sedan och kommittén har sedan dess följt det arbete som FRA bedrivit för att implementera lagens bestämmelser i verksamheten. Utifrån gjorda iakttagelser och presentationer av verksamheten gör kommittén bedömningen att FRA i sitt implementeringsarbete följer signalspaningslagens intentioner.
FRA har utifrån lagändringarna justerat interna föreskrifter och rutiner samt genomfört förändringar i de tekniska systemen. Detta har bl.a. skett i enlighet med de synpunkter som kontrollorganen lämnat gällande vissa svagheter och förbättringsområden. Eftersom mycket av FRA:s arbete utgör en del av en alltjämt pågående process och signalspaning i tråd är i sin linda är det för tidigt att göra en samlad bedömning av lagstiftningens konsekvenser för integritetsskyddet. De förändringar som nu har genomförts och är under genomförande behöver enligt kommitténs uppfattning ha hunnit verka under en längre tid för att det ska vara möjligt att göra bedömningar avseende dess konsekvenser för enskildas integritet. Utifrån de övergripande principerna för verksamheten och FRA:s nulägesbeskrivningar har dock kommittén kunnat dra vissa slutsatser som redovisas i det följande. Kommittén har också formulerat ett antal synpunkter som kan sammanfattas i följande punkter.
- Kommittén anser att det framgent behöver göras en uppföljning av verksamheten vid FRA med syfte att studera konsekvenserna för enskildas integritet av att större kommunikationsmängder förväntas bli inhämtade genom signalspaning i tråd.
- Kommittén anser att det finns behov av att följa upp de insatser som FRA för närvarande utvecklar med avseende på olika former av beslutsstöd för överväganden kring bl.a. etiska frågor.
- Kommittén anser att FRA måste fortsätta att utveckla metoder som så långt det är möjligt säkerställer att svensk inhemsk trafik inte inhämtas.
- Kommittén anser att FRA:s underrättelseskyldighet enligt 11 a § signalspaningslagen saknar praktisk funktion som rättssäkerhetsgaranti eller som skydd för enskildas integritet.
- Kommittén anser att det är viktigt att Siun ges resurser som motsvarar dess mycket omfattande uppdrag.
Intryck av verksamheten
Ett stort antal besök på FRA och möten med en rad olika personer på myndigheten har gett kommittén uppfattningen att integritetsskyddsfrågor har en naturlig plats i verksamheten och att personalen tar dessa frågor på allvar. FRA har utifrån gällande lagstiftning och uppdragets särskilda karaktär skapat rutiner som är avsedda att minimera otillbörliga intrång i enskildas personliga integritet. Kommitténs uppfattning är att FRA tillämpar signalspaningslagen och tillhörande förordning med försiktighet, utan att tänja på gränsen för det tillåtna. Detta innebär att FRA har skapat restriktiva rutiner som avser att förhindra att signalspaning sker i strid med lagen och att det pågår ett fortsatt arbete med att förfina arbetsmetoderna.
Konstateranden om signalspaning
En effektiv signalspaningsprocess strävar efter att begränsa underlaget till det som ur verksamhetsperspektiv utgör relevant information. FRA har därför intresse av att begränsa det inhämtade materialet till en hanterbar mängd information som är underrättelsemässigt intressant. Kommittén konstaterar att detta ligger inbyggt i verksamheten och att arbetsmetoden gagnar integritetsskyddet. På
motsvarande sätt förhåller det sig med FRA:s säkerhetssystem. Detta har byggts upp utifrån sekretesskrav och utgör såvitt vi kan konstatera en naturlig del av verksamheten.
Underrättelseverksamheten och utvecklingsverksamheten har beröringspunkter och utgör inte två åtskilda delar av verksamheten vid FRA. Delar av utvecklingsverksamheten bedrivs exempelvis för att stödja den pågående underrättelseverksamheten. Uppgifter som inhämtats inom ramen för utvecklingsverksamheten kan komma att användas i underrättelseverksamheten om de ligger inom ramen för den inriktning som uppgifterna samlades in. Det har också framgått att de båda verksamheterna inte kan definieras utifrån inhämtning av meddelandeinnehåll respektive inhämtning av trafikdata eftersom sådan inhämtning förekommer i både underrättelseverksamheten respektive utvecklingsverksamheten. Syftet med inhämtningen skiljer sig dock åt.
Signalspaning i tråd
Signalspaning i tråd förutsätter en generell överföring av den gränsöverskridande trafiken till samverkanspunkter. Det sker ingen lagring av trafik i samverkanspunkterna och endast en i förhållande till all förekommande trafik mycket begränsad trafikmängd förs vidare till FRA via signalbärare. Tillvägagångssättet kan dock påverka enskildas upplevelse av att få sin privata sfär inskränkt och integritetsfrågan berör därför personer bosatta i Sverige i allmänhet. Detta betyder att även om den stora merparten av all inhämtad trafik aldrig sorteras ut av FRA för vidare behandling och än mindre görs tillgänglig för mänskligt öga eller öra så innebär redan existensen av en underrättelseverksamhet som bedriver signalspaning en form av integritetsintrång.
Signalspaning via tråd är en metod som i förhållande till signalspaning via satellit berör större kommunikationsmängder och därmed fler människor. Genom att begränsa FRA:s tillgång till vissa tillståndsgivna signalbärare har lagstiftaren begränsat den trafikvolym som FRA tekniskt kan få tillgång till. Den faktiska trafikvolymen begränsas därutöver av att FRA avgränsar inhämtningen av signaler till de delar av en signalbärare som bedöms innehålla den för verksamheten relevanta trafiken. Därigenom minskar risken för inhämtning av för verksamheten icke-relevanta meddelanden. Att på detta
sätt snäva in inhämtningen av signaler från tråd utgör enligt kommitténs uppfattning ett viktigt integritetsskydd.
Som ovan angetts har kommittén inte tillräckligt underlag för att kunna bedöma konsekvenserna för enskildas integritet av signalspaning i tråd. Eftersom FRA sannolikt kommer att hantera större trafikvolymer anser kommittén att det framgent bör göras en uppföljning i detta avseende.
Trafikdata
Trafikdata ger upplysningar om hur, när och mellan vilka teleadresser kommunikation äger rum, utan att ge information om innehållet i meddelandet. Därigenom kan inhämtning av signaler i form av trafikdata sägas vara mindre integritetskänsligt än den inhämtning som sker för att ta del av meddelandeinnehåll.
Sökbegreppen för inhämtning av trafikdata är mindre specifika än de som används vid inhämtning av trafik med meddelandeinnehåll. Detta medför att även för underrättelsesyftet icke relevant kommunikation kan komma att inhämtas av FRA och sparas i form av trafikdata. Personer som kommunicerar i de signalbärare som FRA bedriver inhämtning från kan därigenom få uppgifter om sin kommunikation sparad i form av trafikdata. Eftersom detta är integritetskänsligt menar kommittén att det blir viktigt att på några års sikt följa upp konsekvenserna för den personliga integriteten av en förmodad ökning av trafikdatahanteringen.
Inhämtning av signaler
Inhämtning av signaler får inte avse inhemsk trafik. I den mån detta sker ska det inhämtade materialet förstöras så snart det står klart att sådana signaler har inhämtats. FRA har beskrivit att man är noga med att förhindra inhämtning av inhemsk trafik men att det gällande inhämtning via tråd finns praktiska svårigheter med att separera denna från den gränsöverskridande trafiken. Eftersom bestämmelsen utgör ett från nationellt perspektiv centralt integritetsskydd anser kommittén att FRA måste vara inriktad på att fortsätta utveckla metoder som så långt det är möjligt säkerställer att den inhemska trafiken inte inhämtas.
För att avgränsa inhämtningen till den ur försvarsunderrättelsesynpunkt intressanta trafiken identifieras signalerna genom sökbegrepp. FRA:s förmåga att avgränsa inhämtningen av signaler till den för verksamheten relevanta kommunikationen är viktig för att minimera risken för intrång i den personliga integriteten.
Sökbegreppen ska enligt 3 § signalspaningslagen utformas och användas med respekt för enskildas personliga integritet och får endast vara direkt hänförliga till en viss fysisk person om det är av synnerlig vikt för verksamheten. FRA har beskrivit för kommittén att de sökbegrepp som används vid signalspaning i stor omfattning är direkt hänförliga till en viss fysisk person. Detta är den gängse metoden för signalspaning som har sin grund i att den kommunikation som FRA söker efter sker mellan individer och det är därför nödvändigt att använda sökbegrepp hänförliga till dessa personer. Den enligt lag uttryckta mycket restriktiva möjligheten att använda sökbegrepp hänförliga till viss fysisk person motsvaras enligt kommitténs bedömning inte av de praktiska förutsättningarna för att bedriva signalspaning.
Signalspaningslagen innehåller även regler om förstöringsskyldighet omfattande uppteckningar eller upptagningar av uppgifter som berör viss fysisk person och som saknar betydelse för verksamheten, eller avser information som är på visst i lagen närmare angivet sätt av förtrolig karaktär. De uppgifter som har lämnats till kommittén tyder på att det i huvudsak finns väl utarbetade föreskrifter och ändamålsenliga rutiner inom FRA gällande skyldigheten att förstöra viss information.
Proportionalitet och etik
Ett viktigt skydd för den personliga integriteten utgörs av att FRA endast ska vidta åtgärder som bedöms uppväga ett integritetsintrång. Denna bedömning måste FRA göra i alla moment, från inhämtning av signaler till rapportering. Proportionalitetsbedömningar är allmänt sett svåra att göra och utgörs i huvudsak av etiska överväganden som kan vara styrda av lag eller andra normer. Enskilda tjänstemän genomför prövningarna utifrån övergripande föreskrifter, sitt eget omdöme och erfarenhet.
Kommittén har bedömt att det finns ett behov av gemensamma metoder och riktlinjer för proportionalitetsbedömningar för att FRA ska kunna göra systematiska överväganden. FRA har påbörjat ett
arbete med att systematisera och precisera sin egen praxis. Detta kan komma att utvecklas till ett beslutsstöd för de handläggare som ska göra bedömningarna. Kommittén har också sett det som viktigt att det inom FRA finns en ständigt pågående diskussion och återkommande utbildningsinsatser kring myndighetens etiska policy, metoder för etiska bedömningar och proportionalitetsbedömningar. FRA genomför för närvarande flera olika insatser av nämnt slag och det finns enligt kommittén anledning att framgent följa upp de åtgärder som vidtas och bedöma metoderna och resultatet av detta arbete.
Internationellt samarbete
FRA bedriver internationellt samarbete. Samarbetet ska utgå från att det tjänar den svenska statsledningen och det svenska totalförsvaret. Kommittén konstaterar att FRA har rutiner och regelverk som syftar till att förhindra att uppgifter som lämnas till andra länder skadar svenska intressen samt att integritetsintressena beaktas. Kommittén anser att Siun har en viktig roll för att kontrollera att det internationella samarbetet bedrivs i enlighet med på försvarsunderrättelseområdet tillämpliga författningar och regeringsbeslut.
Underrättelse till enskild
Då det vid signalspaning har använts sökbegrepp som är direkt hänförliga till en viss fysisk person ska FRA underrätta personen i fråga om detta. Regleringen i signalspaningslagen är med hänsyn till att verksamheten är omgärdad av omfattande sekretess försedd med flera begränsningar och undantag. Kommittén anser inte att underrättelseskyldigheten är ändamålsenlig eftersom undantagen för sekretess och den tidsbestämda uppgiftsskyldigheten innebär att FRA i den praktiska tillämpningen har en mycket begränsad skyldighet att lämna underrättelse till enskild. Därigenom får underrättelseskyldigheten ingen praktisk funktion som rättssäkerhetsgaranti eller som ett skydd för enskildas integritet. Den efterhandskontroll som Siun kan utföra på enskilds begäran är ägnad att på ett bättre sätt tillvarata integritets- och rättssäkerhetsintressena.
Tillstånds- och kontrollfunktionernas betydelse för integritetsskyddet
Domstolsförfarandet säkerställer att det intrång i den personliga integriteten som signalspaning i vissa fall kan innebära endast sker när viktiga svenska samhällsintressen berörs. Enligt kommittén utgör detta ett viktigt integritetsskydd för personer bosatta i Sverige eftersom domstolsprövningen tar sikte på inhämtningen, som är den fas i signalspaningsprocessen som kan beröra personer i Sverige som kommunicerar med utlandet.
Kommittén har alltsedan Siun bildades den 1 december 2009 informerats löpande om hur myndigheten byggts upp för att ansvara för alla delar av uppdraget, hur arbetsformerna tagits fram och utvecklats samt hur kontrollerna har genomförts. Kommittén ser det som viktigt att Siun fortlöpande utvecklas till ett effektivt kontrollorgan med de krav som lagstiftaren ställer. Siuns sammansättning av parlamentariker och juridiskt sakkunniga personer ger goda förutsättningar för detta. Siuns uppdrag är dessutom mycket brett, vilket gör att alla integritetsperspektiv på FRA:s verksamheten kan följas upp och kontrolleras. Det är då också viktigt att Siun ges resurser som motsvarar uppdraget.
1. Kommitténs arbete och arbetsformer
1.1. Bakgrund
2008 kom signalspaningen vid Försvarets radioanstalt (FRA) att tilldra sig ett omfattande intresse i riksdagen, medierna och den allmänna debatten. Detta sedan lagförslaget1 om FRA:s befogenheter att bedriva signalspaning kommit under riksdagens behandling. Tidigare var signalspaning mot eterburen trafik i det närmaste oreglerad eftersom etern ansågs fri att avlyssna. Förslaget till riksdagen innebar att FRA skulle ges reglerad tillgång till signaler i etern och i tråd som förs över Sveriges gräns. Riksdagen menade att det var viktigt för Sverige att ha en välfungerande underrättelseverksamhet och att det fanns behov av en effektiv signalunderrättelsetjänst. Den kritik som framfördes handlade om att lagen saknade tillräckliga rättssäkerhets- och integritetsskyddsgarantier.
Den 18 juni antog riksdagen efter ett års vilandeförklaring den föreslagna lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet (signalspaningslagen). I samband med beslutet tillkännagav riksdagen att lagen skulle förses med ytterligare rättssäkerhets- och kontrollmekanismer och att regeringen skulle återkomma med förslag till ändringar. I september 2008 träffades en politisk överenskommelse mellan regeringspartierna (m, fp, c och kd) om vissa förändringar i signalspaningslagen. Förutom förändringar vad avser de permanenta tillstånds- och kontrollorganen skulle Datainspektionen samt en parlamentarisk kommitté ges i uppdrag att fram till 2011 följa FRA:s verksamhet ur ett integritetsskyddsperspektiv.
Det är mot denna bakgrund man ska se beslutet att tillsätta en kommitté för uppföljning av lagen om signalspaning i försvarsunderrättelseverksamhet. Uppdraget beslutades vid ett regerings-
1 En anpassad försvarsunderrättelseverksamhet, prop. 2006/07:63
sammanträde den 12 februari 2009. Direktivet (Dir 2009:10) framgår av bilaga 1.
Till ledamöter i kommittén har sju personer förordnats. Dessa företräder fem olika politiska partier (s, m, fp, c och kd). Kommittén har antagit namnet Signalspaningskommittén.
I de följande avsnitten beskrivs hur uppdraget har avgränsats, hur arbetet har varit upplagt och vilka principer som har gällt för kommitténs arbete.
1.2. Uppdraget
1.2.1. Direktivet
Direktivet till kommittén tar sin utgångspunkt i behovet av att göra en uppföljning av signalspaningslagen och en utvärdering av signalspaningens konsekvenser för integritetsskyddet.
Sammanfattningsvis innehåller direktivet följande beskrivning av uppdraget.
- Kommittén ska följa signalspaningen vid FRA ur ett integritetsskyddsperspektiv med fokus på hur den nya lagen tillämpas. Detta ska göras för att kunna beskriva hur tillämpningen, dvs. signalspaningen påverkar enskildas integritet. Kommittén ska därefter bedöma vad FRA:s signalspaning via eter och kabel har för konsekvenser för den enskildes integritet.
- Kommittén ska även följa signalspaningen vid FRA ur ett etiskt perspektiv för att kunna beskriva vilka etiska problem som finns i verksamheten. Efter detta ska kommittén bedöma FRA:s rutiner för att hantera de etiska problemen.
- Kommitténs arbete ska resultera i en utvärdering av lagstiftningens konsekvenser för integritetsskyddet.
Kommitténs granskning ska utgöra ett underlag då regeringen lämnar en redovisning till riksdagen om hur signalspaningslagen har fungerat ur ett integritetsskyddsperspektiv (kontrollstation 2011).
Därutöver ska kommittén följa verksamheten vid Signalspaningsnämnden2 genom att inom sig utse ett integritetsombud med rätt att närvara vid tillståndsprövningen hos myndigheten. Slutligen ska kommittén fungera som referensgrupp till Datainspektionen i inspek-
2 Tillståndsorgan från den 1 januari till den 30 november 2009.
tionens uppgift att följa FRA:s verksamhet ur ett integritetsskyddsperspektiv med fokus på personuppgiftsbehandling.
1.2.2. Allmänt om uppdraget – avgränsning
Kommittén har följt FRA på ett övergripande plan i syfte att få ett helhetsperspektiv på verksamheten. Våra iakttagelser har fått ligga till grund för en utvärdering omfattande principerna för verksamheten och lagstiftningens konsekvenser för integritetsskyddet. Målsättningen har varit att skapa ökad klarhet i frågan om integritetsskyddsmekanismerna fungerar på ett tillfredställande sätt.
Utifrån försvarsunderrättelseverksamhetens syfte att kartlägga utländska förhållanden har det fallit sig mest naturligt att följa verksamheten utifrån ett svenskt perspektiv. Kommittén har därför studerat signalspaningens konsekvenser för enskildas integritet i Sverige då personer bosatta i landet kommunicerar elektroniskt inom landet och över landets gränser.
Skyddet mot integritetsintrång är inte att hänföra till viss geografisk anknytning. I enlighet med Europakonventionens stadgar gällande respekt för den enskildes privatliv och familj, hem och korrespondens gör signalspaningslagen ingen åtskillnad mellan olika nationaliteter. Uppdragets utformning medger emellertid att kommittén anlägger ett nationellt perspektiv på integritetsfrågan. Med detta menar kommittén att det finns särskild anledning att värna integritetsskyddet avseende personer bosatta i Sverige.
Verksamheten vid FRA styrs främst av tre lagar, nämligen lagen (2000:130) om försvarsunderrättelseverksamhet, signalspaningslagen och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (FRA-PuL). Till varje lag är knuten en förordning med ytterligare föreskrifter. I enlighet med direktivet är det främst signalspaningslagen som stått i fokus för kommitténs arbete. Datainspektionen har dock informerat kommittén om sin granskning av FRA:s personuppgiftshantering.
Vid signalspaning inhämtas signaler i elektronisk form. De inhämtade signalerna bearbetas och analyseras i syfte att producera underrättelser som levereras till berörda myndigheter. Kommittén har framförallt följt den fas i FRA:s verksamhet där signalerna hämtas in och blir föremål för automatiserat urval. Kommittén har inte detaljgranskat FRA:s arbete eller genomfört kontroller. I dessa
avseenden har kommittén i stället noga följt kontrollorganens arbete och slutsatser samt även tagit del av information om tillståndsgivningen.
Signalspaning via tråd utgör en för FRA ny form av inhämtning, vilken möjliggjorts genom signalspaningslagen. Även om hanteringen av inhämtad trafik från tråd inte skiljer sig nämnvärt från satellit- och annan eterburen inhämtning, så förväntas den innebära att ett ökat trafikflöde når FRA.
1.2.3. Uppdraget att följa signalspaningen vid FRA
Kommitténs utgångspunkt är att Sverige har en signalspaningsverksamhet och vår uppgift är att ur ett integritetsskyddsperspektiv se hur FRA genomför det uppdrag som lämnats dem att bedriva signalspaning.
Kommittén har valt att studera principerna och metoderna för hur FRA bedriver signalspaning. För att kunna följa FRA:s tillämpning av signalspaningslagen har kommittén framförallt varit inriktad på att informera sig om vilka rutiner och arbetsformer som styr verksamheten.
Kommittén har haft möten med FRA. Vid dessa har FRA lämnat redogörelser för arbetsmetoder och rutiner samt på kommitténs begäran presenterat dokumentation. Merparten av de uppgifter som FRA har lämnat till kommittén omfattas av sekretess enligt 15 kap. 1 § och 2 §offentlighets- och sekretesslagen (2009:400).
Genom kommitténs besök på FRA har ledamöterna kunnat bilda sig en uppfattning om hur arbetet fungerar praktiskt och hur integritetsskyddsintressena tillvaratas. Kommittén har fått flera arbetsmoment demonstrerade, vilket först och främst skett för att åskådliggöra beskrivna metoder. Utifrån lämnade beskrivningar har kommittén kunnat identifiera centrala integritetsskyddsfrågor. Dessa har adresserats till FRA och kommittén har fått underlag för att bedöma olika integritetsaspekter på signalspaning. Alla delar av FRA:s verksamhet – från inhämtning till rapportering – har presenterats för kommittén.
Valet av granskningsområden har varit brett samtidigt som fokus har legat på de delar av FRA:s verksamhet där det finns ett särskilt intresse av att garantera skyddet och respekten för enskildas personliga integritet. Utifrån dessa iakttagelser och det aktuella regelverket har kommittén gjort sina bedömningar.
1.2.4. Uppdraget att följa tillståndsgivningen vid Signalspaningsnämnden
Signalspaningsnämnden inrättades den 1 januari 2009 och ansvarade fram till den 30 november samma år för tillståndsgivning till signalspaning enligt signalspaningslagen. Myndigheten ersattes den 1 december 2009 av Försvarsunderrättelsedomstolen.
Signalspaningsnämnden var fristående med domstolsliknande sammansättning. Ordföranden och vice ordföranden i nämnden skulle vara eller ha varit ordinarie domare och övriga ledamöter utsågs bland personer som föreslagits av partigrupperna i riksdagen.
Kommittén har haft i uppdrag att följa hur integritetsskyddet för personer bosatta i Sverige säkerställs under tillståndsprövningen vid Signalspaningsnämnden. Denna del av uppdraget har med hänsyn till tidpunkten för kommitténs bildande genomförts mellan september och november 2009. För att kunna följa Signalspaningsnämnden har kommittén inom sig utsett ett integritetsombud som närvarat vid nämndens tillståndsprövning. Nämnden har informerat kommittén om sin verksamhet samt gett ledamöterna möjlighet att ta del av nämndens ärenden.
1.2.5. Referensgrupp
Datainspektionen har haft regeringens uppdrag att under 2009 och 2010 kontrollera hur FRA hanterar personuppgifter i samband med signalspaning. Inom ramen för detta uppdrag har Datainspektionen analyserat vilka särskilda integritetsproblem som kan uppstå i samband med personuppgiftsbehandlingen, undersökt de rutiner som FRA tillämpar för att hantera sådana problem samt bistått FRA vid utarbetandet av ytterligare rutiner som bedömts nödvändiga för integritetsskyddet.
Datainspektionen har redovisat sitt uppdrag i rapporten Datainspektionens redovisning av regeringsuppdraget Fö 2009/355/SUND 2010-12-06.
Kommittén och Datainspektionen har haft fortlöpande kontakt och informerat varandra om sitt arbete. Detta har också innefattat gemensamma besök på FRA samt ett antal möten då olika frågeställningar har diskuterats.
1.3. Arbetets uppläggning
1.3.1. Det praktiska arbetet
Kommitténs arbete inleddes i augusti 2009. Ledamöterna var då utnämnda och ordföranden utsedd. Det första sammanträdet hölls i september och då hade även kommitténs sekreterare anställts.
Med tanke på de begränsade möjligheterna att offentligt redovisa det underlag som legat till grund för rapporten har kommittén funnit det viktigt att här lämna en utförlig beskrivning av hur arbetet genomförts.
Arbetet inleddes med en genomgång av kommitténs direktiv och planeringen av arbetet. Eftersom signalspaning är en mycket komplex verksamhet som är omgärdad av hög sekretess stod det tidigt klart att uppdraget inte skulle kunna fullgöras utan att ledamöterna ägnade mycket tid åt att skaffa sig kunskap om FRA:s verksamhet på ort och ställe. Baserat på inhämtade kunskaper kunde kommittén fortsätta att planera sitt arbete, avgränsa sitt uppdrag och bestämma arbetssätt.
Kunskapsinhämtningen har omfattat FRA:s kommunikationsspaning och kunskapsförmedlingen har i huvudsak ombesörjts av personal från FRA och skett i dess lokaler.
Av säkerhetsskäl har kommittén, liksom övriga kontrollorgan, disponerat eget kontorsutrymme i FRA:s lokaler. Här har arbetet kunnat ske utan insyn från FRA och allt internt arbetsmaterial har förvarats på ett säkert sätt. Kommittésammanträdena har i regel hållits i riksdagshuset, men till följd av de stränga sekretesskraven har det varit nödvändigt att hålla ett antal möten i FRA:s lokaler.
Till de inledande sammanträdena bjöds företrädare för FRA, Datainspektionen och kontrollorganet Försvarets underrättelsenämnd (numera Siun) in. Studiebesök gjordes också hos Signalspaningsnämnden (numera Försvarsunderrättelsedomstolen). Möten har även hållits med integritetsskyddsrådet vid FRA.
Forskare vid Totalförsvarets forskningsinstitut (FOI) har bidragit med kunskaper kring den etiska analysen. Kommittén svarar själv för de synpunkter och slutsatser som presenteras i betänkandet avseende etiska frågeställningar.
Under uppdragets gång har kommittén tagit del av synpunkter på FRA:s verksamhet från enskilda personer. Det har bland annat handlat om påstådda brister i verksamheten. I den mån uppgifterna har legat inom ramen för kommitténs uppdrag har dessa följts upp.
Resultatet av uppföljningen ingår i kommitténs underlag för slutsatser och bedömningar.
Kommittén har haft 15 interna sammanträden under perioden september 2009 till januari 2011. Ledamöterna har deltagit i 11 heldagslånga besök på FRA i Stockholm samt på platser varifrån FRA bedriver signalspaning. Besöken har utformats i samråd med kommittén. Det inledande studiebesöket ägde rum i november och innehöll övergripande beskrivningar av verksamheten. Därefter har vi haft tematiska besök som kommittén själv har efterfrågat.
Ledamöterna har besökt FRA:s inhämtningsstationer samt de funktioner som sysslar med trafikbearbetning, analys och rapportskrivning. Vid dessa har vi förevisats hur arbetet konkret går till. Presentationerna har innehållit både övergripande och detaljerade beskrivningar. Ärenden med typiskt sett integritetskänsligt innehåll har granskats från inhämtning till rapport.
Kommittén har mötts av ett öppet förhållningssätt och FRA har praktiskt redovisat sina verksamhetsprocesser vilket gjort att kommittén fått en god insyn i de för uppdraget relevanta delarna av verksamheten. FRA har bistått kommittén med den information och det underlag som har efterfrågats.
Av sekretesskäl är det omöjligt att i betänkandet närmare beskriva det underlag som har presenterats och de frågor som har ställts. Det handlar t.ex. om vilka källor FRA använder sig av, vilka metoder, förmågor och mål FRA har samt resultat av FRA:s arbete.
1.3.2. Samråd
Kommittén har haft möten med integritetsskyddsrådet för att ta del av rådets erfarenheter från verksamheten och för att få dess synpunkter på frågeställningar med bäring på integritetsskydd.
Kommittén har haft en nära dialog med Statens inspektion för försvarsunderrättelseverksamheten (Siun) och Datainspektionen för att ta del av resultaten från gjorda granskningar. Detta har skett genom möten med de olika organen och via kommittésekreteraren som har haft en löpande dialog med respektive kansliorganisation.
Kommitténs möten med de olika kontrollorganen och med Försvarsunderrättelsedomstolen har bidragit till att tillföra granskningen viktiga perspektiv och synpunkter. Detta har utgjort ett värdefullt underlag för kommitténs bedömning av verksamheten vid FRA.
1.3.3. Sekretessfrågor
I direktivet påtalas att mycket av det som kommittén kommer i kontakt med vid FRA är kringgärdat av sekretess. Behovet av sekretess sägs vara särskilt starkt när det gäller verksamhetens inriktning, metoder, förmåga och skydd av källor. Det framhålls i direktivet att det för landet viktiga underrättelseutbytet med andra länder bygger på förtroende som har etablerats under många års samarbete. Kommitténs arbete har därför bedrivits och genomförts på ett sådant sätt att det inte påverkat den svenska försvarsunderrättelseverksamhetens förutsättningar att i dag och i framtiden arbeta för Sveriges intressen.
1.3.4. Redovisning av uppdraget
Kommittén har haft som målsättning att överlämna ett betänkande som på ett tillförlitligt sätt beskriver verksamheten vid FRA. Risken för att rapporten ska framstå som alltför urvattnad för att svara mot uppdraget har varit uppenbar. Eftersom fakta kring FRA:s metoder inte kan redovisas har kommittén fått göra en avvägning mellan å ena sidan offentlighetsintresset, och å andra sidan behovet av skydd för uppgifter om FRA:s signalspaning. Bedömningsgrunderna kan därför inte presenteras fullständigt och dessa kan därför i vissa fall uppfattas som abstrakta. Det sagda innebär inte att kommittén haft en låg ambitionsnivå vad gäller redovisningskravet. Tvärtom har kommitténs utgångspunkt varit att via en offentlig rapport skapa största möjliga öppenhet kring vilka effekter signalspaningslagen och dess tillämpning har för främst enskilda personer i Sverige. Detta trots att direktiven ger kommittén möjlighet att välja redovisningsform.
Kommittén har gjort iakttagelser av verksamheten vid FRA som av sekretesskäl inte kan presenteras i detta betänkande. Dessa synpunkter har redovisats till regeringen.
2. Allmän översikt
Försvarets radioanstalt (FRA) är en civil myndighet som bedriver signalspaning. Signalspaning är en viktig metod för försvarsunderrättelseproduktion och FRA har en central roll i svensk underrättelseverksamhet. I detta kapitel ges en översiktlig beskrivning av myndighetens uppdrag och verksamhet. I slutet av kapitlet presenteras Försvarsunderrättelsedomstolen som prövar FRA:s ansökningar om tillstånd till signalspaning. Slutligen presenteras Statens inspektion för försvarsunderrättelseverksamheten (Siun) och integritetsskyddsrådet inom FRA. Siun och integritetsskyddsrådet utövar kontroll över verksamheten vid FRA.
2.1. Försvarsunderrättelseverksamheten
Försvarsunderrättelseverksamhet bedrivs genom inhämtning, bearbetning och analys av information som redovisas till regeringen och berörd myndighet. Utgångspunkten är ofta att utifrån en övergripande inriktning studera och kartlägga en viss företeelse. Underrättelseinformationen kan tjäna som kompletterande underlag för bedömningar och beslut av regering och myndigheter. Försvarsunderrättelseverksamhet får inte avse uppgifter som ligger inom ramen för polisens och andra myndigheters brottsbekämpande och brottsförebyggande arbete.
Försvarsunderrättelseverksamheten är reglerad i lagen (2000:130) om försvarsunderrättelseverksamhet (försvarsunderrättelselagen). Av denna framgår att försvarsunderrättelseverksamheten ska bedrivas till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet. Vidare ingår i verksamheten att medverka i svenskt deltagande i internationellt säkerhetssamarbete. Försvarsunderrättelseverksamhet får endast avse utländska förhållanden.
Försvarsunderrättelseverksamheten bedrivs av Försvarsmakten, Försvarets radioanstalt, Försvarets materielverk och Totalförsvarets forskningsinstitut. Dessa myndigheter får, i enlighet med vad regeringen bestämmer, etablera och upprätthålla samarbete i underrättelsefrågor med andra länder och internationella organisationer.
Det är regeringen som årligen bestämmer försvarsunderrättelseverksamhetens inriktning (den årliga inriktningen). Inriktningen anger ramen för landets aktuella försvarsunderrättelseverksamhet. Inom ramen för den årliga inriktningen får de myndigheter som regeringen bestämmer ange en närmare inriktning av verksamheten. Inriktning av signalspaning får dock enligt 4 § signalspaningslagen endast anges av regeringen, Regeringskansliet och Försvarsmakten.
2.2. Försvarets radioanstalts underrättelseverksamhet
2.2.1. Bakgrund
Försvarets radioanstalt bildades 1942 och är en civil förvaltningsmyndighet under regeringen och Försvarsdepartementet. Myndigheten ska på regeringens, Regeringskansliets och Försvarsmaktens uppdrag bedriva försvarsunderrättelseverksamhet i form av signalspaning. Det är viktigt att betona att FRA inte på eget initiativ bedriver underrättelseinhämtning utan arbetar på uppdrag.
FRA styrs utifrån ett antal författningar, nämligen lagen (2000:130) om försvarsunderrättelseverksamhet med tillhörande förordning (2000:131), lagen (2007:259) om behandling av personuppgifter i FRA:s försvarsunderrättelse- och utvecklingsverksamhet (FRA-PuL) med tillhörande förordning (2007:261), och lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet (signalspaningslagen) med tillhörande förordning (2008:923). Lagarna finns som bilaga 2–4 i betänkandet.
Signalspaningslagen trädde i kraft den 1 januari 2009. Lagen ger FRA möjlighet att för försvarsunderrättelseändamål och för sådan utvecklingsverksamhet som är nödvändig för försvarsunderrättelseverksamheten att inhämta elektroniska signaler oavsett i vilket medium de befinner sig. Signalspaningslagen reglerar således såväl den traditionella eterspaningen som inhämtning i tråd.
Då det gäller signalspaningslagens och FRA-PuL:s förhållande till varandra så täcker de olika led i signalspaningsprocessen från inhämtning till rapportering. Medan signalspaningslagen i huvudsak
tar sikte på inhämtningen av signaler omfattar FRA-PuL i huvudsak hanteringen av de personuppgifter som har inhämtats och är under fortsatt behandling.
FRA ska utföra signalspaning utifrån uppdragsgivarnas underrättelsebehov och i enlighet med signalspaningslagen. Signalspaning syftar bl.a. till att ge underlag för bedömningar och beslut till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt att bidra till det svenska deltagandet i internationellt säkerhetssamarbete.
2.2.2. Vad är signalspaning?
Signalspaning bedrivs som kommunikationssignalspaning mot utländsk och internationell kommunikation och som teknisk signalspaning. Teknisk signalspaning riktas mot signaler med andra syften än kommunikation, främst mot radar- och navigeringssystem. Eftersom spaningen inte är inriktad mot kommunikation så gör sig inte integritetsskyddsfrågorna gällande vid teknisk spaning. Kommittén uppehåller sig därför fortsättningsvis endast vid kommunikationsspaning.
De personer som är involverade i de utländska företeelser som är av intresse för försvarsunderrättelseverksamheten är i regel beroende av att kunna kommunicera via etern eller i kabel, nedan benämnt tråd. Denna kommunikation kan upptäckas via signalspaning genom att FRA inhämtar signaler i elektronisk form och bearbetar dessa till text, bild och ljud.
Signalspaning är en effektiv underrättelsemetod för att snabbt få information om olika utländska företeelser. Tillsammans med annan underrättelseverksamhet kan signalspaning ge en samlad bild av en händelseutveckling som berör svensk utrikes-, säkerhets- och försvarspolitik. FRA följer delar av den utländska och internationella signaltrafiken och skapar sig därigenom en bild av normalläget. En avvikelse från normalbilden kan utgöra en varning om ett hot som föranleder någon form av åtgärd från uppdragsgivaren.
Spaningen riktas mot civila och militära eterburna signaler som går över kommunikationssatelliter och jordbundna system samt mot signaler som förmedlas i tråd. Signalerna kan innehåll kommunikation genom t.ex. tal och data eller ha andra funktioner i samband med radar eller navigering.
Trådlös överföring sker på marken genom radiolänkar samt över längre avstånd via kortvåg eller kommunikationssatelliter. Trådburen
överföring sker via kablar. De olika kommunikationsvägarna är i huvudsak civila och sammankopplade och nyttjade gemensamt i det globala nätet. Det globala nätet kan ses som helheten av all tekniköverförd kommunikation, oavsett om den går via Internet, i radio eller telenät och oberoende av vilket medium som används t.ex. kablar, länkar eller radiovågor. Metoderna för inhämtning av signaler i det globala nätet skiljer sig åt beroende på signalernas typ, men innehållet i signalerna är detsamma oavsett medium.
Valet av trafikväg i det globala nätet (radiolänk, satellit eller tråd) styrs av teleoperatörerna, dvs. kommunikationsföretag. Användaren av kommunikationstjänsterna kan inte välja vilken väg eller vilken kombination av medier som ska användas för ett enskilt meddelande. Det är inte heller så att den geografiskt kortaste vägen att förmedla ett meddelande alltid används. Ett och samma meddelande i det globala nätet kan komma att förmedlas såväl i tråd som i etern.
2.2.3. Översiktligt om signalspaningsprocessen
Signalspaning handlar om att inhämta signaler, bearbeta och analysera dessa samt att rapportera underrättelser från elektronisk kommunikation. Inhämtade signaler kan ge information om innehållet i meddelandet och information om meddelandet, s.k. trafikdata.
Signalspaningen syftar bl.a. till att ge uppdragsgivarna information om internationell terrorism, IT-angrepp, spridning av massförstörelsevapen och militära angrepp. Detta sker i FRA:s underrättelseverksamhet. Signalspaning bedrivs även utifrån behovet av att följa förändringen av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet samt fortlöpande utveckla den teknik och metodik som behövs för att bedriva försvarsunderrättelseverksamhet. Signalspaning för nämnda syften sker inom ramen för FRA:s utvecklingsverksamhet.
Eterburen trafik inhämtas främst med hjälp av automatiska system. FRA inhämtar signaler från de satelliter som man når från inhämtningsstationerna. Signalerna inhämtas med hjälp av antenner och modem och omvandlas till syn- och hörbara meddelanden. Inhämtning av signaler från tråd är helt automatiserad och liknar i stora delar inhämtningen via satellit. Vid signalspaning via tråd begränsas dock FRA:s inhämtning av signaler till av Försvarsunderrättelsedomstolen tillståndsgivna signalbärare. Med signalbärare avses det
medium som används för att överföra en eller flera signaler.1 Siun ger FRA tillgång till de signalbärare som omfattas av ett tillstånd.
Under inhämtningsskedet identifierar FRA den typ av trafik som är relevant och som myndigheten har laglig rätt att inhämta. För att få ett träffsäkert urval, och samtidigt undvika irrelevant information, används specifika sökbegrepp som Försvarsunderrättelsedomstolen har godkänt. Den trafik som inte väljs ut försvinner i tråden eller ut i etern utan att kunna återskapas, se figur 2.1.
Informationen som hämtas in är ofta krypterad eller skriven på ett främmande språk. För att FRA ska kunna framställa rapporter med underrättelser måste informationen bearbetas och analyseras. Under bearbetningsfasen tydliggörs de inhämtade signalernas innehåll och materialet struktureras. Härigenom kan man få fram trafikmönster som visar vem som kommunicerar med vem och det faktiska innehållet i den inhämtade informationen.2 FRA delger underrättelser till berörda myndigheter.
1 Förstärkt integritetsskydd vid signalspaning, prop. 2008/09:201 s. 35. 2 En anpassad försvarsunderrättelseverksamhet, prop. 2006/07:46 s. 29.
Figur 2.1 Urvalsprocessen vid produktion av underrättelser genom signalspaning i tråd
Källa: Försvarets radioanstalts webbplats http://www.fra.se/kabelaccess_info1.shtml
1) Statens inspektion för Försvarsunderrättelseverksamheten (Siun) ger FRA tillgång till de fibertrådar (signalbärare) som omfattas av tillståndet. 2) FRA väljer ut relevanta delar av trafiken med hjälp av specifika sökbegrepp. Den trafik som inte väljs ut med sökbegreppen försvinner. 3) Av den tillgängliga trafiken blir en liten del föremål för manuell granskning. 4) Rapportering sker till berörda myndigheter.
2.2.4. Signalspaning och integritet
Den verksamhet som bedrivs vid FRA innebär med nödvändighet att det i stor omfattning inhämtas och bearbetas personuppgifter som kan vara av känslig natur. Att signalspaning kan medföra intrång i den personliga integriteten är därför ett obestridligt faktum.
Signalspaning för försvarsunderrättelseändamål har tidigare inte ifrågasatts ur ett integritetsskyddsperspektiv eftersom den varit inriktad på utländska förhållanden och omfattat etern som ansetts
fri att avlyssna. Det är fortfarande så att endast utländska företeelser är föremål för signalspaning. Utvidgningen av signalspaning till signaler i tråd innebär emellertid en mer omfattande inhämtning via det globala nätet där det främst förekommer trafik som inte är relevant för försvarsunderrättelseuppdraget. FRA:s förmåga att avgränsa inhämtningen till den för försvarsunderrättelseuppdraget relevanta trafiken är därför central för integritetsskyddet.
2.3. Försvarsunderrättelsedomstolen
Försvarsunderrättelsedomstolen bildades den 1 december 2009 då den övertog Signalspaningsnämndens uppgift att pröva frågor om tillstånd till signalspaning. Domstolen tillkom som en följd av att tillståndskravet även kom att omfatta den signalspaning som utförs på regeringens uppdrag. Som ytterligare skäl för att inrätta en domstol angav regeringen i proposition Förstärkt integritetsskydd vid signalspaning (prop. 2008/09:201 s. 45) att det var angeläget att tillståndsverksamheten var organiserad på ett sätt som var ägnat att inge förtroende. Mot den bakgrunden fanns det skäl att så långt som möjligt markera tillståndsgivningens oberoende genom att låta prövningen ske i domstol.
Genom ändringarna i signalspaningslagen kom tillståndsprövningen inte endast att omfatta vad FRA på ett övergripande plan får göra utan även till vissa delar FRA:s genomförande av ett signalspaningsuppdrag. En annan förändring bestod i att ansvaret för ansökan om tillstånd flyttades från de inriktande myndigheterna till FRA. Bestämmelser om domstolen regleras i lagen (2009:966) om Försvarsunderrättelsedomstol och förordning (2009:968) med instruktion för Försvarsunderrättelsedomstolen. Av dessa författningar framgår bl.a. att domstolen leds av en ordförande. Ordföranden anställs av regeringen som ordinarie domare i domstolen. Därutöver består domstolen av en eller högst två vice ordföranden och minst två och högst sex särskilda ledamöter. Dessa förordnas av regeringen för fyra år. Domstolen är domför med ordförande och två särskilda ledamöter. Vid domstolens sammanträden föredrar närvarande representanter från FRA ansökningsärendet för domstolen. Även ett integritetsskyddsombud är närvarande under sammanträdet. Integritetsskyddsombuden ska vara eller ha varit advokat eller ordinarie domare och förordnas av regeringen. Vid prövningen av tillstånd till signalspaning ska integritetsskyddsombudet
på ett generellt plan företräda integritetsskyddsintresset i allmänhet.
2.4. Kontroll och insyn
Under 2009 och 2010 har tre externa kontrollorgan haft i uppgift att följa verksamheten vid FRA. Utöver kommittén, som genom detta betänkande fullgjort sitt uppdrag, har Statens inspektion för försvarsunderrättelseverksamheten (Siun) och Datainspektionen inom ramen för sina uppdrag genomfört flera inspektioner på FRA. Siun är ett permanent kontrollorgan som utför fortlöpande kontroller. Datainspektionen har under nämnd period haft ett särskilt uppdrag att granska personuppgiftshanteringen vid FRA. Inom FRA finns också sedan 2009 en intern insynsfunktion benämnd integritetsskyddsrådet.
2.4.1. Statens inspektion för försvarsunderrättelseverksamheten (Siun)
Siun:s uppdrag omfattar kontroll, utredningsskyldighet och att säkerställa att FRA endast ges tillgång till tillståndsgivna signalbärare.
Kontroll
Försvarets underrättelsenämnd tillsattes 1976 och utgjorde regeringens insyns- och kontrollorgan avseende försvarsunderrättelseverksamheten. För att förtydliga att försvarsunderrättelseverksamheten inte är en angelägenhet endast för Försvarsmakten och för att markera självständighet i förhållande till den kontrollerade verksamheten fick myndigheten den 1 december 2009 ett nytt namn, Statens inspektion för försvarsunderrättelseverksamheten. Siun är en nämndmyndighet som har till uppgift att kontrollera att den försvarsunderrättelseverksamhet som bedrivs av Försvarsmakten, Försvarets radioanstalt, Försvarets materielverk och Totalförsvarets forskningsinstitut sker enligt de lagar och förordningar som styr respektive verksamhet.
Genom införandet av signalspaningslagen den 1 januari 2009 uppkom ett ökat behov av att kontrollera signalspaningsverksamheten. Detta bl.a. till följd av att signalspaningsmandatet skulle utvidgas
till att även innefatta inhämtning via tråd. Försvarets underrättelsenämnds mandat utökades därför från att följa underrättelsetjänsten inom de myndigheter som utövar försvarsunderrättelseverksamhet till att kontrollera dessa. Kontrolluppdraget omfattar enligt signalspaningslagen alla delar av FRA:s signalspaningsverksamhet, men är särskilt inriktat på att granska sökbegrepp, förstöring av uppgifter och rapportering.
Siun leds av en nämnd vars ledamöter utses av regeringen. Nämndens ordföranden och vice ordföranden ska vara eller ha varit ordinarie domare. Övriga ledamöter ska utgöras av personer föreslagna av partigrupperna i riksdagen. Nämndens arbete stöds av ett kansli med kompetens främst inom områdena försvarsunderrättelseverksamhet och juridik. Siun har även teknisk expertis knuten till sig.
Siuns granskningar av signalspaningsverksamheten genomförs utifrån nämndens beslut om granskningsområde. Efter interna förberedelser genomförs inspektion på FRA. Därefter sammanställs resultatet av inspektionen och med detta som underlag fattar nämnden beslut om det finns anledning att lämna några synpunkter eller förslag med anledning av granskningen.
Hittills genomförda granskningar har omfattat sökbegrepp, förstöring, signalspaningsprocessen och spårbarheten. De granskningar som har genomförts har resulterat i att nämnden haft synpunkter vid ett tillfälle. Nämnden ansåg att spårbarheten inte var tillräckligt tydliggjord då man tittade på rapporteringen.
Nämndens inspektionsprotokoll är offentliga. De synpunkter som föranleds av granskningsverksamheten lämnas till FRA och i den mån det anses erforderligt till Regeringskansliet.
Utredningsskyldighet – på begäran av enskild
Enligt 10 a § signalspaningslagen är Siun skyldigt att på begäran av enskild kontrollera om hans eller hennes meddelande har inhämtats i samband med signalspaning. Siun ska därvid utreda om inhämtningen och behandlingen av inhämtade uppgifter har skett enligt lag. Sedan kontroll har genomförts underrättar Siun den enskilde om att kontrollen har utförts. Vilka uppgifter som i övrigt kan lämnas beror på vilken sekretess som gäller i fallet.
Siuns kontroll utmynnar normalt i ett besked till den enskilde om huruvida det i samband med signalspaning har förekommit något otillbörligt som berört honom eller henne. Om myndigheten efter
sin utredning kan konstatera att ingen signalspaning överhuvudtaget har förekommit eller att signalspaning visserligen har förekommit men skett lagenligt, bör enligt förarbetena till lagen3 den enskilde få besked om att inget otillbörligt skett. Om Siun vid en sådan kontroll skulle finna att meddelanden inhämtats i strid med signalspaningslagen bör den enskilde i normalfallet upplysas om detta och få del av de uppgifter som kan lämnas med hänsyn till sekretessen. Vidare bör Siun anmäla sina iakttagelser till den myndighet som ansvarar för aktuell fråga. Om Siun exempelvis påträffar förhållanden som bedöms innebära att personuppgiftsbehandling skett utan stöd av lag, bör detta anmälas till Datainspektionen.
Inkoppling av signalbärare till FRA
För att FRA inte ska ges praktisk tillgång till andra signalbärare än de som omfattas av ett tillstånd till signalspaning har Siun givits rådigheten över de signalbärare som trådägarna överför till samverkanspunkter. Signalbärare är den minsta fysiska beståndsdel i vilka signaler transporteras. Samverkanspunkterna utgörs av en geografisk plats där trådägarna lämnar över signalerna till Siun. För detta ändamål har det byggts upp ett system som endast ger Siun tillträde till den operativa delen och som gör det möjligt för myndigheten att sköta uppkopplingen av tillståndsgivna signalbärare till FRA. Kommittén har besökt en samverkanspunkt och Siun har demonstrerat hur myndigheten genomför inkoppling av signalbärare till FRA.
2.4.2. Ett integritetsskyddsråd inom FRA
Utöver den externa kontrollfunktionen som Siun svarar för har enligt 11 § signalspaningslagen ett integritetsskyddsråd inrättats för att ge en fortlöpande insyn i de åtgärder som vidtas och för att säkerställa integritetsskyddet i signalspaningsverksamheten. Organisatoriskt utgör integritetsskyddsrådet en del av FRA och rådets ledamöter utses av regeringen för viss tid och utgörs för närvarande av två vid allmän domstol ordinarie domare och en f.d. ambassadör. Integritetsskyddsrådets främsta uppgift är att utifrån lagstiftningen granska hur FRA styrs genom de interna föreskrifterna och rutinerna.
Rådet rapporterar sina iakttagelser till FRA och, om rådet finner att det finns skäl för det, till Siun.
Kommittén har haft möten med integritetsskyddsrådet och tagit del av resultatet från rådets granskning avseende FRA:s interna föreskrifter, arbetsordning och den praktiska ärendehanteringen. Rådet har beskrivit hur man utifrån en dokumentinriktad granskning har gjort iakttagelser som lett fram till synpunkter och förslag till förändringar med integritetsskyddande syfte. FRA har beaktat dessa synpunkter.
3. Verksamheten vid FRA
3.1. Bakgrund
När det kalla kriget tog slut under 1990-talet uppstod ett nytt läge i Europa och Sveriges närområde. Den tidigare stormaktskonflikten hade upphört och hotet om krig i vår del av världen hade minskat. Den militära hotbilden ersattes av ett mer otydligt och svårdefinierat inre och yttre hot. Dagens hot kan vara icke-militära och utgår många gånger från icke-statliga aktörer.
Fram till genomförandet av signalspaningslagen var signalspaning en i stort sett oreglerad verksamhet som var begränsad till eterspaning. Utgångspunkten hade varit att etern var fri att avlyssna och att denna form av signalspaning därför inte krävde något uttryckligt lagstöd. Under 2000-talet ändrades förutsättningarna för underrättelseinhämtning via signalspaning genom att den elektroniska kommunikationen alltmer kom att ske via tråd (kabel). FRA uppskattar att 95 procent av all internationell trafik numera går i tråd. För att bevara och stärka den svenska försvarsunderrättelseverksamheten ansåg regering och riksdag att det var nödvändigt att ge FRA tillgång till såväl eter- som trådburen kommunikation och att inhämtning av signaler också behövde särskild reglering i lag. Lagen skulle därför utformas så att man fick till stånd en lämplig avvägning mellan integritetsskyddsintresset och behovet av en effektiv underrättelseverksamhet. När signalspaningslagen trädde i kraft den 1 januari 2009 fanns bl.a. bestämmelser som reglerade under vilka förutsättningar signalspaning fick ske, hur sökbegrepp fick användas, i vilka fall inhämtade uppgifter skulle förstöras och hur insynen i verksamheten skulle bedrivas. I syfte att förstärka integritetsskyddet vid signalspaning genomfördes den 1 december 2009 vissa lagändringar i signalspaningslagen och det var också från och med denna tidpunkt som FRA medgavs möjlighet att bedriva signalspaning via tråd.
3.2. Om FRA
3.2.1. Organisation och styrning
FRA leds av en generaldirektör. Därutöver finns en överdirektör, en stab och fyra avdelningar jämte vissa särskilda funktioner. Den operativa verksamheten är organiserad i två avdelningar, nämligen avdelningen för signalunderrättelsetjänst och informationssäkerhetsavdelningen. Avdelningen för signalunderrättelsetjänst har som uppgift att producera underrättelser och i denna verksamhet inryms inhämtning av signaler, bearbetning och analys samt rapportering. Informationssäkerhetsavdelningen svarar bl.a. för stöd till informationssäkerhetsarbetet hos myndigheter och statliga bolag.
FRA arbetar efter myndighetsövergripande respektive avdelningsinterna föreskrifter. Dessa reglerar bl.a. sökbegreppshantering och förstöringsskyldighet. Vidare finns verksamhetsregler omfattande bl.a. behörighet, loggning samt formerna för granskning och godkännande av uppdrag. FRA arbetar även efter etiska riktlinjer.
3.2.2. Förändringsprocessen
FRA har under de senaste 10–20 åren genomgått en omfattande förändringsprocess. Kommunikationsspaningen vid FRA var fram till 1999 organisatoriskt uppdelad i en del som avsåg signalspaning riktad mot militära kommunikationsmedel och en del som avsåg signalspaning riktad mot icke-militära kommunikationsmedel. Denna uppdelning var naturlig eftersom de militära respektive icke-militära kommunikationsmedlen vanligtvis användes av helt olika aktörer. Även tekniskt var de av helt olika slag, varför de olika signaltyperna enkelt kunde särskiljas från varandra. Detta innebar bl.a. att den privata, integritetskänsliga kommunikationen i stort sett inte förekom bland den militära tjänstetrafiken.
Den kommunikationsteknologiska utveckling som ägt rum de senaste tjugo åren, inte minst framväxten och utvecklingen av Internet, liksom utvecklingen vad gäller mobil kommunikation, har gjort att de icke-militära kommunikationsmedlen i allt större omfattning kommit att användas även för militära ändamål. De ur signalspaningssynpunkt intressanta kommunikationsmedlen innehåller därför numera en blandning av tjänstetrafik och privatpersoners kommunikation. Behovet av en lagreglering av verksamheten har växt fram,
bland annat med hänsyn till de integritetsskyddsfrågor som därmed har aktualiserats.
För att möta förändringarna har FRA vidtagit olika åtgärder som syftar till att ge myndighetens personal övergripande kunskaper om de regler som styr signalspaning. Vidare har insatserna varit inriktade mot att de anställda ska se sin egen och verksamhetens roll i samhället. Samtliga anställda, oavsett befattning, genomgår ett utbildningspaket där sådana frågor behandlas. FRA har inför kommittén betonat att integritetsskyddsfrågorna har getts central betydelse i verksamheten och även sätter sin prägel på utbildningen.
FRA har utarbetat etiska riktlinjer för sitt arbete. Dessa diskuteras enligt uppgift från FRA kontinuerligt och ingående med de anställda. Av riktlinjerna framgår bl.a. följande.
- FRA tar ansvar för genomförandet såväl som resultatet av sitt arbete samt för hur underrättelserna eller informationssäkerhetsrapporterna kan komma att användas.
- FRA arbetar objektivt, sakligt och med integritet.
- FRA underlättar för kontrollorganen att följa upp myndighetens verksamhet.
Det utvecklas för närvarande ett policyforum i verksamheten med representation från olika delar av organisationen. Dess uppgift är att identifiera och diskutera etik- och integritetsskyddsfrågor av principiell art och även att ta upp bedömningsfrågor som uppkommer i det löpande arbetet. Policyforumet ska utarbeta praktiska riktlinjer.
3.2.3. Säkerhetsskyddet
Det skulle innebära en mycket allvarlig form av integritetsintrång för den enskilde om inhämtad trafik, genom uppsåtligt handlande eller oaktsamhet, spreds till obehöriga eller om den användes för andra ändamål än det tillåtna. Skyddet för enskildas integritet kräver att den inhämtade trafiken är skyddad så att den inte kan behandlas för andra ändamål än de avsedda genom obehörig eller olaglig åtkomst.
FRA har ett omfattande inre och yttre skydd runt sin verksamhet. Det handlar om ett väl uppbyggt yttre fysiskt skydd i form av stängsel, bevakning, låsta kontorsdörrar och säkerhetsskåp. Mycket av det inre skyddet är kopplat till IT och skyddet för där behandlad information. Kontrollen består bl.a. i att alla åtgärder som hand-
läggarna gör i datasystemen loggas. För att genomföra vissa åtgärder, såsom att lägga in sökbegrepp vid inhämtning av signaler, krävs motivering och särskilt godkännande. Dessa åtgärder syftar till att ge ett skydd mot felaktig hantering av känsliga uppgifter.
Alla anställda vid FRA har genomgått säkerhetsprövning. För att upprätthålla en hög säkerhetsnivå sker även en kontinuerlig personkontroll av personalen.
FRA arbetar parallellt med flera olika uppdrag. Endast ett fåtal personer, som befinner sig på centrala och koordinerande befattningar behöver ha tillgång till den information som ger överblick över vilka uppdrag myndigheten har och vilket resultat som signalspaningen ger. Av sekretesskäl utförs det operativa arbetet i slutna enheter som är skilda från varandra. Det innebär i praktiken att enskilda tjänstemän inte har detaljerad kännedom om annat än det uppdrag han eller hon är knuten till. Behörigheten till uppdragen är begränsad till att endast omfatta den information som respektive medarbetare behöver för att utföra sin uppgift. Bemanningen av uppdragen är väl avgränsade, vilket bl.a. innebär att man endast delar information inom uppdraget. De sekretessmässiga barriärerna medför begränsad och kontrollerad spridning av information.
3.3. Ändamål och inriktning
3.3.1. Underrättelseverksamheten
Signalspaning inleds med att regeringen, Regeringskansliet eller Försvarsmakten inriktar FRA:s signalspaning mot vissa för försvarsunderrättelseverksamheten aktuella områden. Detta sker genom regeringens årliga inriktning och genom Regeringskansliets och Försvarsmaktens närmare inriktningar. Regeringens övergripande inriktning ska avse de samlade behoven av underrättelser. Försvarsmakten och Regeringskansliet ges möjlighet att inom den ram som regeringen fastställt närmare inrikta signalspaningsverksamheten mot de för försvarsunderrättelseverksamheten relevanta företeelserna. FRA omsätter uppdragsgivarnas inriktning till uppdrag. FRA ska följa uppdragsgivarnas behov av underrättelseinformation då myndigheten förbereder och genomför inhämtningen. Varje inriktning måste kunna motiveras utifrån de syften för vilka försvarsunderrättelseverksamhet genom signalspaning får bedrivas. Detta innebär att det ska alltid finns ett ändamål enligt lag som motiverar åtgärden. I 1 §,
andra stycket signalspaningslagen preciseras för vilka ändamål signalspaning får bedrivas. Enligt bestämmelsen får signalspaning bedrivas i syfte att kartlägga bl.a. yttre militära hot, andra utländska förhållanden som kan påverka nationell och internationell säkerhet, förutsättningarna för svenskt deltagande i internationella insatser, förhållanden avseende internationell terrorism, utveckling och spridning av krigsmateriel och massförstörelsevapen, främmande underrättelseverksamhet mot svenska intressen samt främmande makts agerande eller aktivitet av väsentlig betydelse för svensk utrikes-, säkerhets- eller försvarspolitik. Detta hindrar dock inte att signalspaning även kan avse vissa förgreningar inom landet. Exempelvis kan en utländsk organisation med verksamhet som utgör ett hot mot landet verka genom representanter i Sverige. Signalspaning kan i dessa fall bidra till att följa upp den utländska företeelsens koppling till Sverige. Signalspaning får dock inte avse kommunikation mellan två personer som befinner sig i Sverige.
Den kommunikation som är föremål för signalspaning avser alltid utländska företeelser. FRA följer företeelserna genom inhämtning av signaler från kommunikation som huvudsakligen härrör från utlandet. Det kan röra sig om inhemsk trafik i landet A eller internationell trafik mellan landet A och landet B.
Bakom alla företeelser och kommunikation kring dessa ligger människor och det kan därför vara nödvändigt att utnyttja information om fysisk person som en utgångspunkt för vidare inhämtning av signaler. Signalspaning kan ge information om vad en viss person sysslar med och i vilka kretsar vederbörande rör sig. Av 4 § 3 st signalspaningslagen framgår dock att en inriktning av signalspaningen inte får avse endast en viss fysisk person. Detta innebär att signalspaning inte får användas för att endast kartlägga en utpekad person.
Gränsdragningen mellan att kartlägga företeelser och förbudet att kartlägga endast en viss fysisk person är inte helt tydlig eftersom signalspaning bedrivs mot kommunikation mellan människor. I praktiken är det dock en avsevärd skillnad. En viktig utgångspunkt är att personer i signalspaningssammanhang endast är intressanta som bärare av information. Om personen i fråga kan misstänkas för brott saknar i sammanhanget relevans. Ett uppdrag får alltså syfta till att kartlägga personers förehavanden endast om uppdraget har fokus på den företeelse som inriktningen avser.
Förbudet mot att kartlägga en viss fysisk person bör också ses i sammanhanget av att försvarsunderrättelseverksamheten inte får avse
uppgifter som ligger inom ramen för polisens och andra myndigheters brottsbekämpande och brottsförebyggande arbete.
3.3.2. Utvecklingsverksamheten
Inhämtning av signaler kan även ske inom ramen för FRA:s utvecklingsverksamhet. Denna syftar till att möjliggöra försvarsunderrättelseuppdraget och tillgodoser FRA:s behov av att följa utvecklingen inom signalmiljön och för att kontinuerligt kunna anpassa sina tekniska system till utvecklingen. Inhämtning av signaler i utvecklingsverksamheten förutsätter att det är nödvändigt för försvarsunderrättelseuppdraget och sker utifrån regeringens inriktning. Den inhämtning av signaler som sker i utvecklingsverksamheten omfattas av samma bestämmelser i signalspaningslagen som underrättelseverksamheten.
Den variationsrikedom som förekommer i signalmiljön är mycket stor och ökar hela tiden. FRA har oftast ingen eller högst begränsad kännedom om den tekniska utformningen eller användningen av en ny signal som upptäcks i signalmiljön. Många signaler följer inte en standard utan FRA måste rekonstruera hur signalen är uppbyggd. Kunskapen används för att göra innehållet i signalen tillgängligt. Detta arbete sker inom utvecklingsverksamheten. FRA bedriver utvecklingsverksamhet av följande skäl.
- För att följa förändringar i signalmiljön i omvärlden (signalundersökning). FRA använder särskilda inhämtningssystem och analysverktyg för att ta reda på vilken slags trafik som finns på de satellitkanaler och de signalbärare i tråd som är tekniskt, geografiskt och tillståndsmässigt möjliga att inhämta. Likaså undersöks mellan vilka geografiska regioner i världen trafik på dessa signaler förmedlas.
- För att följa den tekniska utvecklingen i omvärlden (signalutvecklingen). FRA letar efter hittills okända signaler och tar reda på deras tekniska utformning och hur de används.
- För att följa förändringar i signalskyddet i omvärlden. Ett exempel på detta är FRA:s kryptoanalytiska arbete.
- För att fortlöpande utveckla ny teknik och ny metodik som behövs för verksamheten.
3.4. Tillstånd för signalspaning
För att FRA ska kunna verkställa signalspaning krävs enligt 4 a § signalspaningslagen tillstånd. Tillståndskravet omfattar all inhämtning av signaler oavsett syfte och teknik för inhämtning. Tillstånd lämnas av Försvarsunderrättelsedomstolen.
3.4.1. Ansökan
Av 4 a § signalspaningslagen följer att en tillståndsansökan till Försvarsunderrättelsedomstolen ska innehålla en redogörelse för inhämtningsuppdraget, vilket behov som föranleder ansökan, vilken inriktning uppdraget hänför sig till, vilka sökbegrepp eller kategorier av sökbegrepp som är avsedda att användas vid inhämtningen och vilken tid tillståndet ska gälla. Vad avser signaler i tråd måste FRA även ange vilken eller vilka signalbärare myndigheten behöver tillgång till. Ansökan om tillstånd måste göras för all signalspaning.
FRA formulerar ansökan om tillstånd utifrån den inriktning som givits för signalspaning. För att uppfylla de krav på ansökan som finns i signalspaningslagen måste FRA ta fram ett underlag för ansökan. Denna hantering följer interna föreskrifter som bl.a. reglerar vilka överväganden som måste göras i samband med att en ansökan ska lämnas till Försvarsunderrättelsedomstolen. FRA gör bl.a. en bedömning av den avsedda effekten med åtgärden i förhållande till det integritetsintrång som inhämtningen kan komma att innebära. Slutligen är det generaldirektören som beslutar om utformningen av ansökan.
Kommittén har tagit del av ansökningar om tillstånd till signalspaning som inkommit till Signalspaningsnämnden och Försvarsunderrättelsedomstolen.
3.4.2. Processen kring tillståndsprövningen
När FRA lämnat in ansökan om signalspaning till Försvarsunderrättelsedomstolen utser domstolen ett integritetsskyddsombud i målet och håller därefter ett sammanträde. Sammanträdet hålls vid Försvarsunderrättelsedomstolen i Kista, Stockholm. Vid sammanträdet föredrar företrädare för FRA (jurist och tjänsteman från signalunderrättelsetjänsten) ärendet för domstolen. Ett av regeringen förordnat integritetsskyddsombud närvarar under sammanträdet i syfte
att bevaka integritetsskyddsintresset. Efter domstolens enskilda överläggning meddelas beslut i målet.
3.4.3. Tillståndet
Enligt 5 § signalspaningslagen får tillstånd ges endast om inhämtningsuppdraget är förenligt med lagen om försvarsunderrättelseverksamhet och signalspaningslagen och om syftet med inhämtningsuppdraget väger klart tyngre än det integritetsintrång som inhämtning kan innebära (proportionalitetsprincipen) och detta syfte inte kan tillgodoses på ett mindre ingripande sätt (behovsprincipen). Vidare måste de sökbegrepp eller kategorier av sökbegrepp som är avsedda att användas vara förenliga med lagens särskilda bestämmelser om sökbegrepp. Med kategorier av sökbegrepp som är hänförliga till fysisk person avses uppgifter om en grupp som identifierar flera fysiska personer med tydlig anknytning till varandra.
Om förutsättning för signalspaning föreligger lämnar Försvarsunderrättelsedomstolen tillstånd för signalspaning. Tillståndet ligger till grund för FRA:s genomförande av inhämtning av signaler. Av ett tillstånd ska enligt 5 a § signalspaningslagen framgå sådana konkreta förhållanden som vilka signalbärare som FRA får tillgång till och vilka sökbegrepp eller kategorier av sökbegrepp som får användas. Bestämmelsen anger även att domstolen kan besluta om andra villkor som behövs för att begränsa intrånget i enskildas personliga integritet. Villkoren kan vara av olika slag och anpassas efter den risk för intrång i den personliga integriteten som varje enskild inhämtning kan beräknas medföra. Ett tillstånd får ges för högst sex månader och kan efter förnyad prövning förlängas med högst sex månader i taget.
Kommittén har tagit del av flera av de tillstånd till signalspaning som lämnats av Signalspaningsnämnden respektive Försvarsunderrättelsedomstolen. Kommittén har därvid noterat att domstolen i vissa fall uppställer begränsande villkor för signalspaning. Det har exempelvis handlat om att domstolen har begränsat antalet sökbegrepp eller kategorier av sökbegrepp som får användas vid inhämtningen eller att tillstånden omfattat kortare period än vad FRA har begärt.
I vissa brådskande fall får enligt 5 b § signalspaningslagen tillstånd till signalspaning ges av särskild befattningshavare vid FRA och åtgärden ska då genast anmälas till Försvarsunderrättelsedom-
stolen som tar upp ärendet till prövning. Prövningen kan resultera i att domstolen ändrar eller upphäver ett beslut. I sådana fall ska inhämtade upptagningar förstöras.
3.5. Signalspaning i tråd, samverkanspunkt och rådighet
Signalspaningsverksamheten vid FRA går i huvudsak till på samma sätt oavsett om inhämtningen av signalerna sker via etern eller via tråd. Innehållet i signalerna är detsamma. Trafikmängderna via tråd är dock väsentligt större än den trafik som överförs via etern. Signalspaningslagen innehåller särreglering avseende tråd som bl.a. innebär att FRA ges begränsad teknisk och rättslig tillgång till vissa signalbärare.
För att inhämtningen av signaler i tråd ska bli tekniskt möjlig för FRA att genomföra åligger det enligt 6 kap. 19 a § lagen (2003:389) om elektronisk kommunikation de trådägande operatörerna att överföra all trafik som förs över Sveriges gräns till särskilda s.k. samverkanspunkter. En samverkanspunkt är den plats där trafiken överlämnas från trådägaren till kontrollmyndigheten Siun. Enligt 12 § signalspaningslagen är det endast Siun som har kontrollen (rådigheten) över de signalbärare som överför signaler från samverkanspunkten till FRA. Av sistnämnd bestämmelse följer också att det är Siun som ger FRA tillgång till de signalbärare1 som följer av domstolens tillstånd. Detta medför att FRA inte bereds teknisk eller rättslig tillgång till all gränsöverskridande teletrafik, utan endast ges möjlighet att utnyttja de signalbärare som Försvarsunderrättelsedomstolen givit tillstånd till och som Siun därefter kopplat in. Regleringen omfattar inhämtning av signaler i både underrättelseverksamheten och utvecklingsverksamheten.
Inkopplingen av signalbärare är en ren verkställighetsfråga som utförs av Siun med utgångspunkt från domstolens beslut om vilka signalbärare som FRA ska ges tillgång till. Siun har inte tillgång till innehållet i signalerna.
Samverkanspunkterna är tekniskt skyddade av de trådägande operatörerna mot intrång och förstörelse. Med hjälp av olika former av behörighetskontroller säkerställs att endast Siuns personal kan förfoga över systemen.
1 Med signalbärare avses det medium som används för att överföra en eller flera signaler, se prop. 2008/09:201 s. 35.
3.6. Inhämtning av signaler
Kommittén har fått information om de olika momenten kring hur FRA bedriver arbetet med att hämta in signaler. FRA har demonstrerat och belyst verksamheten utifrån konkreta uppdrag. Rutiner och arbetsmetoder har studerats.
FRA har på en av sina inhämtningsstationer visat hur inhämtning av satellittrafik går till. Vidare har kommittén fått en bild av hur de inhämtade signalerna undersöks för att göra innehållet tillgängligt för bearbetning och analys eller för att skaffa kunskap om signalen. FRA har även förevisat de tekniska system som används i olika skeden av processen.
Försvarsunderrättelsedomstolens tillstånd för inhämtning avser en enskild optisk fiber (signalbärare). På varje optisk fiber kan ett stort antal frekvenser överföras. FRA kan välja att koppla in och hämta in en eller flera frekvenser som överförs på den tillståndsgivna signalbäraren. Inom ramen för utvecklingsverksamheten inhämtas vanligtvis ett större antal frekvenser, men ett fåtal i taget och under kort tid. Inom ramen för underrättelseverksamheten inhämtas i regel ett begränsat antal utvalda frekvenser under en längre tid. FRA har förklarat att ett vanligt tillvägagångssätt är att man på en viss signalbärare under kort tid inhämtar trafikdata på de olika frekvenserna för att bl.a. ta reda på trafikvägar. Därefter tar FRA ställning till vilka enskilda frekvenser som förefaller vara mest relevanta för aktuellt uppdrag och som därför bör inhämtas under längre tid för underrättelsesyfte. Urvalet görs med hjälp av sökbegrepp.
Inhämtningen av signaler styrs bl.a. av regler om vilka signaler som får inhämtas och på vilket sätt signalerna får identifieras. Närmast beskrivs några av de förutsättningar som gäller för inhämtning av signaler.
3.6.1. Förbud mot inhämtning av inhemsk trafik
Inhämtning som sker i tråd får enligt 2 § signalspaningslagen endast avse signaler som förs över Sveriges gräns i tråd som ägs av en trådägare. Inhämtning får enligt 2 a § signalspaningslagen inte avse signaler mellan en avsändare och mottagare om båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämtningen, ska upptagningen förstöras så snart det står klart att sådana signaler har inhämtats. Bestämmelsen är avsedd att begränsa signal-
spaningen till utländska förhållanden, dvs. motsvarande begränsning som följer av att signalspaning ska ske inom ramen för försvarsunderrättelseverksamheten.
FRA använder sig av en kombination av åtgärder för att förhindra att inhemsk trafik inhämtas. Trafiken passerar först ett filter för bortval som tar bort, så långt det är praktiskt möjligt, all inhemsk trafik. Därefter använder FRA sökbegrepp som väljer ut relevant trafik. Den inhemska trafik som FRA inte har lyckats avskilja tas bort manuellt så fort den har upptäckts, vilket normalt sker i bearbetnings- och analysfasen. FRA har beskrivit för kommittén hur detta går till och vilka överväganden som måste göras mellan automatiserad filtrering i inhämtningsskedet och manuell förstöring.
3.6.2. Sökbegrepp
Med sökbegrepp avses en kombination av tekniska data och olika nyckelord. De olika komponenterna utgörs exempelvis av frekvenser, telefonnummer eller IP-adresser. Genom att ange sökbegrepp kan FRA söka igenom en signal och hitta de poster där begreppen förekommer.
Av 3 § signalspaningslagen följer att inhämtning av signaler i tråd ska ske automatiserat och med användning av sökbegrepp. Även annan automatiserad inhämtning kräver användning av sökbegrepp. Sökbegreppen ska utformas och användas med respekt för enskildas personliga integritet och så att signalspaningen medför ett så begränsat integritetsintrång som möjligt. För sökbegrepp som är direkt hänförliga till en viss fysisk person gäller därutöver att de får användas endast om det är av synnerlig vikt för verksamheten.
FRA har utifrån lagstiftningen utformat intern reglering avseende hantering och utformning av sökbegrepp. Reglerna är avsedda att verka integritetsskyddande och styr bl.a. beslutsordning och bedömningskriterier.
Kommittén har tagit del av information om föreskrifter och rutiner kring sökbegreppsanvändningen. FRA har beskrivit för kommittén hur sökbegreppen konstrueras och vilken roll respektive tjänsteman har i detta arbete. Kommittén har också fått information om hur sökbegreppen fungerar och har sett hur det praktiskt går till när sökbegrepp aktiveras i inhämtningssystemet. Vidare har redovisats hur FRA tillämpar signalspaningslagens reglering avseende användning av sökbegrepp som är direkt hänförliga till en viss fysisk
person. Kommittén har utöver denna information tagit del av resulatet från Siuns inspektioner under 2010 avseende FRA:s sökbegreppsanvändning.
Sökbegreppshanteringen ska ske utifrån lagen och domstolens beslut om vilka sökbegrepp eller kategorier av sökbegrepp som får användas. FRA måste kontinuerligt tillse att sökbegreppen utformas och används med respekt för enskildas personliga integritet. All användning av sökbegrepp ska därför enligt FRA:s interna reglering föregås av integritetsskyddsöverväganden. De rutiner som finns för detta innebär att flera personer på olika nivåer i organisationen är involverade i bedömningen och att sökbegrepp måste kontrolleras i särskild ordning innan de görs verksamma för inhämtning. Hanteringen skiljer sig beroende på hur integritetskänslig sökbegreppsanvändningen bedöms vara.
Antalet sökbegrepp som används inom signalunderrättelseverksamheten är mycket stort. Anledningen till detta är FRA:s mycket omfattande arbetsuppgifter och de stora trafikvolymerna. Sökbegreppen byggs upp med hög precision vilket innebär att de består av flera komponenter. Genom att ange sökbegrepp kan man söka igenom en signal och hitta de poster där begreppet förekommer. Alla delar måste stämma för att det ska bli träff i den inhämtade trafiken. Eftersom sökbegreppen innehåller utländska teleadresser, träffar den inte inhemsk kommunikation. Sökbegreppen är avsedda att göra sökningarna exakta och fungerar som ett slags filter för att begränsa inhämtningen till det som är relevant och för att förhindra olaglig inhämtning. Därigenom reduceras risken för omotiverade intrång i den personliga integriteten. Användning av sökbegrepp som är direkt hänförliga till fysisk person kräver särskilda överväganden. Telefonnummer och e-post-adresser utgör exempel på sökbegrepp som kan vara direkt hänförliga till individ. Sökbegrepp som är hänförliga till fysisk person används vanligtvis tillsammans med andra uppgifter som är kopplade till den företeelse som uppdragsgivarna är intresserade av att skaffa sig information om.
Urvalsprocessen av signaler sker med användning av sökbegrepp i två led. I det första skedet genomförs en datareduktion på signalnivå, vilket innebär att endast vissa signaler väljs ut för vidare urval. Datareduktionen sker på grundval av huvudsakligen tekniska parametrar och utifrån FRA:s kännedom om i vilka signaler sådan trafik som är relevant för försvarsunderrättelseverksamheten kan återfinnas. Efter datareduktionen återstår endast en begränsad del av den inhämtade trafikmängden.
I nästa skede genomförs en datareduktion på meddelandenivå, vilket innebär att sökbegrepp appliceras på den återstående trafikmängden för att urskiljer de enskilda meddelanden som är relevanta för verksamheten. Först efter denna process finns ett informationsinnehåll tillgängligt för FRA.
Urvalet av signaler sker i realtid vilket innebär att den trafik som inte har valts ut med sökbegrepp kommer ej heller att vara tillgänglig för FRA. FRA saknar således möjlighet att i ett senare skede få åtkomst till den trafik som inte i det automatiserade urvalssystemet identifierats som relevant.
3.6.3. Bearbetning och analys
När de relevanta signalerna valts ut sker en automatisk, och i vissa fall manuell, bearbetning som går ut på att göra materialet läsbart och hanterbart för analys. Med andra ord så bringar FRA ordning i det inhämtade materialet. Härigenom kan man ta reda på vem som kommunicerar med vem och varför. Då det handlar om meddelanden med ett klart underrättelsesyfte måste FRA göra en avvägning kring om förekommande personuppgifter har ett underrättelsevärde som det kan finnas anledning att ange i den slutliga rapporten. I sådana fall kan det finnas skäl att behålla meddelandet. Då det gäller meddelanden utan betydelse för verksamheten och som berör fysisk person så ska de förstöras enligt 7 § signalspaningslagen. Meddelandet måste således vara relevant för de ändamål som anges i 1 § signalspaningslagen för att få behållas i FRA:s hantering. FRA gör också en bedömning av om underrättelsevärdet överstiger integritetsintrånget.
En mycket liten del av det kommunikationsinnehåll och de trafikuppgifter som FRA hämtat in går enligt myndigheten vidare till analysfasen.
Kommittén har fått se exempel på hur FRA använder inhämtad trafikdata. Vidare har kommittén kunnat se och höra meddelandeinnehåll från inhämtade upptagningar och uppteckningar. Dessa har i samtliga fall varit avfattade på främmande språk.
3.7. Förstöringsskyldighet
Förstöringsskyldighet innebär att FRA under vissa omständigheter är skyldigt att omgående förstöra uppteckning eller upptagning med visst i lagen angivet innehåll.
Enligt 2 a § signalspaningslagen är FRA skyldigt att förstöra inhämtade signaler mellan avsändare och mottagare som befinner sig i Sverige. Vidare omfattar förstöringsskyldigheten enligt 7 § signalspaningslagen sådan information som
-
(1 p) berör en viss fysisk person och har bedömts sakna betydelse för försvarsunderrättelseverksamheten och utvecklingsverksamheten,
-
(2 p) avser uppgifter för vilka tystnadsplikt gäller enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, eller som avser förbudet att efterforska meddelare,
-
(3 p) rör samtal mellan en misstänkt och dennes försvarare eller
-
(4 p) omfattar uppgifter lämnade under bikt eller enskild själavård, såvida det inte finns synnerliga skäl att behandla sådana uppgifter för underrättelseändamål.
Bestämmelserna utgår från informationsinnehållet som avseende punkterna 2–4 är av förtrolig karaktär. Förstöringsskyldigheten aktualiseras främst i samband med att handläggarna tar del av informationen. Det är i regel först då FRA blir medveten om att förstöringspliktig information inhämtats.
FRA har beskrivit hur signalspaningslagens bestämmelser om förstöring tillämpas och kommittén har studerat FRA:s interna föreskrifter kring förstöring. Kommittén har också tagit del av uppgifter om antal meddelanden som förstörts och på vilken rättslig grund detta har skett. Vidare har kommittén informerats om resultatet av Siuns och Datainspektionens granskning av förstöringsskyldigheten.
Bedömningen av om en upptagning eller uppteckning omfattas av förstöringsskyldighet görs i ett första skede av enskilda handläggare. Att jämlikt 7 § första punkten signalspaningslagen bedöma vad som saknar betydelse för verksamheten kan innebära vissa svårigheter eftersom den enskilde medarbetaren inte har insyn i alla de uppdrag som FRA arbetar med. FRA har beskrivit hur detta problem hanteras.
Då det gäller uppgifter som lämnats under bikt eller själavård aktualiseras 7 § fjärde punkten signalspaningslagen. Liksom gällande den första punkten ställer denna bestämmelse krav på handläggarens bedömning eftersom förstöringsskyldigheten inte aktualiseras om det finns synnerliga skäl att behandla uppgifterna för försvarsunderrättelsesyftena i 1 § signalspaningslagen.
När en upptagning eller uppteckning förstörs dokumenteras åtgärden genom loggning i datasystemet. Loggarna i FRA:s datasystem innehåller orsaken till förstöring, vem som utfört förstöringen, vilken typ av material det handlar om och vilket ärende det varit kopplat till. Loggarna möjliggör kontroll av att förstöringsskyldigheten efterlevs. Siun granskar loggarna.
3.8. Rapportering
Underrättelser med uppgifter som inhämtats genom signalspaning ska enligt 8 § signalspaningslagen rapporteras till berörda myndigheter i enlighet med vad som föreskrivs i försvarsunderrättelselagen. Med utgångspunkt i integritetsskyddet har det införts en reglering om att i de fall uppgifterna berör en viss fysisk person får rapporteringen endast avse förhållanden av betydelse för försvarsunderrättelseverksamheten.
Rapporteringen är kärnan i underrättelsearbetet och syftar till att presentera ett inhämtat och berett underrättelsematerial av betydelse för i första hand den inriktande myndigheten, dvs. regeringen, Regeringskansliet eller Försvarsmakten. Underrättelsematerial som kommit fram i samband med ett uppdrag och som även är relevant för andra myndigheter delges dessa. Detta sker utifrån signalspaningslagens bestämmelse om att underrättelse ska rapporteras till berörda myndigheter.
FRA ska enligt sina värdegrunder ta ansvar för sin rapportering och utlämnade uppgifter måste ligga inom ramen för givna inriktningar. FRA rapporterar endast sådant som man bedömer att mottagaren behöver veta, vilket ofta avgörs utifrån aktuell inriktning. Innan rapporterna lämnas till berörd myndighet granskas de därför av anställd i ledande ställning inom FRA. Denne tar ställning till vilka detaljer som utifrån bl.a. integritetsskyddsaspekter är lämpliga att lämna till respektive mottagare. Vidare föregås rapporteringen av etiska överväganden.
Kommittén har tagit del av flera av FRA:s rapporter och FRA har även exemplifierat vilka överväganden som görs inför rapportering.
4. Slutsatser och bedömning
4.1. Inledning
I kapitel 3 har FRA:s verksamhet presenterats och i följande avsnitt kommer slutsatser och bedömningar att redovisas utifrån tidigare gjorda beskrivningar.
Signalspaning i tråd har under uppdragets gång varit under uppbyggnad och kommit igång först under den senare delen av utredningstiden. Det konkreta bedömningsunderlaget hänför sig därför i allt väsentligt till eterburen inhämtning. Kommittén har fått kontinuerlig information från FRA om hur signalspaning i tråd byggs upp och vilka bedömningar som görs gällande metodens potential. Några exakta uppgifter om vilken trafik och vilka trafikmängder som berörs när verksamheten byggts vidare har dock inte kunnat lämnas. Vad signalspaning i tråd kommer att innebära för enskildas personliga integritet då denna del av verksamheten är mer utbyggd kan kommittén således inte uttala sig om.
Signalspaning är tekniskt komplicerat och verksamheten vid FRA är svåröverskådlig med många olika specialistfunktioner. Verksamhetens komplexitet har gjort uppföljningsarbetet till en svår uppgift. Eftersom kommittéledamöterna inte har haft några förkunskaper inom området har det varit nödvändigt att sätta sig in i signalspaningstekniken och informera sig om alla moment av signalspaning. Kommittén har efterfrågat FRA:s information eftersom kunskapen inte finns utanför myndighetens krets av experter. Utifrån kommitténs frågeställningar har FRA förklarat verksamheten vilket gett god inblick i hur signalspaning bedrivs. Kommittén har haft ett granskande förhållningssätt till den information som har lämnats och i takt med vunnen kunskap kunnat ställa kritiska frågor. Någon kontroll av FRA:s uppgifter har emellertid inte skett, annat än att kontrollfrågor har ställts till Siun och Datainspektionen. Huruvida FRA:s praktiska tillämpning överensstämmer med beskrivna rutiner
och metoder går därför inte att besvara med säkerhet. Kommittén har inte i något avseende sett något som tyder på att lämnade uppgifter skulle vara oriktiga eller att beskrivna rutiner inte skulle fungera som avsett i verksamheten.
Kommitténs bedömningsunderlag utgörs av de beskrivningar som FRA har lämnat av verksamheten, men har även bestått i Siuns och Datainspektionens granskningsresultat samt löpande diskussioner med samtliga kontrollfunktioner och Försvarsunderrättelsedomstolen.
Med ovan lämnade reservationer presenterar kommittén i det följande de slutsatser och bedömningar som enligt vår uppfattning ger en så tydlig bild av verksamheten och dess konsekvenser för enskildas integritet som det är möjligt att åstadkomma i en offentlig publikation. Bedömningarna görs utifrån såväl rättsliga som etiska utgångspunkter.
Eftersom kommittén har fått i uppdrag att följa verksamheten ur ett integritetsskyddsperspektiv så måste något först sägas om begreppet ”personlig integritet”.
4.2. Personlig integritet och signalspaning
4.2.1. Begreppet personlig integritet
Svensk lagstiftning innehåller ingen definition av begreppet personlig integritet. I olika utredningar har man försökt ge begreppet en entydig och allmänt vedertagen definition. Det har emellertid visat sig att begreppet är svårfångat. Som en klar gemensam nämnare framstår dock uppfattningen att personlig integritet innebär att alla människor har rätt till en personlig sfär och att rättsordningen ska upprätthålla ett skydd för integriteten. Uppfattningen om hur långt den privata sfären sträcker sig kan variera kraftigt mellan olika människor. Omfånget av den personliga sfären uppfattas inte heller som statiskt utan kan förändras med hänsyn till aktuell situation.
Den personliga integriteten kan sättas ur spel om det finns motstående intressen som väger tyngre. Då det gäller lagstiftningen kring signalspaning har överväganden gjorts kring integritetsskyddsintresset och behovet av en effektiv underrättelseverksamhet. I praktiken handlar det om att väga nyttan och effektiviteten av en signalspaningsåtgärd mot det möjliga intrång i den personliga integriteten som åtgärden kan förorsaka.
4.2.2. Rätten till personlig integritet i ett demokratiskt samhälle
Rätten till personlig integritet är en grundläggande mänsklig rättighet och utgör ett grundfundament i ett demokratiskt samhälle. I svensk rätt kommer skyddet för enskildas integritet till uttryck genom bland annat olika bestämmelser i de svenska grundlagarna och i Europakonventionen.
Vikten av att en signalspaningsverksamhet i ett demokratiskt samhälle bedrivs utifrån godtagbara principer om integritetsskydd kan inte nog betonas. Att värna om integriteten har därför ett värde som sträcker sig längre än till individnivån. Följaktligen ligger det också på ett mer generellt plan att slå vakt om integritetsskyddsintresset och därmed de fri- och rättigheter som är förknippade med demokratin. Man måste dock samtidigt beakta att skyddet för den personliga integriteten alltid måste balanseras mot andra samhälleliga intressen. Detta är en för kommittén självklar utgångspunkt, men vårt uppdrag har gjort att det viktigaste hela tiden har varit att ha integriteten i fokus då vi har följt verksamheten vid FRA.
4.2.3. Signalspaning och integritet
Som kommittén tidigare har konstaterat så kan signalspaning oavsett metod för inhämtning medföra intrång i enskildas personliga integritet. Den sedan drygt ett år tillbaka utvidgade möjligheten att signalspana i tråd som går över rikets gräns har medfört att FRA givits tillgång till signalbärare som innehåller större mängder signaler än t.ex. satellitstråken. Detta medför att ett ökande antal människor kommer att beröras av signalspaning. Det är dock för närvarande oklart på vilket sätt olika individer kan komma att påverkas. Eftersom FRA kommer att kunna göra ett urval ur en större trafikmängd blir myndighetens förmåga att välja den försvarsunderrättelsemässigt intressanta trafiken central för frågan om konsekvenserna för enskildas integritet.
4.2.4. Signalspaning och integritetsintrång
FRA ska kartlägga företeelser av det slag som specificerats i 1 § signalspaningslagen. Det är såldes personer som kommunicerar kring dessa ämnen som är av intresse för FRA. Vad dessa personer företar sig
kan ha ett underrättelsevärde och kartläggningen syftar därför till att informera uppdragsgivaren om detta. För frågan om ingrepp i den personliga integriteten är det emellertid inte syftet med signalspaning som står i förgrunden, utan effekten av att elektronisk kommunikation kan göras tillgänglig för signalspaning och i vissa fall även behandlas av FRA. I båda fallen kan det innebära ett integritetsintrång.
Lagrådet anförde i sitt yttrande den 9 februari 2007 över förslag till bl.a. signalspaningslagen1 att ett intrång i privatlivet sker redan genom att staten kan bereda sig tillgång till teletrafiken och inte först när ett visst meddelande avskiljs för analys genom sökbegrepp. Lagrådets konstaterande grundades bl.a. i uppfattningen att friheten att kommunicera inskränks när det finns ett system som tillåter att elektronisk teletrafik inhämtas. Detta betyder att även om den stora merparten av all trafik som överförs till samverkanspunkterna aldrig inhämtas av FRA, och än mindre görs tillgänglig för mänskligt öga eller öra, så innebär redan existensen av en underrättelseverksamhet som bedriver signalspaning en form av integritetsintrång.
Ett mer uppenbart intrång i den personliga integriteten kan uppkomma då kommunikationen inhämtas av FRA och när den i vissa fall rent faktiskt granskas av tjänsteman på myndigheten. Inhämtad information kan bestå av uppgifter om kommunikationen (trafikdata) och innehållet i meddelandet. Sådant intrång i den personliga integriteten sker inom ramen för FRA:s signalspaningsverksamhet.
4.3. Kommitténs intryck och generella konstateranden
4.3.1. Professionalitet
För att kunna se integritetsfrågorna i sitt sammanhang är det viktigt att belysa frågan om verksamheten präglas av professionalitet, dvs. om FRA utför sitt uppdrag med yrkesmässighet och skicklighet. Kommittén försöker besvara denna fråga utifrån de intryck som givits i samband med studiebesök på FRA, övriga kontakter med myndigheten och genom den bild som förmedlats av tillstånds- och kontrollorganen.
Kommittén har mött ett stort antal personer inom FRA med olikartade arbetsuppgifter och yrkesbakgrund. Eftersom verksam-
1Prop. 2006/07:63, bilaga 11.
heten är ytterst komplex inrymmer den många olika professioner. De tjänstemän som arbetar med signalspaning har kompetens inom områdena främmande språk, teknik, matematik, datateknik och statskunskap. Det finns också stor kunskap kring förhållanden som rör de länder och företeelser som är föremål för svensk underrättelsetjänsts intresse.
En professionell verksamhet utgår från sitt uppdrag och utför detta med hjälp av kompetent personal. Kommittén har fått intrycket att kompetens- och kunskapsnivån hos personalen är hög och att det finns en tydlig strävan hos dem att utföra uppdraget inom de ramar som regering och riksdag har bestämt. De personer som kommittén har mött har varit väl insatta i sina respektive arbetsområden och de har presenterat och demonstrerat verksamheten på ett kunnigt och nyanserat sätt. Deras redogörelser har bl.a. innehållit beskrivningar av de svårigheter och brister som är inneslutna i verksamheten. Då arbetsmetoder beskrivits har kommittén ställt frågor om risker för integritetsintrång. Det sätt på vilket frågorna har besvarats har gett kommittén uppfattningen att integritetsfrågan har en naturlig plats i verksamheten och att tjänstemännen tar integritetsskyddsfrågor på allvar. Den integritetsskyddande delen av lagstiftningen har aldrig inför kommittén beskrivits som ett hinder i verksamheten utan som en förstärkt del av den utveckling som, oavsett den nya lagen, pågått inom FRA de senaste åren.
Verksamheten vid FRA bedrivs enligt kommittén på ett professionellt sätt. Utifrån de redogörelser som lämnats av FRA och kontrollorganen har kommittén fått uppfattningen att organisationen har genomtänkta rutiner och att åtgärder vidtas då brister uppmärksammas.
4.3.2. Behovet av teletrafik
Den signalspaning som FRA bedriver handlar ofta om att inom ramen för en inriktning och ett tillstånd förutse kommande skeenden eller följa pågående skeenden i omvärlden. Vidare arbetar myndigheten med att inom samma ram söka efter information gällande sådant som redan har hänt. Det ligger därför i sakens natur att tillgången till signaler, liksom inhämtningen av signaler, behöver omfatta en större mängd information än den som på förhand kan bedömas relevant. Kommittén konstaterar att detta innebär att även icke relevant information kan komma att inhämtas och lagras av FRA under viss tid,
men att denna informationen tas bort i så gott som samtliga fall innan någon människa tagit del av den.
4.3.3. Sammanfallande effektivitets- och integritetsintressen
En effektiv signalspaningsprocess strävar efter att begränsa underlaget till det som ur verksamhetsperspektiv utgör relevant information. FRA har därför intresse av att begränsa det inhämtade materialet till en hanterbar mängd information. Detta gör att kommittén fått uppfattningen att FRA saknar intresse av att inhämta mer trafik än vad som är nödvändigt för att utföra uppdraget. I detta avseende sammanfaller effektivitets- och integritetsskyddsintressena. Kommittén konstaterar att detta är ett förhållande som oavsett lagreglering ligger inbyggt i verksamheten och som gagnar integritetsskyddet. Att FRA har god förmåga att avskilja den tillåtna och relevanta trafiken i ett tidigt skede är således centralt för att integritetsintrången ska begränsas men också för att verksamheten ska vara framgångsrik.
4.3.4. Säkerhetsskyddet
De säkerhetssystem som FRA har byggt upp utgör en naturlig del av verksamheten och har främst varit föranledda av sekretesskraven, men har samtidigt en mycket viktig roll för skyddet av den personliga integriteten.
Det ligger i underrättelsetjänstens natur att upprätthålla en hög grad av säkerhet kring alla uppgifter i verksamheten. Den information som lämnats till kommittén tyder på att säkerhetsnivån är hög på FRA och att hantering som inte följer givna instruktioner har förutsättningar att upptäckas och beivras.
Den trådutbyggnad som för närvarande pågår förväntas innebära att en ökande mängd elektronisk kommunikation kommer att hanteras av FRA. Detta medför att FRA har ett ansvar för att det vidtas särskilda tekniska åtgärder för att åstadkomma erforderligt skydd för den inhämtade kommunikationen.
4.3.5. Avgränsning mellan underrättelseverksamhet och utvecklingsverksamhet
FRA bedriver underrättelseverksamhet och utvecklingsverksamhet. Underrättelseverksamhet bedrivs med syfte att producera underrättelserapporter till berörda myndigheter och inhämtning av signaler avser både meddelandeinnehållet och trafikdata, t.ex. information om mellan vilka viss kommunikation äger rum.
Utvecklingsverksamheten har två huvudsakliga syften. Det första är att optimera användningen av den befintliga förmågan att bedriva signalspaning och därigenom understödja den pågående underrättelseverksamheten. Det andra är att ta fram nya förmågor att signalspana och därigenom skapa tekniska och metodmässiga förutsättningar för framtida försvarsunderrättelseverksamhet. I utvecklingsverksamheten inhämtas signaler främst för att få tillgång till trafikdata.
Den inhämtning av signaler som sker för framtida metodutveckling handlar exempelvis om att FRA behöver skaffa sig förmåga att inhämta och bearbeta en ny typ av signal. För detta ändamål undersöker FRA hur signalen är uppbyggd och hur den ska kunna tas om hand. Inhämtning sker för att skaffa den mängd exempelmaterial som behövs för den tekniska analysen av signalen. Slutresultatet av detta arbete ger FRA förmåga att göra information som överförs med den nya typen av signal läsbar eller hörbar. Metoden kan innebära att icke-relevant trafik inhämtas och att tjänstemän under den tekniska underökningen av signalen kan läsa eller lyssna på meddelandeinnehållet. FRA har beskrivit att detta sker för att myndigheten med hjälp av den nya kunskapen framgent ska kunna göra ett urval utifrån innehållet i signalen och därigenom säkerställa att endast relevant trafik inhämtas. FRA har också förklarat att det vanligtvis endast krävs en liten mängd exempelmaterial, att detta material sällan är av relevans för försvarsunderrättelseuppdraget och att det är långt ifrån säkert att den personal som arbetar med denna typ av uppgifter förstår det aktuella språket.
Inom den utvecklingsverksamhet som sker i syfte att stödja den pågående underrättelseverksamheten inhämtas trafikdata men normalt inte meddelandeinnehåll. Utifrån bl.a. utseendet på inhämtad trafikdata blir det möjligt att ta ställning till om signalen bör inhämtas inom ramen för underrättelseverksamheten. I dessa sammanhang kan det ibland finnas anledning att använda uppgifter från utvecklingsverksamheten även inom underrättelseverksamheten. Möj-
ningen.
ligheten till sådan hantering ges under den i 1 kap. 6 § 4 p FRA-PuL angivna förutsättningen att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. I förarbetena till nämnd lag uttalade regeringen att det fick anses motiverat att använda de inhämtade uppgifterna i båda verksamheterna utifrån det förhållandet att utvecklingsverksamheten syftar till att möjliggöra underrättelseverksamheten.2 Utgångspunkten för nämnd hantering utgörs av den inriktning som regeringen, Regeringskansliet och Försvarsmakten angett för signalspa
Mot bakgrund av beskrivna förhållanden drar kommittén slutsatsen att delar av utvecklingsverksamheten utgör en direkt nödvändig förutsättning för att FRA ska kunna generera underrättelserapportering utifrån de ändamål som anges i lagen. Underrättelseverksamheten och utvecklingsverksamheten har således beröringspunkter och utgör inte två åtskilda delar av FRA:s verksamhet. Det har också framgått att de båda verksamheterna inte kan definieras utifrån inhämtning av meddelandeinnehåll respektive inhämtning av trafikdata eftersom sådan inhämtning förekommer i både underrättelseverksamheten respektive utvecklingsverksamheten. Syftet med inhämtningen skiljer sig dock åt.
Kommittén konstaterar också att det inte finns en allmänt gällande gräns för hur inhämtade personuppgifter används inom FRA eftersom uppgifter som inhämtats inom ramen för utvecklingsverksamheten kan komma att användas i underrättelseverksamheten. Skyddet för den enskildes integritet utgörs i dessa fall av att FRA jämlikt 1 kap. 6 § 4 p FRA-PuL prövar att uppgifterna används inom ramen för den inriktning som uppgifterna har samlats in. Siuns uppdrag gör det möjligt att följa upp FRA:s tillämpning i detta avseende.
4.4. Signalspaning och integritet
Kommitténs slutsatser och bedömningar:
-FRA:s inhämtning av signaler via tråd har under utredningstiden varit under uppbyggnad. Kommittén har därför främst följt FRA:s signalspaning via etern. Eftersom signalspaning i tråd förväntas innebär att FRA kommer att hantera ökade trafikvolymer anser kommittén att det framgent finns behov
2Personuppgiftsbehandling hos Försvarsmakten och Försvarets radioanstalt,prop. 2006/07:46 s. 68.
av att följa upp konsekvenserna för enskildas integritet av att FRA bedriver signalspaning i tråd. En sådan uppföljning inbegriper att studera effekterna av en förmodad ökning av trafikdatahanteringen samt av de säkerhetsmässiga åtgärderna kring inhämtad information. Uppföljningen bör ha ett nationellt perspektiv omfattande konsekvenserna för personer bosatta i Sverige.
-FRA utvecklar för närvarande konkreta verktyg för beslutsstöd gällande proportionalitetsbedömningar och etiska överväganden. Detta arbete tillsammans med insatser som främjar ett öppet diskussionsklimat kring bl.a. etiska frågor är enligt kommittén viktiga åtgärder vid sidan om lagstiftningen för att skapa ett robust integritetsskydd kring signalspaningsverksamheten. Hur dessa åtgärder utvecklas och vad de får för effekter bör framöver följas upp.
-FRA har utarbetat regelverk, rutiner och tekniska metoder utifrån signalspaningslagens bestämmelser om förbudet mot inhämtning av inhemsk trafik, sökbegreppsanvändningen och förstöringsskyldigheten. Enligt kommitténs bedömning avser åtgärderna att medföra att signalspaning bedrivs så att intrånget i den personliga integriteten minimeras. Kommittén anser att det finns ett särskilt behov av att FRA fortsätter utveckla metoder som så långt det är möjligt säkerställer att den inhemska trafiken inte inhämtas.
-Signalspaning kan innebära intrång i den personliga integriteten. Intrånget kan uppkomma då signalspaning möjliggörs genom att enskildas kommunikation överlämnas till en samverkanspunkt och när kommunikationen inhämtas av FRA. FRA ges därmed faktisk tillgång till trafiken. Personer bosatta i Sverige som kommunicerar över landets gräns berörs huvudsakligen av att dess kommunikation förs över till samverkanspunkterna. Den kommunikation som blir föremål för FRA:s inhämtning avser utländska förhållanden och omfattar i allt väsentligt trafik utan avsändare eller mottagare i Sverige. I vissa fall kan dock personer i Sverige som kommunicerar över landets gräns få uppgifter om sin kommunikation sparad som trafikdata.
4.4.1. Signalspaning i tråd
Signalspaning via tråd är en metod som i jämförelse med signalspaning via etern berör större kommunikationsmängder och fler människor utan anknytning till yttre hot mot svensk och internationell säkerhet. Det är framförallt det inledande skedet, då signaler görs tillgängliga för signalspaning, som berör ett stort antal människor.
FRA:s inhämtning av signaler via tråd avgränsas till vissa tillståndsgivna signalbärare. FRA har beskrivit att myndigheten av effektivitets- och kapacitetsskäl vid varje given tidpunkt endast inhämtar viss del av de frekvenser som används för att föra över trafik i tråd över Sveriges gränser. Detta innebär att FRA inhämtar mindre trafikvolymer än vad som omfattas av tillståndet och av vad som totalt förekommer i de tillståndsgivna signalbärarna. Utifrån ett integritetsskyddsperspektiv ser kommittén positivt på FRA:s förmåga att avgränsa inhämtningen till de delar av signalbäraren där man bedömer att den intressanta trafiken finns. Därigenom minskar risken för inhämtning av för verksamheten icke-relevanta meddelanden.
Kommittén har inte funnit anledning att betvivla FRA:s uppgifter avseende pågående och planerad inhämtning av signaler och inte heller myndighetens beskrivningar avseende inhämtad trafikmängd i förhållande till den mycket omfattande trafik som transporteras i internationella kablar. Som kommittén beskrivit tidigare har vi emellertid bristande bedömningsunderlag för att uttala oss om konsekvenserna för enskildas integritet av signalspaning i tråd. Trafikvolymerna är ännu inte av den omfattning att några för uppdraget relevanta bedömningar kan göras. Kommittén anser därför att det framgent bör göras en uppföljning av konsekvenserna för enskildas integritet av signalspaning i tråd. Denna bör innefatta hur FRA säkerhetsmässigt anpassar sin verksamhet till den ökade trafikmängden.
4.4.2. Trafikdata
Inhämtning av elektronisk kommunikation enligt signalspaningslagen innefattar både meddelandeinnehåll och trafikdata. Trafikdata utgörs av de uppgifter som beskriver hur, när och mellan vilka teleadresser kommunikationen äger rum, utan att beskriva innehållet i den överförda kommunikationen. Trafikdata i form av exempelvis IP-adresser, e-postadresser och telefonnummer inhämtas både i
underrättelseverksamheten och i utvecklingsverksamheten. Inhämtningen sker enligt signalspaningslagen.
Genom inhämtning och bearbetning av trafikdata är det möjligt för FRA att på kort tid skaffa sig en uppfattning om mellan vilka länder trafik förs på en viss signal utan att behöva undersöka innehållet i trafiken eller att behöva förstå språket. Trafikdata används också för att FRA ska kunna skapa sig en bild av hur personer som är intressanta ur ett underrättelseperspektiv kommunicerar samt för att snabbt kunna rekonstruera sambandsstrukturer och lokalisera avvikelser från normala trafikmönster.
Av 2 § 2 st förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet följer att trafikdata kan sparas i uppgiftssamlingar för råmaterial. Informationen i uppgiftssamlingar för råmaterial ska gallras inom ett år. Genom att inhämtad trafikdata lagras kan den ge information bakåt i tiden. Detta har FRA beskrivit som mycket viktigt för underrättelseverksamheten.
FRA:s behov av att använda trafikdata förväntas öka efterhand som kommunikationstekniken blir mer komplex och i takt med att de överförda informationsmängderna blir större i ett utbyggt system för signalspaning i tråd. Genom att trafikdata kan ge uppgifter som begränsar sökningarna till det som är relevant trafik ökar dess betydelse för hantering av stora trafikmängder. Användningen av trafikdata kan därför medföra att behovet av att inhämta och bearbeta meddelandeinnehåll begränsas.
Trafikdata kräver betydligt mindre datalagringsutrymme än meddelandeinnehåll och blir därför mer lätthanterlig. Vidare kräver inte trafikdata lika omfattande bearbetningsresurser som upptagningar eller uppteckningar. Trafikdata kan ge för uppdraget ”tillräcklig” information som kan rapporteras snabbt. Även av dessa skäl kommer trafikdata sannolikt få ökad betydelse framöver.
Trafikdata ger upplysningar om kommunikationen utan att ge information om innehållet i meddelandet. Därigenom kan inhämtningen av signaler med trafikdata sägas vara mindre integritetskänslig än den inhämtning som sker för att ta del av meddelandeinnehåll. Samtidigt berör inhämtning av trafikdata fler individer. Sökbegreppen för inhämtning av trafikdata är nämligen mindre specifika än de som används vid inhämtning av trafik med meddelandeinnehåll. Detta innebär att även för underrättelsesyftet icke relevant kommunikation kan komma att inhämtas av FRA och sparas i form av trafikdata. Detta gäller den kommunikation som transporteras i
de signalbärare som FRA bedriver inhämtning från och som bedömts innehålla för verksamheten intressant trafik. De personer som kommunicerar i de signalbärare som FRA bedriver inhämtning mot kan därigenom få uppgifter om sin kommunikation sparad hos FRA i form av trafikdata. Intrånget innefattar exempelvis att FRA får kunskap om att person med visst telefonnummer kommunicerar med annat telefonnummer och när detta sker.
Eftersom lagring av trafikdata kan innebära integritetsintrång finns det anledning att fortsätta att följa hur inhämtningen av trafikdata via tråd utvecklas. Eftersom denna del av verksamheten ännu befinner sig i sin linda är det svårt att göra en bedömning av omfattningen av FRA:s framtida trafikdatahantering. Kommittén menar att det blir viktigt att på några års sikt följa upp konsekvenserna för den personliga integriteten av en förmodad ökning av FRA:s trafikdatahantering. Detta bör främst ske ur perspektivet i vad mån de personer som är bosatta i Sverige och kommunicerar över rikets gräns kan få uppgifter om sin kommunikation inhämtad och sparad som trafikdata.
4.4.3. FRA:s övervägande gällande proportionalitet och etik
FRA bedömer proportionalitet i alla skeden från inhämtning av signaler till rapportering. I varje skede måste FRA väga in en mängd olika faktorer då myndigheten prövar om syftet med åtgärden väger tyngre än det intrång i den personliga integriteten som den kan innebära. Proportionalitetsbedömningar görs bl.a. utifrån lagen, de interna föreskrifterna och praxis.
Proportionalitetsbedömningar är allmänt sett svåra att göra och utgörs i huvudsak av etiska överväganden där olika värden ställs mot varandra. Dessa värden kan vara styrda av lag och andra normer. I viss mån innehåller FRA:s interna föreskrifter övergripande riktlinjer för prövning av proportionalitet. FRA har informerat kommittén om att bedömningarna görs av enskilda tjänstemän utifrån deras omdöme och erfarenhet. FRA har förklarat att det inte har gått att skapa en generell metod eller mall för proportionalitetsbedömningar eftersom uppkomna frågeställningar kan vara mycket skiftande. Ett förfarande som används är att hänskjuta svåra frågor till chefsnivå. FRA har också informerat om att det för närvarande utvecklas ett policyforum med uppgift bl.a. att skapa praxis kring hur vissa återkommande frågor ska bedömas.
FRA saknar myndighetsgemensamma metoder samt tydliga och konkreta riktlinjer för proportionalitetsbedömningar. Ansvaret för att göra bedömningar avseende olika aspekter på en åtgärd ligger till stor del på enskilda medarbetare. Kommittén anser att det finns behov av att utveckla beslutsstödet till tjänstemännen för att åstadkomma systematiska överväganden kring proportionalitet. Det arbete som har påbörjats med att systematisera och precisera myndighetens praxis kan enligt kommitténs uppfattning komma att utvecklas till ett viktigt beslutsstöd som förhindrar godtycklig tillämpning.
FRA bedriver en etiskt känslig verksamhet som kräver att personalen ges stöd för de etiska överväganden som kan uppkomma i olika delar av verksamheten. Myndigheten har arbetat fram föreskrifter och en etisk policy som stöd för sådana överväganden och personalen får undervisning om innehållet i dessa dokument. FRA har också upplyst om att det nyinrättade policyforumet kommer att hantera etikrelaterade frågor.
Kommittén konstaterar att FRA har gjort flera insatser under de senaste åren för att hantera de etiska problem som kan uppkomma i verksamheten. Det utvecklas också ständigt nytt material och nya arbetsformer som syftar till att ge personalen adekvat stöd kring etiska frågor. Etiska frågor kommer vid sidan av andra frågeställningar att hanteras i det nyinrättade policyforumet med representanter från olika delar av verksamheten. Hur denna verksamhet kommer att fungera i praktiken är det för tidigt att uttala sig om. Det är dock enligt kommitténs bedömning viktigt att policyforumet ges erforderlig kompetens för att hantera också de etiska frågorna.
Vid sidan om konkreta verktyg för bedömning är det också viktigt att det inom organisationen finns en ständigt pågående diskussion kring myndighetens etiska policy och vad denna innebär då den ska tillämpas i olika delar av verksamheten. Insatser som främjar ett öppet diskussionsklimat kring dessa frågor kan därför vid sidan av lagen och annan dokumentinriktad styrning ha viktig integritetsskyddande verkan.
Vidare krävs det återkommande utbildningsinsatser som är inriktade på metoder för etiska överväganden och proportionalitetsbedömningar. Detta är inte minst viktigt på grund av att det är en verksamhet som är svår att detaljreglera och därför delvis måste styras utifrån övergripande principer. Kommittén kan inte bedöma om pågående insatser av nämnt slag kommer att ge önskvärd integritetsskyddande effekt eller utgör adekvat stöd för handläggarna. Kom-
mittén anser att det framgent finns behov av att följa upp de åtgärder som vidtagits i detta avseende och bedöma metoderna och resultatet av detta arbete.
4.4.4. Inhämtning av signaler och integritetsskyddet i signalspaningslagen
FRA:s underrättelseverksamhet innefattar inhämtning av signaler, bearbetning och analys samt rapportering. Kommittén har framförallt följt inhämtningsfasen eftersom denna sker med utgångspunkt från signalspaningslagen och dess integritetsskyddande reglering. I signalspaningslagen är det främst tre bestämmelser som verkar integritetsskyddande vid inhämtning av signaler. Dessa är reglerna om att inhemsk trafik inte får inhämtas (2 och 2 a §§), att inhämtningen ska göras med hjälp av sökbegrepp som medför ett så begränsat integritetsintrång som möjligt (3 §) och att inhämtad trafik med visst innehåll omgående ska förstöras (7 §). Närmast redogörs för några av kommitténs slutsatser och bedömningar avseende hur FRA tillämpar dessa bestämmelser.
Inhemsk trafik
Inhämtning av signaler får inte avse inhemsk trafik. I den mån detta sker ska det inhämtade materialet förstöras så snart det står klart att sådana signaler har inhämtats. Som framgått av tidigare avsnitt har kommittén informerats om hur dessa regler tillämpas av FRA. Bland annat har FRA beskrivit att man är noga med att förhindra inhämtning av inhemsk trafik men att det gällande inhämtning som sker i det globala nätet finns praktiska svårigheter med att separera denna från den gränsöverskridande trafiken. Problemet bottnar i att moderna kommunikationstjänster inte följer nationsgränserna. Kommittén har informerat sig om vilka metoder FRA har utvecklat för att undvika inhämtning av inhemsk trafik och vilka metoder och rutiner som finns för hantering av felaktigt inhämtad trafik. Kommittén har också fått information om hur ofta FRA förstör material i enlighet med 2 a § signalspaningslagen. Utifrån dessa uppgifter har vi kunnat skapa oss en bild av FRA:s förmåga att förhindra inhämtning av inhemsk trafik.
I sammanhanget måste beaktas att de åtgärder som vidtas för att förhindra att inhemsk trafik inhämtas kan medföra att FRA går miste om tillåten gränsöverskridande trafik med underrättelsevärde. För att få till stånd en rimlig intresseavvägning gör FRA därför en löpande utvärdering av effekterna av de åtgärder som vidtas för att förhindra inhemsk inhämtning. Signalspaningslagen medger utrymme för sådan avvägning.
Eftersom bestämmelsen utgör ett från nationellt perspektiv centralt integritetsskydd anser kommittén att FRA måste vara inriktad mot att finna tekniska metoder som säkerställer att den inhemska trafiken skiljs bort innan den når FRA:s hantering för bearbetning och analys. Det innebär att informationen i första hand inte ska nå mänskligt öga eller öra och att bestämmelsen om förstöringsskyldighet endast undantagsvis ska behöva tillämpas. Utifrån de uppgifter som lämnats av FRA saknar kommittén anledning att anta annat än att FRA har nämnd utgångspunkt för sin tillämpning av bestämmelsen i 2 a § signalspaningslagen. Datainspektionen har i sin rapport gjort bedömningen att det finns behov av att förbättra metoderna för att urskilja inhemsk trafik med större noggrannhet. Kommittén anser också att FRA måste fortsätta utveckla metoder som så långt det är möjligt säkerställer att den inhemska trafiken inte inhämtas.
Sökbegrepp
Enligt signalspaningslagen ska sökbegrepp utformas och användas med respekt för enskildas integritet och så att signalspaning medför ett så begränsat integritetsintrång som möjligt. Därutöver gäller att sökbegrepp som är direkt hänförliga till en viss fysisk person endast får användas om det är av synnerlig vikt för verksamheten. FRA har beskrivit för kommittén att de sökbegrepp som används vid signalspaning i stor omfattning är direkt hänförliga till en viss fysisk person. Detta är den gängse metoden för signalspaning som har sin grund i att den kommunikation som FRA söker efter sker mellan individer. Utifrån denna information drar kommittén slutsatsen att det vid signalspaning är nödvändigt att använda sökbegrepp hänförliga till personer. Kommittén konstaterar därför att den enligt lag uttryckta mycket restriktiva möjligheten att använda sökbegrepp hänförliga till viss fysisk person inte motsvaras av de beskrivna förutsättningarna för att bedriva signalspaning.
Omfattande användning av sökbegrepp som är direkt hänförliga till fysisk person kan synas innebära risk för otillbörligt integritetsintrång. Samtidigt betyder det att inhämtningen av den ur underrättelsesynpunkt relevanta trafiken blir mer exakt och risken för att icke-relevant trafik kommer under bearbetning minimeras. Kommittén konstaterar därför att ett stort antal välmotiverade sökbegrepp, i jämförelse med mindre specifika sökbegrepp, kan medföra ett integritetsskydd för de personer vars kommunikation saknar betydelse för försvarsunderrättelseuppdraget.
Av lätt insedda skäl är FRA:s förmåga att utforma specifika sökbegrepp avgörande för vilken trafik som ska komma under bearbetning eller som ska väljas bort. Ur ett svenskt perspektiv är det därför viktigt att välavgränsade sökbegrepp används för att få relevanta träffar som kan avgränsa inhämtningen till de utländska förhållanden som uppdragsgivarna söker underrättelseinformation om.
FRA:s föreskrifter för sökbegreppens utformning och användning är utformade med utgångspunkt från signalspaningslagens regelverk. Utifrån integritetsskyddsintresset har kommittén informerat sig om det praktiska arbetet med sökbegreppens fastställande och hantering. Kommitténs har inte sett något som tyder på annat än att FRA har skapat rutiner som innebär att integritetsskyddsintresset beaktas. Till stöd för denna uppfattning ligger FRA:s presentationer och de uppgifter som Siun lämnat kring myndighetens sökbegreppsgranskning.
Förstöringsskyldighet enligt 7 § signalspaningslagen
7 § signalspaningslagen reglerar vilka typer av meddelanden som omfattas av FRA:s skyldighet att förstöra upptagning eller uppteckning av uppgifter. Bestämmelsen utgår från informationsinnehållet som avseende punkterna 2–4 är av förtrolig karaktär. Förstöringsskyldigheten aktualiseras främst i bearbetnings- och analysfasen.
De uppgifter som har lämnats till kommittén tyder på att det i huvudsak finns väl utarbetade föreskrifter och ändamålsenliga rutiner på FRA gällande förstöringsskyldigheten. Det finns dock enligt Datainspektionen fortfarande vissa praktiska tillämpningsproblem förenade med förstöringsskyldigheten3. Myndigheten har efter sin granskning påtalat att det finns behov av att utbilda och handleda personal
3 Rapport, Datainspektionens redovisning av regeringsuppdraget, Fö 2009/355/SUND 2010-12-06.
så att de använder rätt metod för att ta bort meddelanden som omfattas av 7 § 1 p signalspaningslagen. Detta för att säkerställa att informationen i dessa fall inte kan återskapas. Datainspektionen har också bedömt att det finns behov av utbildningsinsatser omfattande den geografiska räckvidden av förstöringsskyldigheten enligt 7 § 2–3 p signalspaningslagen. Vidare har Datainspektionen funnit behov av ytterligare kontroll och uppföljningsrutiner.
4.4.5. Konsekvenser för integriteten i olika faser av signalspaning
Med utgångspunkt från signalspaningslagen, beskrivna principer för verksamheten och vad kommittén nu kunnat ta del av gällande signalspaning i tråd sammanfattas i det följande kommitténs slutsatser av vad signalspaning allmänt sett kan innebära för enskildas personliga integritet i de olika faserna kring signalspaning.
Överföring och överlämning av signaler via tråd
I den första fasen möjliggörs signalspaning genom att trådägarna överför trafik till de s.k. samverkanspunkterna. Trafiken utgörs av utländsk och internationell kommunikation, däribland även trafik med avsändare och mottagare i Sverige. Alla vars kommunikation på detta sätt förs över Sveriges gränser berörs av det förhållandet att Sverige bedriver signalspaning. Integritetsintrånget handlar om att staten i en eller annan form bereds tillgång till kommunikation. Denna form av intrång berör även kommunikation utan koppling till ändamålet med signalspaning och omfattar betydligt fler personer än de som får sin kommunikation inhämtad av FRA för efterföljande bearbetning. All gränsöverskridande kommunikation som berörs av trådägarnas överlämnandeplikt riskerar att bli inhämtad, men oftast passerar trafiken samverkanspunkterna utan att bli föremål för inhämtning eller någon åtgärd.
Vad gäller personer som befinner sig i Sverige och som kommunicerar med utlandet är det främst dessa förberedande åtgärder för signalspaning som han eller hon berörs av. FRA har beskrivit hur endast en del av den trafik som överförs av trådägarna till samverkanspunkterna förs vidare till myndigheten via signalbärare. Kommittén konstaterar med utgångspunkt från dessa kvantitativa uppgifter att
sannolikheten är liten för att kommunikation som överförts till samverkanspunkterna i ett senare skede kommer att granskas av tjänstemän på FRA.
Inhämtning
I den senare fasen, när FRA inhämtar trafiken och gör ett urval i denna, är syftet att kommunikation med underrättelsevärde ska väljas ut. Detta avser att träffa de meddelanden som rör utländska förhållanden som är av intresse för underrättelseverksamheten.
Den trafik som går i de till FRA inkopplade signalbärarna och som träffas av sökbegrepp blir i någon mening utvald för vidare signalspaningshantering. Inhämtningen är automatiserad och kommunikationen blir inte tillgänglig för det mänskliga ögat eller örat under urvalsfasen.
Integritetsintrånget i denna fas kan bestå i att FRA använt sökbegrepp som är hänförliga till en viss person eller att kommunikationen undersöks antingen tekniskt eller innehållsmässigt. Vidare kan trafiken komma att lagras som trafikdata.
Personer i Sverige som kommunicerar via tråd över landets gräns kan beröras av att FRA inhämtar signaler via vissa signalbärare eller satellitlänk. Detta sker om deras kommunikation transporteras i samma signalbärare respektive satellitlänk som den underrättelsemässigt intressanta trafiken. FRA:s metod att med hjälp av sökbegrepp göra ett urval syftar till att undvika att icke relevant trafik inhämtas från signalbäraren eller länken och att övrig trafik passerar inhämtningssystemet.
Bearbetning och analys
I bearbetnings- och analysfasen har det rent faktiskt skett ett urval av kommunikation som FRA avser att ta del av genom att titta eller lyssna på innehållet. Den som får sin kommunikation rörande personliga förhållanden inhämtad av FRA och därefter avskiljd för bearbetning och analys utsätts för ett integritetsintrång vars omfattning är avhängigt innehållet i kommunikationen.
Då det gäller de personer som är intressanta för underrättelseverksamheten är det främst FRA:s bearbetning, analys och rapportering som utgör integritetskänsliga faser. Förekommer det inte-
gritetskänsliga uppgifter i kommunikationen måste intrånget i den personliga integriteten vägas mot värdet av uppgifterna för underrättelseverksamheten. I de fall kommunikationsinnehållet omfattas av förstöringsskyldighet enligt 7 § signalspaningslagen kommer hela upptagningen att förstöras.
Enligt de uppgifter som FRA har lämnat till kommittén är det endast i de fall då gränsöverskridande kommunikation rör utländska företeelser med underrättelsevärde som trafiken kommer under bearbetning och analys. Detta innebär att bearbetnings- och analysfasen endast undantagsvis berör personer som inte har koppling till den för försvarsunderrättelseverksamheten intressanta kommunikationen.
Kommittén har utifrån denna information dragit slutsatsen att bearbetnings- och analysfasen mycket sällan berör personer i Sverige, men i de fall då det finns en utländsk företeelse med koppling till Sverige kan kommunikation till eller från Sverige bearbetas och analyseras av FRA.
Rapportering
I den mån FRA:s rapporter innehåller uppgifter om fysisk person kan rapporteringen uppfattas som den mest integritetskänsliga delen i signalunderrättelsetjänstens arbete. Eftersom underrättelser enligt 8 § signalspaningslagen ska rapporteras till berörda myndigheter kan de få en vidare spridning än till den inriktande myndigheten. I dessa fall blir integritetsintrånget betydande för den enskilde. Rapporteringsfasen berör inte personer som saknar anknytning till de utländska företeelser som signalspaning får bedrivas mot.
4.5. Internationellt samarbete
Kommitténs slutsats och bedömning: Kommittén konstaterar
att FRA har rutiner och regelverk som syftar till att förhindra att uppgifter som lämnas till andra länder skadar svenska intressen samt att integritetsskyddsintressena beaktas. Kommittén anser att Siun har en viktig roll för att kontrollera att det internationella samarbetet bedrivs i enlighet med på försvarsunderrättelseområdet tillämpliga författningar och regeringsbeslut.
FRA får jämlikt bestämmelserna i 3 § försvarsunderrättelselagen och 9 § signalspaningslagen etablera och upprätthålla samarbete i underrättelsefrågor med andra länder och internationella organisationer. Begreppet samarbete innefattar bl.a. utbyte av underrättelseinformation. FRA får även enligt signalspaningslagen bedriva internationellt signalspaningssamarbete för sådan inhämtning som avser utvecklingsverksamheten enligt 1 § tredje stycket signalspaningslagen. FRA:s samarbete med utländska underrättelseorganisationer utgår jämlikt 3 § förordning (2000:131) om försvarsunderrättelseverksamhet från att det ska tjäna statsledningen och det svenska totalförsvaret och att det inte är till skada för svenska intressen.
FRA har beskrivit syftet med samverkan, inom vilka områden samverkan sker och samarbetets omfattning. Kommittén har vidare fått information om vilka bedömningsgrunder som styr FRA:s samverkan och hur FRA tillser att samverkan sker utifrån Sveriges behov och krav. Bland annat har framgått att FRA beaktar arten av information som lämnas ut, vad den kan komma att användas till och till vem den överlämnas. Det har också beskrivits att utlämnande av personuppgifter förutsätter väl genomförda etiska överväganden.
Utifrån lämnade beskrivningar konstaterar kommittén att FRA har rutiner och regelverk som syftar till att förhindra att uppgifter som lämnas till andra länder skadar svenska intressen och att integritetsintresset beaktas. Kommittén anser att Siun har en viktig roll för att kontrollera att FRA bedriver det internationella samarbetet i enlighet med på försvarsunderrättelseområdet tillämpliga författningar och regeringsbeslut.
4.6. Underrättelseskyldigheten
Kommitténs bedömning: Signalspaningslagens reglering om att
FRA är skyldigt att i vissa fall lämna underrättelse till enskilda personer är försedd med flera begränsningar och undantag som grundas i att uppgifter i verksamheten är omgärdad av sekretess. Eftersom underrättelseskyldigheten inte får någon rimligt praktisk funktion som rättssäkerhetsgaranti eller som ett skydd för enskildas integritet anser kommittén att signalspaningslagens bestämmelse om underrättelseskyldighet inte är ändamålsenlig. Den efterhandskontroll som Siun kan utföra på enskilds begäran är ägnad att på ett bättre sätt tillvarata integritets- och rättsäkerhetsintressena.
FRA:s underrättelseskyldighet regleras i 11 a § och 11 b § signalspaningslagen och utgör främst ett rättssäkerhetsskydd. Av bestämmelserna framgår följande. Om det vid signalspaning har använts sökbegrepp som är direkt hänförliga till en viss fysisk person ska personen underrättas om detta. En underrättelse ska lämnas så snart det kan ske utan men för försvarsunderrättelseverksamheten, dock senast en månad efter att det inhämtningsuppdrag som föranlett inhämtningen avslutades. En underrättelse får dock skjutas upp om sekretess hindrar att underrättelse lämnas. Har det på grund av sekretess inte kunnat lämnas någon underrättelse inom ett år från det att inhämtningsuppdraget avslutades, behöver någon underrättelse inte lämnas. Underrättelse ska inte heller lämnas om inhämtningen uteslutande avser främmande makts förhållanden eller förhållanden mellan främmande makter.
Vid sidan om underrättelseskyldigheten finns även en möjlighet för enskild person att via Siun få kontrollerat om hans eller hennes meddelande har inhämtats i samband med signalspaning (10 a § signalspaningslagen).
Underrättelseskyldigheten aktualiseras i de situationer då det vid signalspaning har använts sökbegrepp som är direkt hänförliga till en fysisk person. Syftet med bestämmelsen är att denna person ska få möjlighet att bedöma vilket integritetsintrång som han eller hon har varit föremål för.
Regleringen om underrättelseskyldighet är försedd med flera begränsningar och undantag. Sammantaget innebär undantagen för sekretess och den tidsbestämda uppgiftsskyldigheten att FRA har
en mycket begränsad underrättelseskyldighet. Det finns därför anledning att tro att underrättelser överhuvudtaget inte kommer att kunna lämnas av FRA. Vid utgången av 2010 hade FRA pga. sekretess inte i något fall lämnat underrättelse enligt 11 a § signalspaningslagen.
Den politiska överenskommelsen som träffades i september 2008 innebar bl.a. att en underrättelseskyldighet till enskild skulle införas i fråga om signalspaning. Kommittén menar att denna skyldighet inte är ändamålsenlig. Eftersom verksamheten vid FRA är omgärdad av omfattande sekretess får underrättelseskyldigheten ingen praktisk funktion som rättssäkerhetsgaranti eller som ett skydd för enskildas integritet. Kommittén anser att den efterhandskontroll som Siun utför på enskilds begäran utgör ett viktigare instrument eftersom denna innebär en granskningsmöjlighet från ett fristående och självständigt organ.
4.7. Tillstånds- och kontrollfunktionernas betydelse för integritetsskyddet
Kommitténs bedömning: Kommittén anser att Försvarsunder-
rättelsedomstolens och Siuns uppdrag är viktiga för att tillförsäkra att FRA bedriver signalspaning med erforderligt integritetsskydd. Detta är också centralt för att skapa förtroende för signalspaningsverksamheten. Kommittén anser att det är av särskild vikt att Siun ges tillräckliga resurser för att utföra sitt mycket omfattande uppdrag.
Det ingår inte i kommitténs uppdrag att granska Försvarsunderrättelsedomstolen eller kontrollorganen. Eftersom signalspaningslagens integritetsskyddande bestämmelser har stått i fokus för kommitténs utvärdering har vi dock funnit skäl att informera oss om Försvarsunderrättelsedomstolens och kontrollorganens roll för integritetsskyddet vid signalspaning. Detta har skett genom att respektive organ beskrivit sin verksamhet. Nedan följer kommitténs kommentarer gällande tillstånds- och kontrollfunktionerna.
4.7.1. Tillståndsgivning
Tillståndsförfarandet syftar till att ge garanti för att signalspaning bedrivs inom ramen för de ändamål och förutsättningar som gäller för verksamheten. Tillståndsprövningen görs av en domstol som är ett självständigt och oberoende organ. Bestämmelsen i 5 § signalspaningslagen innebär bl.a. att Försvarsunderrättelsedomstolen gör en behovs- och proportionalitetsbedömning innan tillstånd ges och inhämtningen kan inledas. Vidare sker prövningen av sökbegrepp ur ett integritetsskyddsperspektiv.
Försvarsunderrättelsedomstolen har beskrivit för kommittén hur man för närvarande bygger upp erfarenhet och skapar praxis utifrån de mål som domstolen handlagt sedan den 1 december 2009. Kommittén kan konstatera att bl.a. den proportionalitetsbedömning som ska göras kräver ingående kunskaper om signalspaningsmetodik och underrättelsetjänst. Detsamma gäller prövningen av vilka sökbegrepp eller kategorier av sökbegrepp och signalbärare som får användas vid signalspaning. Vidare krävs det att domstolen har ingående kunskaper om inriktningar och prioriteringar inom utrikes-, försvars- och säkerhetspolitiken. Denna sakkunskap utgör en viktig del då domstolsförfarandet ska säkerställa att det intrång i den personliga integriteten som signalspaning i vissa fall kan innebära endast sker för de ändamål som anges i 1 § signalspaningslagen. Enligt kommittén utgör detta ett viktigt integritetsskydd för personer som är bosatta i Sverige.
Ansökningsförfarandet i sig medför att FRA måste ta fram underlag om hur inhämtningen är avsedd att bedrivas. FRA måste även lyfta fram de motstående intressen som saken gäller och göra integritetsöverväganden i det inledande skedet av processen. Dessa uppgifter ligger till grund för Försvarsunderrättelsedomstolens bedömning avseende risken för integritetsintrång i det specifika fallet.
4.7.2. Kontroll
Då det gäller offentlig verksamhet som står utanför allmänhetens insyn utgör självständiga kontroll- och insynsorgan medborgarnas ögon och öron. Brist på insyn riskerar medföra misstankar om att verksamheten inte bedrivs på ett korrekt sätt.
En effektiv kontroll innebär att allmänheten ska kunna förlita sig på att det finns en tydlig procedur, att kontroll sker utifrån gällande
lagstiftning, att missbruk förhindras och att åtgärder vidtas om felaktigheter upptäcks.
Förekomsten av kontrollorgan inom försvarsunderrättelseverksamheten medför att verksamheten vid FRA kan utvecklas löpande och inte riskerar ett enkelriktat synsätt. En effektiv kontrollfunktion innebär också att det skapas förtroende för den verksamhet som är ställd under insyn. Därmed minskar risken för att myndigheten blir misstänkliggjord för oegentligheter endast på grund av sin slutenhet.
Under den period som kommittén verkat har vi kunnat följa hur de olika kontrollorganen successivt byggt upp sin kunskap och kompetens inom området signalspaning. Verksamheten vid FRA har genomlysts utifrån respektive organs uppdrag och granskningar har genomförts utifrån tydliga frågeställningar och syften.
Siuns löpande kontroll av hur FRA bedriver signalspaning är nödvändig för att tillförsäkra en god balans mellan integritetsskydd och behovet av en effektiv underrättelseverksamhet. Myndigheten har också vissa befogenheter att ingripa då regelverket inte följs. Syftet med regleringen är att säkerställa integritetsskyddet. Siuns uppdrag är dessutom mycket brett, vilket gör att alla integritetsskyddsperspektiv på verksamheten kan följas upp och kontrolleras.
Kommittén har alltsedan Siun bildades den 1 december 2009 informerats löpande om hur myndigheten som organisation har byggts upp för att ansvara för alla delar av uppdraget, hur arbetsformerna har tagits fram och utvecklats samt hur kontrollerna har genomförts. Kommittén ser det som viktigt att Siun fortlöpande utvecklas till ett effektivt kontrollorgan med de krav som lagstiftaren ställer. Siuns sammansättning av parlamentariker och juridiskt sakkunniga personer ger goda förutsättningar för detta.
Kommittén har kunnat konstatera att integritetsskyddsrådet, trots den organisatoriska tillhörigheten till FRA, är ett organ som verkar självständigt. Integritetsskyddsrådets arbete har bidragit till att FRA genomfört integritetsförbättrande åtgärder. Det har främst handlat om ändringar i föreskrifter och rutiner vilka har varit ägnade att ge bättre ”ordning och reda” i verksamheten. Även Datainspektionen har bedrivit ett sådant arbete på FRA.
Utifrån dessa konstateranden anser kommittén att Siun och integritetsskyddsrådet genom sina respektive uppdrag ger en samlad kontroll av signalspaningsverksamheten. Kommittén vill understryka vikten av att Siun ges tillräckliga resurser för att utföra sitt mycket omfattande uppdrag. Detta blir inte minst viktigt då signalspaning i
tråd förmodas medföra att större trafikvolymer kommer att hanteras av FRA.
Särskilt yttrande
Särskilt yttrande av Berit Andnor, Leif Jakobsson och Tommy Waidelich
Den 18 juni 2008 beslutade riksdagen om signalspaningslagen (lag 2008:717). Lagförslaget hade då varit vilandeförklarat i ett år efter det att den för första gången behandlades i riksdagen under våren 2007. Grunden för vilandeförklaringen var att förslaget påverkade de fri- och rättigheter som anges i regeringsformens 2 kap. och därmed omfattades av de bestämmelser om vilandeförklaring som återfinns i 2 kap. 12 §.
Under denna tid vare sig diskuterades eller föreslogs några förändringar av lagförslaget från den borgerliga regeringen. Inte heller togs några kontakter med oss socialdemokrater eller oppositionen i övrigt för att förbereda den kommande behandlingen i riksdagen av det vilandeförklarade lagförslaget.
Denna passivitet från regeringens sida innebar att behandlingen i riksdagen präglades av osäkerhet och resulterade i inom borgerligheten fortsatta överläggningar om kompletteringar av lagförslaget. Inte heller i detta skede togs kontakter från den borgerliga majoriteten med oss socialdemokrater eller oppositionen i övrigt för att diskutera lagförslaget. Regeringen valde således aktivt och tydligt att avstå från att söka en blocköverskridande överenskommelse. Enligt vår uppfattning var detta mycket olyckligt då det i frågor som rör personlig integritet och rikets säkerhet borde vara naturligt att söka så breda lösningar som möjligt.
Den slutliga utformningen av lagen om signalspaning innehöll en rad kompletteringar som arbetats fram för att tysta intern kritik. Ett av de kompromissbeslut som omgärdade signalspaningslagen var tillsättandet av signalspaningskommittén.
I en utredning där själva verksamheten som ska utredas, på mycket välgrundande skäl, är omgärdad av den största sekretess är det givet-
vis inte enkelt att formulera nödvändiga slutsatser och förslag på ett klokt och enkelt sätt. Detta uppdrag har heller inte underlättats av den debatt kring integritetsfrågor som föregick tillsättandet av kommittén.
Det har därför varit en komplex uppgift för oss i kommittén att slutföra utredningen med ett kvalitativt nöjaktigt innehåll. Tyvärr har förståelsen för denna komplexitet inte funnit hos regeringen. Vår uppfattning är att arbetet i kommittén inte har slutförts och hade därför gärna sett en förlängning av den tid vi har haft för arbetet, allt i syfte att säkra en så allsidig genomlysning som mjöligt och ett så kvalitativt resultat av vårt arbete som vi anser att både regering och allmänhet har rätt att kräva. Regeringen har dock valt att inte förlänga tiden och därmed kommitténs möjligheter att fullfölja det arbete vi enligt direktivet ska utföra. Sakläget är därför att vi är satta att bedöma konsekvenser för den enskildes integritet för signalspaning i kabel, en verksamhet som knappt är påbörjad och där den förmodade kommande volymen skapar helt andra villkor för arbetet att skydda integriteten än i den signalspaning som bedrivs i dag. Det säger sig självt att det inte går att bedriva ett seriöst utredningsarbete under sådana villkor.
Vår grundläggande kritik mot sättet att ta fram signalspaningslagen och det lappverk av olika kontrollåtgärder som blev resultatet kvarstår. Verksamheten är till sin natur sådan att det är ytterst svårt att lagstiftningsvägen reglera alla tänkbara situationer. En brist i signalspaningsverksamheten är att de parlamentariska insynsmöjligheterna inte är tillräckliga. En ökad insyn av lekmän kan aktivt bidra till att ge verksamheten ökad legitimitet. Det finns också fördelar i att ha en direkt koppling till företrädare för allmänintresset för kunskapsinhämtning och möjligheter att föra resonemang. Detta inte minst mot bakgrund av den tidigare offentliga debatt som förts kring signalspaningsfrågor. Därför vore det önskvärt med en kontinuerlig, parlamentarisk insyn i signalspaningen i stället för tillfälliga kommittéer för att klara för stunden besvärliga opinioner.
Berit Andnor Leif Jakobsson Tommy Waidelich
Kommittédirektiv
Uppföljning av lagen om signalspaning i försvarsunderrättelseverksamhet
Dir. 2009:10
Beslut vid regeringssammanträde den 12 februari 2009
Sammanfattning av uppdraget
En parlamentarisk kommitté ska följa signalspaningen vid Försvarets radioanstalt (FRA) i syfte att redovisa och bedöma verksamhetens konsekvenser för den enskildes integritet.
Kommittén ska göra en bedömning av huruvida FRA:s verksamhet bedrivs på ett etiskt riktigt sätt.
Kommittén ska inom sig utse ett integritetsombud med uppgift att vid den prövning som tillståndsmyndigheten ska göra enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet bevaka integriteten för personer i Sverige.
Kommitténs arbete ska resultera i en utvärdering av lagstiftningens konsekvenser för integritetsskyddet. Kommittén ska i denna utvärdering utgå från förutsättningen att signalspaning i eter och tråd är en nödvändig resurs för att förse Sverige med underrättelser om förhållanden av betydelse för utrikes-, säkerhets- och försvarspolitiken och för kartläggning av yttre hot mot landet. Vidare ska kommittén ha som utgångspunkt att tillgång till signaler som förmedlas i tråd är en nödvändighet för en effektiv signalspaning.
Kommittén ska fungera som referensgrupp till Datainspektionen i inspektionens uppgift att fram till kontrollstationen 2011 följa FRA:s verksamhet ur ett integritetsskyddsperspektiv med fokus på personuppgiftsbehandling.
Uppdraget ska redovisas senast den 6 december 2010.
Bakgrund
Lagen ( 2008:717 ) om signalspaning i försvarsunderrättelseverksamhet m.m.
Lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet trädde i kraft den 1 januari 2009. Lagen ger möjlighet för FRA att för försvarsunderrättelseändamål inhämta elektroniska signaler oavsett i vilket medium de förmedlas. I fråga om inhämtning av signaler i tråd förutsätter genomförandet av signalspaning att trådägande operatörer överför gränsöverskridande trafik till FRA. Denna skyldighet för operatörerna ska tillämpas första gången den 1 oktober 2009.
Genom den nya lagstiftningen regleras såväl den traditionella signalspaning i etern som FRA har bedrivit sedan myndighetens tillkomst 1942, som den inhämtning i tråd som lagen ger utrymme för. Signalspaning får bedrivas för försvarsunderrättelseändamål och för sådan teknik- och kompetensutveckling som är nödvändig för försvarsunderrättelseverksamheten. I lagen (2000:130) om försvarsunderrättelseverksamhet regleras försvarsunderrättelseverksamhetens uppgifter. Där framgår att försvarsunderrättelseverksamhet ska bedrivas till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för karläggning av yttre hot mot landet, samt att verksamheten endast få avse utländska förhållanden.
Signalspaning i försvarsunderrättelsesyfte får endast ske efter inriktning från regeringen eller en myndighet som regeringen bestämmer. FRA kan alltså inte på egen hand initiera signalspaning, utan är ett renodlat verkställande organ.
Inhämtning som sker i tråd får endast avse signaler som förs över Sveriges gräns. Sådan inhämtning ska dessutom alltid ske automatiserat med hjälp av sökbegrepp. Även vid automatiserad inhämtning i etern ska sökbegrepp användas. Det är följaktligen varken möjligt eller tillåtet att lagra all tillgänglig kommunikation utan urskiljning för senare bearbetning.
Sökbegreppen ska utformas och användas så att de medför ett så begränsat intrång som möjligt i den personliga integriteten. Sökbegreppen får inte vara direkt hänförliga till viss fysisk person såvida det inte är av synnerlig vikt för verksamheten. Syftet med verksamheten är att kartlägga företeelser av intresse för försvarsunderrättelseverksamheten, inte att kartlägga enskilda personers förehavanden.
För en myndighets närmare inriktning av signalspaning krävs tillstånd, om inte inriktningen har angetts av regeringen eller Regeringskansliet. Ett tillstånd får ges för högst sex månader, med möjlighet till förlängning.
Tillstånd får endast ges för en inriktning som är förenlig med lagen om försvarsunderrättelseverksamhet och om syftet med inriktningen väger klart tyngre än det integritetsintrång som inhämtning i enlighet med inriktningen kan innebära och detta syfte inte kan tillgodoses på ett mindre ingripande sätt. Tillstånd får inte lämnas om inriktningen endast avser en viss fysisk person. Särskilda bestämmelser reglerar tillståndsgivningen i brådskande fall.
Tillstånd lämnas av en fristående nämnd med domstolsliknande sammansättning. Ordföranden och vice ordföranden i nämnden ska vara eller ha varit ordinarie domare. Övriga ledamöter utses bland personer som föreslagits av partigrupperna i riksdagen.
I lagen finns uttryckliga bestämmelser om i vilken utsträckning inhämtad information inte får bli föremål för vidare behandling utan omgående ska förstöras. Förstöringsskyldigheten gäller sådan information som
berör viss fysisk person och saknar betydelse för verksamheten, avser uppgifter beträffande vilka tystnadsplikt gäller enligt tryckfrihetsförordningen eller som omfattas av förbudet att efterforska meddelare, eller omfattar samtal mellan en brottsmisstänkt och dennes försvarare.
Rapportering av uppgifter som berör viss fysisk person får bara avse förhållanden som är av betydelse för försvarsunderrättelseverksamheten. Någon möjlighet att vidarebefordra överskottsinformation finns följaktligen inte.
Försvarets underrättelsenämnd ska kontrollera efterlevnaden av lagen, särskilt sökbegreppen, förstöring av uppgifter och att rapportering inte sker av annat än vad som är tillåtet. Nämnden får besluta att viss inhämtning ska upphöra eller att inhämtade uppgifter ska förstöras, om det vid kontroll framkommer att inhämtningen inte är förenlig med lagen eller utgör ett intrång i enskildas rättigheter som inte står i rimlig proportion till syftet med verksamheten. Sådana beslut ska, fattas av ett särskilt beslutsorgan inom nämnden där ordföranden och vice ordföranden ska vara eller ha varit ordinarie domare.
Inom FRA finns det ett integritetsskyddsråd med uppgift att utöva fortlöpande insyn i de åtgärder som vidtas för att säkerställa integritetsskyddet i signalspaningsverksamheten. Rådets ledamöter utses av regeringen. Rådet ska rapportera sina iakttagelser till FRA:s ledning och, om rådet finner att det finns skäl för det, till Försvarets underrättelsenämnd.
I lagen (2003:389) om elektronisk kommunikation regleras hur FRA ska få tillgång till signaler i kabel. Det ska ske genom att de operatörer som äger kabel i viken signaler förs över Sveriges gräns ska överföra trafiken till samverkanspunkter, vid vilka FRA ansvarar för tekniken för åtkomst till signalerna.
Riksdagens tillkännagivande
I samband med riksdagens slutbehandling av regeringens proposition En anpassad försvarsunderrättelseverksamhet (prop. 2006/07:63, bet. 2007/08:FöU15, rskr. 2007/08:266) tillkännagav riksdagen som sin mening vad utskottet anfört om ytterligare rättssäkerhets- och kontrollmekanismer. I denna del anförde försvarsutskottet sammanfattningsvis följande (bet. 2007/08:FöU15 s. 2).
Utskottet anser att regeringen ska meddela närmare föreskrifter i förordningsform om ytterligare rättssäkerhets- och kontrollmekanismer när det gäller - en precisering av för vilka ändamål signalspaning ska få bedrivas inom ramen för den föreslagna lagstiftningen, - hur tillämpningen av tillståndsgivningen (inriktning, behov, proportionalitetsbedömning, uppdragsgivare och sökord) ska ske, - hur förstöring av uppgifter ska genomföras. Utskottet anser att lagen om signalspaning ska kompletteras på följande sätt: - att tillstånden enligt signalspaningslagen beslutas av en ny domstolsliknande nämnd, - att den domstolsliknande nämnden ska fatta beslut om tillstånd för användande av sökbegrepp hänförliga till fysiska personer, - att regeringen och Regeringskansliet ska ta integritetshänsyn vid sina beslut om inriktningen. Utskottet anser att regeringen senast under hösten 2008 ska återkomma med förslag till ändringar i signalspaningslagen i dessa delar. Därutöver ska regeringen - lämna årliga rapporter till riksdagen, - redovisa en kontrollstation 2011. Enligt utskottet ska vidare ett särskilt uppdrag lämnas till Datainspektionen om att fram till kontrollstationen 2011 följa FRA:s verk-
samhet ur ett integritetsskyddsperspektiv. Till Datainspektionen ska en särskild referensgrupp knytas, med personer som nomineras av riksdagspartierna. Regeringen ska också tillsätta en kommitté som utifrån ska följa FRA:s verksamhet generellt från ett integritetsperspektiv fram till kontrollstationen. Kommittén ska bestå av parlamentariker. Kommittén ska tillsätta ett integritetsombud, som har till uppgift att vid tillståndsprövningen bevaka integriteten för personer bosatta i Sverige.
Regeringen avser att meddela de föreskrifter i förordning som riksdagen har uttalat sig om och har påbörjat beredningen av de förslag till lagändringar som anges i tillkännagivandet. När det gäller lagändringarna samordnas arbetet med de förändringar av lagstiftningen som föranleds av den politiska överenskommelse som närmare redogörs för i det följande. Sammantaget kommer dessa lagändringar att innebära ytterligare påtagliga förstärkningar av integritetsskyddet vid signalspaning.
Dessa direktiv innebär att regeringen tillgodoser vad riksdagen anfört om en kommitté som ska följa FRA från ett integritetsperspektiv. Kommitténs arbete kommer också att utgöra underlag för kontrollstationen 2011.
Politisk överenskommelse
Under hösten 2008 har en överenskommelse träffats mellan regeringspartierna som innebär förändringar i förhållande till lagen och som innebär tillägg i förhållande till Riksdagens tillkännagivande (bet. 2007/08:FöU15) när propositionen slutbehandlades. Förändringarna medför bland annat att FRA endast kommer att få bedriva signalspaning efter inriktning av regeringen, Regeringskansliet och Försvarsmakten. Överenskommelsen innebär också att FRA ska ansöka om tillstånd för all signalspaning oavsett för vems behov verksamheten bedrivs. Några undantag från tillståndskravet kommer alltså inte att finnas. Tillstånd till signalspaning ska också prövas av domstol. Vidare anges i överenskommelsen att kontrollorganen vid kontrollstationen 2011 ska göra en bedömning av huruvida FRA:s verksamhet bedrivits på ett etiskt riktigt sätt.
Nytt förslag remissbehandlas
I Regeringskansliet har utarbetats departementspromemorian Förstärkt integritetsskydd vid signalspaning (Ds 2009:1). Promemorian remissbehandlas för närvarande. I promemorian föreslås ändringar i lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet, en ny lag om Försvarsunderrättelsedomstol och ändring i sekretesslagen (1980:100). Förslagen syftar till att förstärka integritetsskyddet vid signalspaning.
För att förtydliga syftet med signalspaningen föreslås att det i lagen närmare anges för vilka preciserade ändamål verksamheten får bedrivas. Vidare föreslås att endast regeringen, Regeringskansliet och Försvarsmakten ska få inrikta signalspaningen. Den begränsning av möjligheten till signalspaning som ligger i att trafik mellan avsändare och mottagare i Sverige inte får inhämtas tydliggörs.
När det gäller signaler i tråd föreslås att FRA endast ska få tillgång till sådana signalbärare som omfattas av tillstånd. Vidare ska tillståndsprövningen också omfatta den användning av sökbegrepp som aktualiseras vid inhämtningen. Frågan om tillstånd ska prövas av domstol efter ansökan från FRA.
Skyddet för sådan kommunikation som är särskilt känslig ur integritetssynpunkt förstärks genom att det föreslås en utvidgning av skyldigheten att förstöra inhämtad information till att gälla också uppgifter lämnade under bikt eller enskild själavård, såvida det inte finns synnerliga skäl att behandla uppgifterna för ändamål som anges i lagen.
I promemorian föreslås också förstärkningar av den enskildes tillgång till effektiva rättsmedel. En enskild beträffande vilken det vid signalspaning använts sökbegrepp som är direkt hänförliga till honom eller henne ska underrättas om detta, såvida inte sekretess gäller för uppgiften. Vidare ska enskilda ha rätt att till kontrollmyndigheten anmäla om de anser sig ha varit föremål för otillåten signalspaning. Kontrollmyndigheten ska då ha skyldighet att utreda detta.
I promemorian bedöms att förslagen kan träda i kraft den 1 oktober 2009.
Behovet av en uppföljning
Eftersom lagen om signalspaning i försvarsunderrättelseverksamhet dels innebär att signalspaningen för första gången lagregleras, dels för med sig konsekvenser för integritetsskyddet, är det viktigt att lagen följs upp och att dess konsekvenser analyseras noggrant. Det är också viktigt att största möjliga insyn ges i vilka effekter lagstiftningen har för enskilda personer i Sverige.
Självklart måste insynsintresset vägas mot att försvarsunderrättelseverksamheten till sin natur är sådan att mycket inte kan offentliggöras. Vid den avvägningen måste beaktas att röjande av uppgifter om verksamheten kan störa Sveriges relationer till andra länder samt riskera att skada vårt försvar och rikets säkerhet. Ett utlämnande av detaljer kring verksamheten innebär dock inte bara risker för verksamheten och det allmännas intressen. Det kan också innebära mycket konkreta risker för olika källor. Möjligheten att erbjuda insyn i verksamheten är följaktligen starkt begränsad. Det är mot denna bakgrund som försvarsunderrättelseverksamheten är föremål för särskild kontroll genom Försvarets underrättelsenämnd.
Behovet av att omgärda verksamheten med sekretess får emellertid inte hindra att så stor öppenhet som möjligt upprätthålls. I Sverige har det funnits en ambition att i så stor utsträckning som möjligt öppet redovisa de grundläggande principer som styr verksamheten. Detta har bl.a. tagit sig uttryck i en lagreglering av verksamheten genom lagen (2000:130) om försvarsunderrättelseverksamhet. Vidare finns regleringar av den behandling av personuppgifter som sker inom ramen för försvarsunderrättelseverksamheten.
Utöver den öppna redovisning som åstadkoms genom de grundläggande styrinstrumenten i form av lagstiftning, finns det också ett behov av att i den utsträckning det är möjligt också ge insyn i den faktiska verksamheten.
Riksdagen har tillkännagett att regeringen ska lämna årliga rapporter till riksdagen samt redovisa en kontrollstation 2011 (2007/08:FöU15 s. 16). För att säkerställa utvärderingens kvalitet är det väsentligt att det går att få underlag för utvärderingen genom en utomstående funktion med tydlig demokratisk förankring.
Det centrala intresse som bör stå i fokus för uppföljningen är hur tillämpningen av den nya lagstiftningen påverkar enskildas personliga integritet. I regelverket finns ett antal integritetsskyddsgarantier som syftar till att säkerställa en välbalanserad avvägning
mellan integritetsintresset och vikten av en effektiv försvarsunderrättelseverksamhet. Det är angeläget att utvärdera om avvägningen är rimlig samt om integritetsskyddsgarantierna fungerar på ett tillfredsställande sätt.
Uppdraget
Kommittén ska följa signalspaningen vid FRA i den utsträckning det är nödvändigt för att kunna redovisa och bedöma verksamhetens konsekvenser för den enskildes integritet.
Kommitténs arbete ska förutom verksamheten vid FRA också omfatta den tillståndsprövning som utförs av den nya myndighet som inrättas för detta syfte. I denna del ska kommittén följa hur integritetsskyddet för personer bosatta i Sverige säkerställs. I syfte att följa verksamheten vid tillståndsmyndigheten ska kommittén inom sig utse ett integritetsombud med rätt att närvara vid tillståndsprövningen hos myndigheten. Av den politiska överenskommelsen följer att tillståndsprövningen ska överföras till domstol. När denna förändring genomförs kommer kommitténs uppdrag inte längre att omfatta tillståndsprövningen.
Bedömningen av FRA:s verksamhet ska inte ske bara utifrån rättsliga aspekter utan också med utgångspunkt från om verksamheten bedrivs på ett etiskt riktigt sätt. Utredningen ska i det sammanhanget analysera vilka etiska problem som aktualiseras i verksamheten och bedöma om de rutiner som finns för att hantera sådana frågeställningar är tillräckliga.
Kommitténs arbete ska resultera i en utvärdering av lagstiftningens konsekvenser för integritetsskyddet. Kommittén ska i denna utvärdering utgå från förutsättningen att signalspaning i eter och tråd är en nödvändig resurs för att förse Sverige med underrättelser om förhållanden av betydelse för utrikes-, säkerhets- och försvarspolitiken och för kartläggning av yttre hot mot landet. Vidare ska kommittén ha som utgångspunkt att tillgång till signaler som förmedlas i tråd är en nödvändighet för en effektiv signalspaning.
Kommittén ska fungera som referensgrupp till Datainspektionen i inspektionens uppgift att fram till kontrollstationen 2011 följa FRA:s verksamhet ur ett integritetsskyddsperspektiv med fokus på personuppgiftsbehandling.
Uppdragets genomförande och redovisning
Uppdraget innebär att kommittén i stor utsträckning kommer i kontakt med uppgifter som är kringgärdade av sekretess. Behovet av sekretesskydd är särskilt starkt bl.a. när det gäller verksamhetens inriktning, metoder och skydd för källor. Det bör särskilt framhållas att det för Sverige viktiga underrättelseutbytet med andra länder bygger på ett förtroende som har etablerats under många års samarbete. Arbetet måste därför bedrivas och genomföras på ett sådant sätt att det inte påverkar den svenska försvarsunderrättelseverksamhetens förutsättningar att i dag och i framtiden arbeta för Sveriges bästa. Arbetet ska också i övrigt bedrivas så att det inte skadar Sveriges förbindelser med andra länder.
Regeringen förutsätter att berörda myndigheter kommer att bistå kommittén i dess utredningsuppdrag. Uppdraget får dock inte genomföras på ett sådant sätt att det hindrar det löpande arbetet vid myndigheterna.
Kommittén ska samråda med Datainspektionen och Försvarets underrättelsenämnd.
Kommittén avgör formerna för redovisning av uppdraget. Uppdraget ska redovisas senast den 6 december 2010.
(Försvarsdepartementet)
Lag (2000:130) om försvarsunderrättelseverksamhet
1 § Försvarsunderrättelseverksamhet skall bedrivas till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet. I verksamheten ingår att medverka i svenskt deltagande i internationellt säkerhetssamarbete. Försvarsunderrättelseverksamhet får endast avse utländska förhållanden.
Regeringen skall bestämma försvarsunderrättelseverksamhetens inriktning. Inom ramen för denna inriktning får de myndigheter som regeringen bestämmer ange en närmare inriktning av verksamheten.
Försvarsunderrättelseverksamhet skall bedrivas av den eller de myndigheter som regeringen bestämmer. Lag (2007:664).
2 § Verksamheten enligt 1 § skall fullgöras genom inhämtning, bearbetning och analys av information. Underrättelser skall rapporteras till berörda myndigheter.
I verksamheten används teknisk och personbaserad inhämtning. Vissa bestämmelser om teknisk inhämtning finns i lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet. Lag (2008:718).
3 § Den eller de myndigheter som skall bedriva försvarsunderrättelseverksamhet får, enligt regeringens närmare bestämmande, etablera och upprätthålla samarbete i underrättelsefrågor med andra länder och internationella organisationer. Lag (2007:664).
4 § Inom försvarsunderrättelseverksamheten får det inte vidtas åtgärder som syftar till att lösa uppgifter som enligt lagar eller andra föreskrifter ligger inom ramen för polisens och andra myndigheters brottsbekämpande och brottsförebyggande verksamhet.
Om det inte finns hinder enligt andra bestämmelser, får dock de myndigheter som bedriver försvarsunderrättelseverksamhet lämna
stöd till andra myndigheters brottsbekämpande och brottsförebyggande verksamhet. Lag (2007:664).
5 § Den myndighet som regeringen bestämmer skall kontrollera försvarsunderrättelseverksamheten. Lag (2007:664).
Lag (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde m.m.
1 § Denna lag gäller vid behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Personuppgiftslagen (1998:204) gäller inte vid sådan behandling av personuppgifter som anges i första stycket.
2 § Syftet med lagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter i
Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet.
Förhållandet till offentlighetsprincipen
3 § Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka Försvarets radioanstalts skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.
Definitioner
4 § I denna lag används följande beteckningar med nedan angiven betydelse.
Beteckning Betydelse Behandling (av personuppgifter) Varje åtgärd eller serie av åt-
gärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
Blockering (av personuppgifter)
En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.
Mottagare
Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut från Försvarets radioanstalt för att en annan myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte den myndigheten som mottagare.
Personuppgifter
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Personuppgiftsombud
Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
Den registrerade
Den som en personuppgift avser.
Tredje man
Någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter.
Uppgiftssamling
En samling med uppgifter som med hjälp av automatiserad behandling används gemensamt.
Personuppgiftsansvar
5 § Försvarets radioanstalt är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Grundläggande krav på behandling av personuppgifter
6 § Försvarets radioanstalt skall se till att
1. personuppgifter behandlas bara om det är lagligt,
2. personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,
3. personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,
4. personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,
5. de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,
6. inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,
7. de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella, och
8. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.
Uppgiftssamlingar
7 § I Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet får, under de förutsättningar som anges i denna lag, personuppgifter behandlas i uppgiftssamlingar.
Regeringen meddelar närmare föreskrifter eller beslut i enskilda fall om vilka uppgiftssamlingar som får finnas och vilka uppgifter som får behandlas i respektive samling.
När behandling av personuppgifter är tillåten
Försvarsunderrättelseverksamhet
8 § Personuppgifter får behandlas i Försvarets radioanstalts försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet.
Uppgifter om en person får endast behandlas om personen har anknytning till en preciserad inriktning för försvarsunderrättelseverksamheten och behandlingen är nödvändig för att fullfölja den inriktningen.
Utvecklingsverksamhet
9 § Personuppgifter får behandlas av Försvarets radioanstalt om det är nödvändigt för att
1. följa förändringar av signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, och
2. fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.
10 § Personuppgifter får behandlas av Försvarets radioanstalt om det är nödvändigt för att biträda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspaningssystem.
Oavsett vad som föreskrivs i denna lag om behandling av uppgifter för annat ändamål än det för vilka uppgifterna samlats in och utlämnande av uppgifter, får personuppgifter som behandlas med stöd av första stycket inte användas för andra ändamål eller lämnas ut i annat fall än som avses i 3 §.
Behandling av känsliga personuppgifter
11 § Personuppgifter får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.
Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som beskriver en persons utseende skall alltid utformas på ett objektivt sätt med respekt för människovärdet.
Vid sökning får personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv användas som sökbegrepp endast om det är absolut nödvändigt för syftet med behandlingen.
Behandling av personnummer
12 § Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till
1. ändamålet med behandlingen,
2. vikten av en säker identifiering, eller
3. något annat beaktansvärt skäl.
Behandling av personuppgifter i vissa fall
13 § Behandling som innebär inhämtning av uppgifter genom signalspaning, lagring av uppgifter som sker omedelbart därefter samt bearbetning av information i form av kryptoforcering och språklig översättning skall inte anses som oförenlig med bestämmelserna i 6 och 8–12 §§ i det skede av behandlingen då det ännu inte kunnat fastställas om informationen innehåller personuppgifter.
Utlämnande av personuppgifter på medium för automatiserad behandling
14 § Endast enstaka personuppgifter får lämnas ut på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att uppgifter får lämnas ut på sådant medium även i andra fall.
Direktåtkomst
15 § Regeringen meddelar föreskrifter om vilka myndigheter som får ha direktåtkomst till uppgiftssamlingar.
Regeringen, eller den myndighet som regeringen bestämmer, meddelar ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktåtkomsten.
Tillgången till personuppgifter
16 § Tillgången till personuppgifter skall alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Överföring av personuppgifter till andra länder
17 § Personuppgifter som behandlas med stöd av denna lag får föras över till andra länder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvarets radioanstalt skall kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall be-
slutat om att överföring får ske även i andra fall då det är nödvändigt för verksamheten vid Försvarets radioanstalt.
2 kap. Information till den enskilde, rättelse och skadestånd
Information till den enskilde
Information skall lämnas efter ansökan
1 § Försvarets radioanstalt är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om huruvida personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om
1. vilka uppgifter om den sökande som behandlas,
2. varifrån dessa uppgifter har hämtats,
3. ändamålen med behandlingen, och
4. till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.
En ansökan enligt första stycket skall göras skriftligen hos Försvarets radioanstalt och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.
2 § Information enligt 1 § behöver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Detta gäller dock inte om uppgifterna har lämnats ut till tredje man eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
Undantag från informationsskyldigheten vid sekretess
3 § Bestämmelserna i 1 § gäller inte i den utsträckning sekretess hindrar att uppgifterna lämnas ut till den registrerade.
Rättelse
4 § Försvarets radioanstalt är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen. Försvarets radioanstalt skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Skadestånd
5 § Staten skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats med stöd av lagen har orsakat.
Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om Försvarets radioanstalt visar att felet inte berodde på myndigheten.
3 kap. Säkerheten vid behandling
1 § Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller Försvarets radioanstalts ledning får behandla personuppgifter bara i enlighet med instruktioner från Försvarets radioanstalt.
Det ska finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för Försvarets radioanstalts räkning. I det avtalet ska det särskilt anges att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från Försvarets radioanstalt och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 2 § första stycket.
I fråga om sekretess och tystnadsplikt i det allmännas verksamhet tillämpas bestämmelserna i offentlighets- och sekretesslagen (2009:400) i stället för första stycket. Lag (2009:521).
2 § Försvarets radioanstalt skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
1. de tekniska möjligheter som finns,
2. vad det skulle kosta att genomföra åtgärderna,
3. de särskilda risker som finns med behandlingen av personuppgifterna, och
4. hur pass känsliga de behandlade personuppgifterna är. När Försvarets radioanstalt anlitar ett personuppgiftsbiträde, skall myndigheten förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.
4 kap. Personuppgiftsombud
1 § Försvarets radioanstalt skall utse ett eller flera personuppgiftsombud och anmäla dessa till den tillsynsmyndighet som avses i 5 kap. Även ett entledigande av ett personuppgiftsombud skall anmälas till tillsynsmyndigheten.
2 § Personuppgiftsombudet skall ha till uppgift att självständigt se till att Försvarets radioanstalt behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för myndigheten.
Har personuppgiftsombudet anledning att misstänka att Försvarets radioanstalt bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten.
Personuppgiftsombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.
3 § Personuppgiftsombudet skall föra en förteckning över de behandlingar som Försvarets radioanstalt genomför och som är helt eller delvis automatiserade.
Regeringen, eller den myndighet som regeringen bestämmer, meddelar föreskrifter om vad förteckningen skall innehålla.
4 § Personuppgiftsombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga.
5 kap. Tillsynsmyndigheten
1 § Den myndighet som regeringen bestämmer skall utöva tillsyn över Försvarets radioanstalts behandling av personuppgifter enligt denna lag.
2 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
1. tillgång till de personuppgifter som behandlas,
2. upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och
3. tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.
3 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse.
4 § Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas.
Beslut om utplånande får inte meddelas om det är oskäligt. Lag (2009:851).
6 kap. Övriga bestämmelser
Gallring
1 § Personuppgifter som behandlas automatiserat skall gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i enskilt fall beslutat att gallring skall ske senast vid viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Straff
2 § Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsamhet
1. lämnar osann uppgift i sådan information till registrerade som föreskrivs i 2 kap., i anmälan till tillsynsmyndigheten enligt 4 kap. 1 § eller till tillsynsmyndigheten när myndigheten begär information enligt 5 kap. 2 §, eller
2. behandlar personuppgifter i strid med 1 kap. 11 §. I ringa fall döms inte till ansvar.
Överklagande
3 § Försvarets radioanstalts beslut om information som skall lämnas enligt 2 kap. 1 § och om rättelse och underrättelse till tredje man enligt 2 kap. 4 § får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
1. Denna lag träder i kraft den 1 juli 2007.
2. Bestämmelserna i 1 kap. 6 § om grundläggande krav på behandling av personuppgifter och 1 kap. 11 § om behandling av känsliga personuppgifter skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den 24 oktober 1998 eller manuell behandling som utförs för ett visst bestämt ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.
3. Bestämmelserna i 2 kap. 5 § om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas äldre bestämmelser.
Lag (2008:717) om signalspaning i försvarsunderrättelseverksamhet
Signalspaningens omfattning
1 § I försvarsunderrättelseverksamhet enligt lagen (2000:130) om försvarsunderrättelseverksamhet får den myndighet som regeringen bestämmer (signalspaningsmyndigheten) inhämta signaler i elektronisk form vid signalspaning. Signalspaning i försvarsunderrättelseverksamhet får endast ske i de fall regeringen eller en myndighet som anges i 4 § närmare har bestämt inriktningen av signalspaningen.
Signalspaning i försvarsunderrättelseverksamhet får ske endast i syfte att kartlägga
1. yttre militära hot mot landet,
2. förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,
3. strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,
4. utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,
5. allvarliga yttre hot mot samhällets infrastrukturer,
6. konflikter utomlands med konsekvenser för internationell säkerhet,
7. främmande underrättelseverksamhet mot svenska intressen, eller
8. främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- eller försvarspolitik.
Om det är nödvändigt för försvarsunderrättelseverksamheten får signaler i elektronisk form inhämtas vid signalspaning även för att
1. följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, samt
2. fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamhet enligt denna lag. Lag (2009:967).
2 § Inhämtning som sker i tråd får endast avse signaler som förs över
Sveriges gräns i tråd som ägs av en operatör.
2 a § Inhämtning får inte avse signaler mellan en avsändare och mottagare som båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämtningen, ska upptagningen eller uppteckningen förstöras så snart det står klart att sådana signaler har inhämtats.
Första stycket tillämpas inte i fråga om signaler mellan sändare och mottagare på utländska statsfartyg, statsluftfartyg eller militära fordon. Lag (2009:967).
Sökbegrepp
3 § Inhämtning av signaler i tråd ska ske automatiserat. Sådan inhämtning får avse endast signaler som identifierats genom sökbegrepp. Även vid annan automatiserad inhämtning ska sökbegrepp användas för identifiering av signaler.
Sökbegreppen ska utformas och användas med respekt för enskildas personliga integritet och så att signalspaningen medför ett så begränsat integritetsintrång som möjligt. För sökbegrepp som är direkt hänförliga till en viss fysisk person gäller därutöver att de får användas endast om det är av synnerlig vikt för verksamheten. Lag (2009:967).
Inriktning
4 § I lagen (2000:130) om försvarsunderrättelseverksamhet finns bestämmelser om regeringens och myndigheters inriktning av sådan verksamhet. Inriktning av signalspaning får anges endast av regeringen, Regeringskansliet och Försvarsmakten.
Regeringen bestämmer inriktningen av den verksamhet som bedrivs enligt 1 § tredje stycket.
En inriktning av signalspaningen får inte avse endast en viss fysisk person. Lag (2009:967).
Tillstånd
4 a § Signalspaningsmyndigheten ska ansöka om tillstånd hos Försvarsunderrättelsedomstolen för signalspaning enligt 1 §. En sådan ansökan ska innehålla uppgifter om
1. det inhämtningsuppdrag som ansökan avser, med en närmare redogörelse för det behov som föranleder ansökan och uppgift om vilken inriktning uppdraget hänför sig till,
2. vilken eller vilka signalbärare avseende signaler i tråd som signalspaningsmyndigheten behöver ha tillgång till för att fullgöra uppdraget,
3. de sökbegrepp eller kategorier av sökbegrepp som är avsedda att användas vid inhämtningen,
4. vilken tid tillståndet ska gälla, och
5. de omständigheter i övrigt som myndigheten vill åberopa till stöd för sin ansökan. Lag (2009:967).
5 § Tillstånd för signalspaning enligt visst inhämtningsuppdrag får lämnas endast om
1. uppdraget är förenligt med lagen (2000:130) om försvarsunderrättelseverksamhet och denna lag,
2. syftet med inhämtningen inte kan tillgodoses på ett mindre ingripande sätt,
3. uppdraget beräknas ge information vars värde är klart större än det integritetsintrång som inhämtning i enlighet med ansökan kan innebära,
4. de sökbegrepp eller kategorier av sökbegrepp som är avsedda att användas är förenliga med 3 §, och
5. ansökan inte avser endast en viss fysisk person. Lag (2009:967).
5 a § I ett tillstånd ska anges
1. det inhämtningsuppdrag för vilket inhämtning får ske,
2. vilken eller vilka signalbärare avseende signaler i tråd som signalspaningsmyndigheten ska få tillgång till för att fullgöra uppdraget,
3. vilka sökbegrepp eller kategorier av sökbegrepp som får användas vid inhämtningen,
4. den tid som tillståndet avser, och
5. de villkor i övrigt som behövs för att begränsa intrånget i enskildas personliga integritet.
Ett tillstånd får ges för högst sex månader från dagen för beslutet och kan efter förnyad prövning förlängas med högst sex månader i taget.
Om det för fullgörande av inhämtningsuppdrag för vilket tillstånd givits uppstår behov av tillgång till ytterligare signalbärare eller användning av andra tillståndspliktiga sökbegrepp, ska särskilt tillstånd sökas. Vid ansökan och prövning gäller 4 och 5 §§ i tillämpliga delar. Ett sådant tillstånd ska ha samma varaktighet som tillståndet för det inhämtningsuppdrag inom vilket tillgång till signalerna behövs eller sökbegreppen är avsedda att användas. Lag (2009:967).
5 b § Om det kan befaras att inhämtande av Försvarsunderrättelsedomstolens tillstånd skulle medföra sådan fördröjning eller annan olägenhet som är av väsentlig betydelse för något av de i 1 § angivna syftena, får tillstånd till signalspaningen ges av den befattningshavare vid signalspaningsmyndigheten som regeringen föreskriver. Ett sådant tillstånd ska utformas i enlighet med 5 a §.
Har tillstånd lämnats enligt första stycket ska åtgärden genast anmälas skriftligen till Försvarsunderrättelsedomstolen. I anmälan ska skälen för åtgärden anges. Försvarsunderrättelsedomstolen ska skyndsamt pröva ärendet och, om den finner att det inte finns skäl för åtgärden, upphäva eller ändra beslutet. Om ett beslut enligt första stycket har upphört att gälla innan domstolen har prövat ärendet, ska signalspaningsmyndigheten anmäla åtgärden till kontrollmyndigheten.
Om Försvarsunderrättelsedomstolen upphäver eller ändrar ett beslut enligt första stycket ska upptagning eller uppteckning av uppgifter som redan inhämtats omgående förstöras i den utsträckning upptagningen eller uppteckningen kan hänföras till ändringen. Lag (2009:967).
6 § Bestämmelser om Försvarsunderrättelsedomstolen finns i lagen (2009:966) om Försvarsunderrättelsedomstol. Lag (2009:967).
Förstöringsskyldighet
7 § Upptagning eller uppteckning av uppgifter som inhämtats enligt denna lag ska omgående förstöras om innehållet
1. berör en viss fysisk person och har bedömts sakna betydelse för verksamhet som avses i 1 §,
2. avser uppgifter för vilka tystnadsplikt gäller enligt 3 kap. 3 § tryckfrihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 4 § tryckfrihetsförordningen eller 2 kap. 4 § yttrandefrihetsgrundlagen,
3. omfattar uppgifter i meddelanden som avses i 27 kap. 22 § rättegångsbalken, eller
4. avser uppgifter lämnade under bikt eller enskild själavård, såvida det inte finns synnerliga skäl att behandla uppgifterna för syften som anges i 1 § andra stycket. Lag (2009:967).
Rapportering
8 § Underrättelser med uppgifter som inhämtats enligt denna lag ska rapporteras till berörda myndigheter i enlighet med vad som föreskrivs i lagen (2000:130) om försvarsunderrättelseverksamhet. Om uppgifterna berör en viss fysisk person, får rapporteringen endast avse förhållanden som är av betydelse i de hänseenden som anges i 1 § den lagen. Lag (2009:967).
Internationellt samarbete
9 § I lagen (2000:130) om försvarsunderrättelseverksamhet finns bestämmelser om internationellt samarbete på försvarsunderrättelseområdet.
Signalspaningsmyndigheten får för den verksamhet som anges i 1 § tredje stycket, enligt regeringens närmare bestämmande, etablera och upprätthålla samarbete i signalspaningsfrågor med andra länder och internationella organisationer. Lag (2009:967).
Kontroll
10 § Den myndighet som regeringen bestämmer (kontrollmyndigheten) ska kontrollera att denna lag följs. Kontrollen ska särskilt avse granskning av sökbegrepp som avses i 3 §, förstöring av uppgifter som avses i 7 § samt rapportering enligt 8 §.
Myndigheten får besluta att viss inhämtning ska upphöra eller att upptagning eller uppteckning av inhämtade uppgifter ska förstöras, om det vid kontroll framkommer att inhämtningen inte är förenlig med tillstånd meddelat enligt denna lag.
Myndigheten ska ledas av en nämnd vars ledamöter utses av regeringen för en bestämd tid, minst fyra år. Ordföranden och vice ordföranden ska vara eller ha varit ordinarie domare. Övriga ledamöter ska utses bland personer som föreslagits av partigrupperna i riksdagen. Lag (2009:967).
10 a § Kontrollmyndigheten är skyldig att på begäran av en enskild kontrollera om hans eller hennes meddelanden har inhämtats i samband med signalspaning enligt denna lag och, om så är fallet, huruvida inhämtningen och behandlingen av inhämtade uppgifter har skett i enlighet med lag. Kontrollmyndigheten ska underrätta den enskilde om att kontrollen har utförts. Lag (2009:967).
11 § Inom signalspaningsmyndigheten ska det finnas ett råd med uppgift att utöva fortlöpande insyn i de åtgärder som vidtas för att säkerställa integritetsskyddet i signalspaningsverksamheten. Rådets ledamöter utses av regeringen för viss tid. Rådet ska rapportera sina iakttagelser till signalspaningsmyndighetens ledning och, om rådet finner att det finns skäl för det, till kontrollmyndigheten. Lag (2009:967).
Underrättelseskyldighet
11 a § Om det vid signalspaning enligt denna lag har använts sökbegrepp som är direkt hänförliga till en viss fysisk person, ska personen underrättas om detta, om inte annat följer av 11 b §. Underrättelsen ska innehålla uppgift om när inhämtningen skett och syftet med inhämtningen.
En underrättelse ska lämnas så snart det kan ske utan men för försvarsunderrättelseverksamheten, dock senast en månad efter att
det inhämtningsuppdrag som föranlett inhämtningen avslutades. Lag (2009:967).
11 b § Underrättelse enligt 11 a § får skjutas upp, om sekretess hindrar att underrättelsen lämnas. Har det på grund av sekretess inte kunnat lämnas någon underrättelse inom ett år från det att inhämtningsuppdraget avslutades, behöver någon underrättelse inte lämnas.
En underrättelse ska inte lämnas om inhämtningen uteslutande avser främmande makts förhållanden eller förhållanden mellan främmande makter. Lag (2009:967).
Övriga bestämmelser
12 § I lagen (2003:389) om elektronisk kommunikation finns bestämmelser om operatörers skyldighet att överföra signaler för att möjliggöra inhämtning enligt denna lag.
Endast kontrollmyndigheten ska ha rådighet över signalbärare innehållande sådana signaler som överförs i enlighet med de bestämmelser som avses i första stycket. Myndigheten ska ge signalspaningsmyndigheten tillgång till signalbärare endast i den utsträckning det följer av tillstånd enligt 5 a eller 5 b §. Lag (2009:967).
12 a § I lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet finns ytterligare bestämmelser om behandlingen av inhämtade personuppgifter. Lag (2009:967).
13 § Beslut enligt denna lag får inte överklagas.
1. Denna lag träder i kraft den 1 december 2009.
2. Verksamhet som vid ikraftträdandet bedrivs med stöd av tillstånd meddelade enligt äldre bestämmelser får bedrivas till dess att tiden för tillståndet löper ut.