Lag (2021:1172) om behand­ling av per­son­upp­gif­ter vid För­sva­rets radi­o­an­stalt

Utfär­dad:
Ikraft­trä­dan­de­da­tum:
Källa: Rege­rings­kans­li­ets rätts­da­ta­ba­ser m.fl.
SFS nr: 2021:1172
Depar­te­ment: För­svars­de­par­te­men­tet
Änd­ring införd: t.o.m. SFS 2024:426
Länk: Länk till regis­ter

SFS nr:

2021:1172
Depar­te­ment/myn­dig­het: För­svars­de­par­te­men­tet
Utfär­dad: 2021-​12-02
Änd­rad: t.o.m. SFS

2024:426
Änd­rings­re­gis­ter: SFSR (Rege­rings­kans­liet)
Källa: Full­text (Rege­rings­kans­liet)



1 kap. All­männa bestäm­mel­ser

Syf­tet med lagen

1 §   Syf­tet med denna lag är att säker­ställa att För­sva­rets radi­o­an­stalt kan behandla per­son­upp­gif­ter på ett ända­måls­en­ligt sätt och att skydda fysiska per­so­ners grund­läg­gande fri- och rät­tig­he­ter i sam­band med sådan behand­ling.

Lagens tillämp­nings­om­råde

2 §   Denna lag gäl­ler vid behand­ling av per­son­upp­gif­ter i För­sva­rets radi­o­an­stalts försvarsunderrättelse-​ och utveck­lings­verk­sam­het samt infor­ma­tions­sä­ker­hets­verk­sam­het.

3 §   Lagen gäl­ler vid sådan behand­ling av per­son­upp­gif­ter som är helt eller del­vis auto­ma­ti­se­rad. Den gäl­ler också per­son­upp­gif­ter som ingår i eller är avsedda att ingå i en struk­tu­re­rad sam­ling av per­son­upp­gif­ter som är till­gäng­liga för sök­ning eller sam­man­ställ­ning enligt sär­skilda kri­te­rier.

4 §   Vid behand­ling av per­son­upp­gif­ter enligt denna lag gäl­ler inte Euro­pa­par­la­men­tets och rådets för­ord­ning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska per­so­ner med avse­ende på behand­ling av per­son­upp­gif­ter och om det fria flö­det av sådana upp­gif­ter och om upp­hä­vande av direk­tiv 95/46/EG (all­män data­skydds­för­ord­ning) och inte hel­ler lagen (2018:218) med kom­plet­te­rande bestäm­mel­ser till EU:s data­skydds­för­ord­ning.

Ord och uttryck i lagen

5 §   I denna lag används föl­jande ord och uttryck.

Ord och uttryck            Betydelse
Behand­ling av
personuppgifter            En åtgärd eller en kombination av 
                        åtgärder som vidtas i fråga om 
                        personuppgifter eller uppsättningar av 
                        personuppgifter, oavsett om det görs 
                        automatiserat eller inte, t.ex. 
                        insamling, registrering, organisering, 
                        strukturering, lagring, bearbetning 
                        eller ändring, framtagning, läsning, 
                        användning, utlämnande, spridning eller 
                        tillhandahållande på annat sätt, 
                        justering, sammanföring, begränsning, 
                        radering eller förstöring.
Biometriska uppgifter   Personuppgifter som rör en persons 
                        fysiska, fysiologiska eller 
                        beteendemässiga kännetecken, som tagits 
                        fram genom särskild teknisk behandling 
                        och som möjliggör eller bekräftar 
                        identifiering av personen i fråga.
Dataskyddsombud            En fysisk person som utses av den 
                        personuppgiftsansvarige för att 
                        självständigt kontrollera att 
                        personuppgifter behandlas 
                        författningsenligt och på ett korrekt 
                        sätt.
Genetiska uppgifter    Personuppgifter som rör en persons 
                        nedärvda eller förvärvade genetiska 
                        kännetecken och som framför allt härrör 
                        från analys av ett spår av eller ett 
                        biologiskt prov från personen i fråga.
Mottagare            Den till vilken personuppgifter lämnas 
                        ut, med undantag av en myndighet som 
                        med stöd av författning utövar tillsyn, 
                        kontroll eller revision.
Personuppgift            Varje upplysning om en identifierad 
                        eller identifierbar fysisk person som 
                        är i livet.
Personuppgiftsansvarig    Den som ensam eller tillsammans med 
                        andra bestämmer ändamålen med och 
                        medlen för behandlingen av 
                        personuppgifter.
Personuppgiftsbiträde    Den som behandlar personuppgifter för 
                        den personuppgiftsansvariges räkning.
Registrerad            Den fysiska person som personuppgiften 
                        gäller.
Tredje part            Någon annan än 
                        - den registrerade, 
                        - den personuppgiftsansvarige, 
                        - dataskyddsombudet, 
                        - personuppgiftsbiträdet, och
                        - sådana personer som under den 
                        personuppgiftsansvariges eller 
                        personuppgiftsbiträdets direkta ansvar 
                        har rätt att behandla personuppgifter.
Uppgiftssamling            En samling med uppgifter som med hjälp 
                        av automatiserad behandling är 
                        gemensamt tillgängliga.
Per­son­upp­gifts­an­svar

6 §   För­sva­rets radi­o­an­stalt är per­son­upp­gifts­an­sva­rig för all behand­ling av per­son­upp­gif­ter som myn­dig­he­ten utför, som utförs under myn­dig­he­tens led­ning eller på dess väg­nar.


2 kap. Behand­ling av per­son­upp­gif­ter

Grund­läg­gande krav på behand­lingen

Krav på ända­mål

1 §   Per­son­upp­gif­ter får bara behand­las för sär­skilda, uttryck­ligt angivna och berät­ti­gade ända­mål.

Per­son­upp­gif­ter får inte behand­las för något ända­mål som är ofören­ligt med det ända­mål som de ursprung­li­gen behand­la­des för.

För­svars­un­der­rät­tel­se­verk­sam­het

2 §   Per­son­upp­gif­ter får behand­las i För­sva­rets radi­o­an­stalts för­svars­un­der­rät­tel­se­verk­sam­het om det är nöd­vän­digt för att bedriva den verk­sam­het som anges i lagen (2000:130) om för­svars­un­der­rät­tel­se­verk­sam­het och lagen (2008:717) om sig­nal­s­pa­ning i för­svars­un­der­rät­tel­se­verk­sam­het.

3 §   De per­son­upp­gif­ter som För­sva­rets radi­o­an­stalt har fått till­gång till i myn­dig­he­tens för­svars­un­der­rät­tel­se­verk­sam­het får fort­sätta behand­las i den verk­sam­he­ten, om det behövs för att full­göra den.

Första styc­ket gäl­ler endast om inte något annat föl­jer av denna lag eller en för­ord­ning som rege­ringen har med­de­lat i anslut­ning till lagen.

4 §   Per­son­upp­gif­ter som behand­las med stöd av 2 och 3 §§ får även behand­las om det är nöd­vän­digt för att till­han­da­hålla infor­ma­tion som behövs
   1. i verk­sam­het hos berörda myn­dig­he­ter som avses i 2 § första styc­ket lagen (2000:130) om för­svars­un­der­rät­tel­se­verk­sam­het,
   2. med anled­ning av sam­ar­bete med andra län­der och inter­na­tio­nella orga­ni­sa­tio­ner enligt lagen om för­svars­un­der­rät­tel­se­verk­sam­het och lagen (2008:717) om sig­nal­s­pa­ning i för­svars­un­der­rät­tel­se­verk­sam­het,
   3. i utveck­lings­verk­sam­he­ten för de ända­mål som anges i 5 §,
   4. i infor­ma­tions­sä­ker­hets­verk­sam­he­ten för de ända­mål som anges i 7 §, eller
   5. för att biträda andra myn­dig­he­ter i den utsträck­ning det föl­jer av lag eller för­ord­ning eller om rege­ringen har beslu­tat om det i ett enskilt fall.

Utveck­lings­verk­sam­het

5 §   Om det är nöd­vän­digt för för­svars­un­der­rät­tel­se­verk­sam­he­ten får För­sva­rets radi­o­an­stalt behandla per­son­upp­gif­ter för att
   1. följa för­änd­ringar i sig­nal­mil­jön i omvärl­den, den tek­niska utveck­lingen och sig­nal­skyd­det, och
   2. fort­lö­pande utveckla den tek­nik och meto­dik som behövs för att bedriva verk­sam­he­ten.

6 §   Per­son­upp­gif­ter som behand­las med stöd av 5 § får även behand­las om det är nöd­vän­digt för att till­han­da­hålla infor­ma­tion som behövs
   1. med anled­ning av sam­ver­kan med annan i fråga om utveck­lings­verk­sam­het,
   2. med anled­ning av sam­ar­bete om utveck­lings­verk­sam­het med andra län­der eller inter­na­tio­nella orga­ni­sa­tio­ner enligt lagen (2008:717) om sig­nal­s­pa­ning i för­svars­un­der­rät­tel­se­verk­sam­het,
   3. i för­svars­un­der­rät­tel­se­verk­sam­he­ten för de ända­mål som anges i 2 och 3 §§,
   4. i infor­ma­tions­sä­ker­hets­verk­sam­he­ten för de ända­mål som anges i 7 §, eller
   5. för att biträda andra myn­dig­he­ter i den utsträck­ning det föl­jer av lag eller för­ord­ning eller om rege­ringen har beslu­tat om det i ett enskilt fall.

Infor­ma­tions­sä­ker­hets­verk­sam­het

7 §   Per­son­upp­gif­ter får behand­las i För­sva­rets radi­o­an­stalts infor­ma­tions­sä­ker­hets­verk­sam­het om det är nöd­vän­digt för att kunna skydda den egna myn­dig­he­ten eller för att kunna stödja andra verk­sam­he­ter som är av bety­delse för Sve­ri­ges säker­het. Upp­gif­ten att lämna stöd till andra verk­sam­he­ter ska följa av lag eller för­ord­ning eller beslut av rege­ringen i ett enskilt fall.

8 §   Per­son­upp­gif­ter som behand­las med stöd av 7 § får även behand­las om det är nöd­vän­digt för att till­han­da­hålla infor­ma­tion som behövs
   1. i verk­sam­het hos den som tar emot upp­gif­ter om infor­ma­tions­sä­ker­het,
   2. med anled­ning av sam­ver­kan med andra som ver­kar på infor­ma­tions­sä­ker­hets­om­rå­det såväl inom som utom lan­det i den utsträck­ning det föl­jer av lag eller för­ord­ning eller om rege­ringen har beslu­tat om det i ett enskilt fall,
   3. i för­svars­un­der­rät­tel­se­verk­sam­he­ten för de ända­mål som anges i 1 § andra styc­ket 5 och 7 lagen (2008:717) om sig­nal­s­pa­ning i för­svars­un­der­rät­tel­se­verk­sam­het, eller
   4. i utveck­lings­verk­sam­he­ten för de ända­mål som anges i 5 §.

Övriga ända­mål

9 §   För­sva­rets radi­o­an­stalt får behandla per­son­upp­gif­ter som utgör all­mänt till­gäng­lig infor­ma­tion om det är nöd­vän­digt för den verk­sam­het som anges i 2, 5 och 7 §§.

10 §   För­sva­rets radi­o­an­stalt får behandla per­son­upp­gif­ter för veten­skap­liga, sta­tis­tiska eller histo­riska ända­mål inom denna lags tillämp­nings­om­råde.

För­fatt­nings­en­lig och kor­rekt behand­ling

11 §   Per­son­upp­gif­ter ska behand­las för­fatt­nings­en­ligt och på ett kor­rekt sätt.

Per­son­upp­gif­ter­nas kva­li­tet

12 §   Per­son­upp­gif­ter som behand­las ska vara rik­tiga och, om det är nöd­vän­digt, upp­da­te­rade. Per­son­upp­gif­terna ska vara ade­kvata och rele­vanta i för­hål­lande till ända­må­len med behand­lingen.

Upp­gif­ter som beskri­ver en per­sons utse­ende ska utfor­mas på ett objek­tivt sätt med respekt för män­ni­sko­vär­det.

Fler per­son­upp­gif­ter får inte behand­las än vad som är nöd­vän­digt med hän­syn till ända­må­len med behand­lingen.

Käns­liga per­son­upp­gif­ter

13 §   Per­son­upp­gif­ter som avslö­jar ras, etniskt ursprung, poli­tiska åsik­ter, reli­giös eller filo­so­fisk över­ty­gelse eller med­lem­skap i fack­för­e­ning eller som rör hälsa, sex­u­al­liv eller sex­u­ell lägg­ning får inte behand­las.

När per­son­upp­gif­ter behand­las får de dock kom­plet­te­ras med sådana upp­gif­ter som avses i första styc­ket, om det är abso­lut nöd­vän­digt med hän­syn till ända­må­len med behand­lingen.

14 §   Bio­met­riska upp­gif­ter får behand­las om det är abso­lut nöd­vän­digt med hän­syn till ända­må­len med behand­lingen.

Gene­tiska upp­gif­ter får inte behand­las.

15 §   Vid sök­ning får per­son­upp­gif­ter som avslö­jar ras, etniskt ursprung, poli­tiska åsik­ter, reli­giös eller filo­so­fisk över­ty­gelse eller med­lem­skap i fack­för­e­ning eller som rör hälsa, sex­u­al­liv eller sex­u­ell lägg­ning använ­das som sök­be­grepp om det är abso­lut nöd­vän­digt med hän­syn till ända­må­len med behand­lingen. Det­samma gäl­ler bio­met­riska upp­gif­ter.

Per­son­num­mer och sam­ord­nings­num­mer

16 §   Upp­gif­ter om per­son­num­mer eller sam­ord­nings­num­mer får behand­las bara när det är klart moti­ve­rat med hän­syn till
   1. ända­må­len med behand­lingen,
   2. vik­ten av en säker iden­ti­fi­e­ring, eller
   3. något annat beak­tans­värt skäl.

Om den regi­stre­rade har offent­lig­gjort per­son­upp­gif­terna

17 §   Trots 13, 14 och 16 §§ får andra per­son­upp­gif­ter än gene­tiska upp­gif­ter behand­las, om den regi­stre­rade på ett tyd­ligt sätt har offent­lig­gjort upp­gif­terna.

Behand­ling av per­son­upp­gif­ter i vissa fall

18 §   Han­te­ring av infor­ma­tion som inne­bär behand­ling av per­son­upp­gif­ter ska inte anses ofören­lig med bestäm­mel­serna i 1, 2, 5, 7, 9, 11-14 och 16 §§ i det skede av behand­lingen då det inte har kun­nat fast­stäl­las vilka per­son­upp­gif­ter som infor­ma­tio­nen inne­hål­ler.

Längsta tid som per­son­upp­gif­ter får behand­las

19 §   Per­son­upp­gif­ter får inte behand­las under längre tid än vad som behövs med hän­syn till ända­må­len med behand­lingen.

Rege­ringen eller den myn­dig­het som rege­ringen bestäm­mer kan med stöd av 8 kap. 7 § rege­rings­for­men med­dela före­skrif­ter om att per­son­upp­gif­ter får behand­las under endast viss tid eller fort­sätta behand­las för arkivän­da­mål av all­mänt intresse eller för veten­skap­liga, sta­tis­tiska eller histo­riska ända­mål.

Rege­ringen eller den myn­dig­het som rege­ringen bestäm­mer får också besluta om sådan behand­ling i ett enskilt fall.

Över­fö­ring av per­son­upp­gif­ter till en mot­ta­gare utom­lands

20 §   Per­son­upp­gif­ter som behand­las med stöd av denna lag får föras över till ett annat land eller en inter­na­tio­nell orga­ni­sa­tion endast om det är nöd­vän­digt för att För­sva­rets radi­o­an­stalt ska kunna full­göra sina upp­gif­ter inom ramen för det inter­na­tio­nella försvarsunderrättelse-​ och säker­hets­sam­ar­be­tet och
   1. över­fö­ringen rik­tas till en utländsk underrättelse-​ eller säker­hets­tjänst, eller ett underrättelse-​ eller säker­hets­or­gan i en inter­na­tio­nell orga­ni­sa­tion,
   2. sek­re­tess inte hind­rar en över­fö­ring,
   3. mot­ta­ga­ren garan­te­rar till­räck­ligt skydd för per­son­upp­gif­terna, och
   4. över­fö­ringen inte inne­bär ett opro­por­tio­ner­ligt intrång i den regi­stre­ra­des per­son­liga integri­tet.

Rege­ringen kan med stöd av 8 kap. 7 § rege­rings­for­men med­dela före­skrif­ter om att över­fö­ring får ske även i andra fall än som anges i första styc­ket 1.

Rege­ringen får också besluta om sådan över­fö­ring i ett enskilt fall. Lag (2024:426).

Utläm­nande av per­son­upp­gif­ter

21 §   Per­son­upp­gif­ter får läm­nas ut elektro­niskt på annat sätt än genom direktåt­komst om rege­ringen har med­de­lat före­skrif­ter om det eller beslu­tat om det i ett enskilt fall.


3 kap. Gemen­samt till­gäng­liga per­son­upp­gif­ter

Per­son­upp­gif­ter som får göras gemen­samt till­gäng­liga

1 §   Per­son­upp­gif­ter får göras gemen­samt till­gäng­liga och behand­las i upp­gifts­sam­lingar om det behövs för något av de ända­mål som anges i 2 kap. Med att göra per­son­upp­gif­ter gemen­samt till­gäng­liga avses inte att endast ett fåtal per­so­ner får till­gång till upp­gif­terna.

Rege­ringen eller den myn­dig­het som rege­ringen bestäm­mer kan med stöd av 8 kap. 7 § rege­rings­for­men med­dela före­skrif­ter om vilka upp­gifts­sam­lingar som får fin­nas och vilka upp­gif­ter som får behand­las i respek­tive upp­gifts­sam­ling.

Rege­ringen eller den myn­dig­het som rege­ringen bestäm­mer får också besluta om upp­gifts­sam­lingar i ett enskilt fall.

Direktåt­komst

För­svars­un­der­rät­tel­se­verk­sam­het

2 §   Säker­hetspo­li­sen och För­svars­mak­ten får med­ges direktåt­komst till per­son­upp­gif­ter som utgör ana­lys­re­sul­tat inom för­svars­un­der­rät­tel­se­verk­sam­he­ten och som finns i upp­gifts­sam­lingar.

Säker­hetspo­li­sen och För­svars­mak­ten har rätt att vid direktåt­komst ta del av de per­son­upp­gif­ter som omfat­tas av åtkoms­ten.

3 §   Om det behövs för sam­ar­be­tet mot ter­ro­rism eller för annat inter­na­tio­nellt säker­hets­sam­ar­bete, får en utländsk underrättelse-​ eller säker­hets­tjänst med­ges direktåt­komst till per­son­upp­gif­ter som behand­las med stöd av 2 kap. 2 § och som finns i upp­gifts­sam­lingar.

Första styc­ket gäl­ler enbart i den utsträck­ning som sådan direktåt­komst föl­jer av lag eller för­ord­ning eller om rege­ringen har beslu­tat om den i ett enskilt fall.

Infor­ma­tions­sä­ker­hets­verk­sam­het

4 §   Om det behövs för sam­ar­be­tet mot it-​relaterade hot mot sam­hällsvik­tiga system, får en utländsk orga­ni­sa­tion inom infor­ma­tions­sä­ker­hets­om­rå­det med­ges direktåt­komst till per­son­upp­gif­ter som behand­las med stöd av 2 kap. 7 § och som finns i upp­gifts­sam­lingar.

Första styc­ket gäl­ler enbart i den utsträck­ning som sådan direktåt­komst föl­jer av lag eller för­ord­ning eller om rege­ringen har beslu­tat om den i ett enskilt fall.

Direktåt­komst i andra fall

5 §   Rege­ringen kan med stöd av 8 kap. 7 § rege­rings­for­men med­dela före­skrif­ter om direktåt­komst till upp­gifts­sam­lingar i andra fall än de som anges i 2-4 §§.

Rege­ringen får också besluta om detta i ett enskilt fall.

Omfatt­ningen av direktåt­koms­ten

6 §   Rege­ringen eller den myn­dig­het som rege­ringen bestäm­mer kan med stöd av 8 kap. 7 § rege­rings­for­men med­dela före­skrif­ter om omfatt­ningen av direktåt­koms­ten och om behö­rig­het och säker­het vid sådan åtkomst.

Rege­ringen får också besluta om detta i ett enskilt fall.


4 kap. Skyl­dig­he­ter som per­son­upp­gifts­an­sva­rig

Åtgär­der för att säker­ställa för­fatt­nings­en­lig behand­ling

1 §   För­sva­rets radi­o­an­stalt ska, genom lämp­liga tek­niska och orga­ni­sa­to­riska åtgär­der, säker­ställa att behand­lingen av per­son­upp­gif­ter är för­fatt­nings­en­lig och att de regi­stre­ra­des rät­tig­he­ter skyd­das.

2 §   Till­gången till per­son­upp­gif­ter ska begrän­sas till vad var och en behö­ver för att kunna full­göra sina arbets­upp­gif­ter.

Säker­he­ten för per­son­upp­gif­ter

3 §   För­sva­rets radi­o­an­stalt ska vidta lämp­liga tek­niska och orga­ni­sa­to­riska åtgär­der för att skydda de per­son­upp­gif­ter som behand­las. Åtgär­derna ska sär­skilt avse skydd mot obe­hö­rig eller otillå­ten behand­ling eller för­stö­ring och mot för­lust eller annan oav­sikt­lig skada.

Data­skydds­om­bud

4 §   För­sva­rets radi­o­an­stalt ska inom myn­dig­he­ten utse ett eller flera data­skydds­om­bud och anmäla till till­syns­myn­dig­he­ten när data­skydds­om­bud utses och ent­le­di­gas.

5 §   Ett data­skydds­om­bud ska
   1. själv­stän­digt kon­trol­lera att För­sva­rets radi­o­an­stalt behand­lar per­son­upp­gif­ter för­fatt­nings­en­ligt och på ett kor­rekt sätt och i övrigt full­gör sina skyl­dig­he­ter,
   2. infor­mera och ge råd till För­sva­rets radi­o­an­stalt och till dem som behand­lar per­son­upp­gif­ter under myn­dig­he­tens led­ning om deras skyl­dig­he­ter vid behand­ling av per­son­upp­gif­ter,
   3. vara kon­takt­punkt för enskilda i frå­gor som rör För­sva­rets radi­o­an­stalts behand­ling av per­son­upp­gif­ter, och
   4. vid behov söka väg­led­ning av till­syns­myn­dig­he­ten.

Per­son­upp­gifts­bi­trä­den

6 §   För­sva­rets radi­o­an­stalt får, om det är lämp­ligt, anlita per­son­upp­gifts­bi­trä­den för behand­ling av per­son­upp­gif­ter på För­sva­rets radi­o­an­stalts väg­nar. Innan ett per­son­upp­gifts­bi­träde anli­tas, ska För­sva­rets radi­o­an­stalt för­säkra sig om att biträ­det kom­mer att vidta de lämp­liga tek­niska och orga­ni­sa­to­riska åtgär­der som krävs för att behand­lingen av per­son­upp­gif­ter ska vara för­fatt­nings­en­lig och för att skydda regi­stre­ra­des rät­tig­he­ter.

7 §   Per­son­upp­gifts­bi­trä­dets behand­ling av per­son­upp­gif­ter ska regle­ras i ett skrift­ligt avtal eller annan skrift­lig över­ens­kom­melse.

8 §   Ett per­son­upp­gifts­bi­träde får inte anlita ett annat per­son­upp­gifts­bi­träde utan skrift­ligt till­stånd av För­sva­rets radi­o­an­stalt.

9 §   Ett per­son­upp­gifts­bi­träde eller den eller de per­so­ner som arbe­tar under biträ­dets eller För­sva­rets radi­o­an­stalts led­ning ska behandla per­son­upp­gif­ter i enlig­het med instruk­tio­ner från För­sva­rets radi­o­an­stalt.

Om ett per­son­upp­gifts­bi­träde, i strid med För­sva­rets radi­o­an­stalts instruk­tio­ner, bestäm­mer ända­må­len med och med­len för behand­lingen, ska biträ­det anses vara per­son­upp­gifts­an­sva­rig enligt denna lag för den behand­lingen.

10 §   För­sva­rets radi­o­an­stalts skyl­dig­he­ter enligt 2 och 3 §§ gäl­ler även för per­son­upp­gifts­bi­trä­den som För­sva­rets radi­o­an­stalt anli­tar.


5 kap. Enskil­das rät­tig­he­ter

Rät­ten till infor­ma­tion

All­män infor­ma­tion

1 §   För­sva­rets radi­o­an­stalt ska göra föl­jande infor­ma­tion all­mänt till­gäng­lig:
   1. myn­dig­he­tens iden­ti­tet och kon­takt­upp­gif­ter,
   2. upp­gif­ter om data­skydds­om­bu­det,
   3. kate­go­rier av ända­må­len med behand­lingen av per­son­upp­gif­ter,
   4. rät­ten enligt 2 § att begära att få infor­ma­tion om behand­lingen av per­son­upp­gif­ter och att få del av dem, och
   5. rät­ten att begära rät­telse, rade­ring eller begräns­ning av behand­lingen enligt 5 §.

Infor­ma­tion som ska läm­nas efter begä­ran

2 §   För­sva­rets radi­o­an­stalt är skyl­dig att en gång per kalen­derår till den som begär det lämna skrift­ligt besked om huruvida per­son­upp­gif­ter som rör honom eller henne behand­las. Om sådana upp­gif­ter behand­las ska sökan­den få del av dem och få föl­jande skrift­liga infor­ma­tion:
   1. vilka per­son­upp­gif­ter om den sökande som behand­las,
   2. var­i­från per­son­upp­gif­terna kom­mer,
   3. ända­må­len med behand­lingen,
   4. mot­ta­gare eller kate­go­rier av mot­ta­gare av per­son­upp­gif­terna, även i annat land eller inter­na­tio­nella orga­ni­sa­tio­ner,
   5. hur länge per­son­upp­gif­terna får behand­las eller, om det inte är möj­ligt att ange, kri­te­ri­erna för att fast­ställa det, och
   6. rät­ten att begära rät­telse, rade­ring eller begräns­ning av behand­lingen enligt 5 §.

Ett utläm­nande av per­son­upp­gif­ter enligt första styc­ket behö­ver inte omfatta sådana per­son­upp­gif­ter som sökan­den har tagit del av, om inte han eller hon begär det. Det ska dock framgå av infor­ma­tio­nen att per­son­upp­gif­terna i fråga behand­las.

En ansö­kan om infor­ma­tion enligt första styc­ket ska göras skrift­li­gen hos För­sva­rets radi­o­an­stalt och vara under­teck­nad av den sökande själv. Infor­ma­tio­nen ska läm­nas inom en månad från det att ansö­kan gjor­des. Om det finns sär­skilda skäl för det, får infor­ma­tion dock läm­nas senast fyra måna­der efter det att ansö­kan gjor­des.

Begräns­ning av rät­ten till infor­ma­tion

3 §   Infor­ma­tions­skyl­dig­he­ten enligt 2 § gäl­ler inte i den utsträck­ning sek­re­tess hind­rar att upp­gif­terna läm­nas ut.

Om det gäl­ler sek­re­tess är För­sva­rets radi­o­an­stalt inte skyl­dig att redo­visa skä­len för ett beslut enligt första styc­ket eller ett beslut i fråga om rät­telse, rade­ring eller begräns­ning av behand­lingen enligt 5 §.

4 §   Infor­ma­tions­skyl­dig­he­ten enligt 2 § gäl­ler inte per­son­upp­gif­ter i löpande text som inte fått sin slut­liga utform­ning när begä­ran gjor­des eller som utgör en min­ne­san­teck­ning eller lik­nande.

Infor­ma­tions­skyl­dig­he­ten gäl­ler dock om upp­gif­terna
   1. har läm­nats ut till tredje part, med undan­tag för en myn­dig­het som med stöd av för­fatt­ning utö­var till­syn, kon­troll eller revi­sion,
   2. behand­las enbart för sta­tis­tiska ända­mål eller arkivän­da­mål av all­mänt intresse, eller
   3. har behand­lats under längre tid än ett år i löpande text som inte har fått sin slut­liga utform­ning.

Rät­ten till rät­telse, rade­ring och begräns­ning av behand­lingen

5 §   För­sva­rets radi­o­an­stalt ska på begä­ran av den regi­stre­rade sna­rast rätta, radera eller begränsa behand­lingen av sådana per­son­upp­gif­ter som inte har behand­lats i enlig­het med denna lag eller före­skrif­ter som har med­de­lats med stöd av lagen.

Om upp­gif­terna har läm­nats ut till tredje part ska denne under­rät­tas om en åtgärd enligt första styc­ket, om den regi­stre­rade begär det eller om en mera bety­dande skada eller olä­gen­het för den regi­stre­rade skulle kunna und­vi­kas genom en under­rät­telse.

Någon under­rät­telse behö­ver dock inte läm­nas, om sek­re­tess hind­rar det eller detta är omöj­ligt eller skulle inne­bära en opro­por­tio­ner­ligt stor arbetsin­sats.

Avgifts­fri infor­ma­tion

6 §   Infor­ma­tion enligt 1 § och infor­ma­tion och upp­gif­ter enligt 2 § ska läm­nas utan avgift.


6 kap. Till­syn

Till­syn över per­son­upp­gifts­be­hand­lingen

1 §   Den myn­dig­het som rege­ringen bestäm­mer utö­var till­syn över För­sva­rets radi­o­an­stalts behand­ling av per­son­upp­gif­ter enligt denna lag, enligt före­skrif­ter som har med­de­lats i anslut­ning till lagen och enligt beslut med stöd av lagen.

Till­syns­myn­dig­he­ten ska, när det är moti­ve­rat, ge råd och stöd till För­sva­rets radi­o­an­stalt och per­son­upp­gifts­bi­trä­den i frå­gor som gäl­ler deras skyl­dig­he­ter enligt lag eller annan för­fatt­ning.

2 §   I lagen (2008:717) om sig­nal­s­pa­ning i för­svars­un­der­rät­tel­se­verk­sam­het finns det sär­skilda bestäm­mel­ser om kon­troll som rör För­sva­rets radi­o­an­stalts behand­ling av per­son­upp­gif­ter i försvarsunderrättelse-​ och utveck­lings­verk­sam­he­ten.

Till­syns­myn­dig­he­tens befo­gen­he­ter

Under­sök­nings­be­fo­gen­he­ter

3 §   Till­syns­myn­dig­he­ten har rätt att av För­sva­rets radi­o­an­stalt eller av ett per­son­upp­gifts­bi­träde på begä­ran få
   1. till­gång till per­son­upp­gif­ter som behand­las,
   2. upp­lys­ningar om och doku­men­ta­tion av behand­lingen av per­son­upp­gif­ter och säkerhets-​ och skydds­åt­gär­der,
   3. till­träde till sådana loka­ler som har anknyt­ning till behand­ling av per­son­upp­gif­ter och till­gång till utrust­ning och andra medel för behand­ling av per­son­upp­gif­ter, och
   4. den hjälp och annan infor­ma­tion som behövs för till­sy­nen.

Före­byg­gande befo­gen­he­ter

4 §   Om till­syns­myn­dig­he­ten bedö­mer att det finns risk för att per­son­upp­gif­ter kan komma att behand­las i strid med lag eller annan för­fatt­ning, ska myn­dig­he­ten genom råd, rekom­men­da­tio­ner eller påpe­kan­den för­söka förmå För­sva­rets radi­o­an­stalt eller per­son­upp­gifts­bi­trä­det att vidta åtgär­der för att mot­verka den ris­ken.

Till­syns­myn­dig­he­ten får besluta om en skrift­lig var­ning, om en pla­ne­rad behand­ling av per­son­upp­gif­ter ris­ke­rar att strida mot lag eller annan för­fatt­ning. Det­samma gäl­ler om en pågående behand­ling ris­ke­rar att strida mot lag eller annan för­fatt­ning.

Kor­ri­ge­rande befo­gen­he­ter

5 §   Om till­syns­myn­dig­he­ten kon­sta­te­rar att per­son­upp­gif­ter behand­las i strid med lag eller annan för­fatt­ning, eller att För­sva­rets radi­o­an­stalt eller ett per­son­upp­gifts­bi­träde på annat sätt inte full­gör sina skyl­dig­he­ter, får till­syns­myn­dig­he­ten
   1. genom sådana åtgär­der som anges i 4 § första styc­ket för­söka förmå För­sva­rets radi­o­an­stalt eller per­son­upp­gifts­bi­trä­det att vidta åtgär­der för att behand­lingen ska bli för­fatt­nings­en­lig eller för att full­göra andra skyl­dig­he­ter, eller
   2. besluta att före­lägga För­sva­rets radi­o­an­stalt eller per­son­upp­gifts­bi­trä­det att vidta åtgär­der för att behand­lingen ska bli för­fatt­nings­en­lig eller för att full­göra andra skyl­dig­he­ter.

Av ett beslut om före­läg­gande ska det framgå när före­läg­gan­det senast ska ha följts och, om det är lämp­ligt, vilka åtgär­der som ska vid­tas.


7 kap. Ska­de­stånd och över­kla­gande

Ska­de­stånd

1 §   Den per­son­upp­gifts­an­sva­rige ska ersätta den regi­stre­rade för den skada och kränk­ning av den per­son­liga integri­te­ten som orsa­kats av behand­ling av per­son­upp­gif­ter i strid med denna lag, före­skrif­ter som har med­de­lats i anslut­ning till lagen eller beslut med stöd av lagen.

Ersätt­nings­skyl­dig­he­ten kan, i den utsträck­ning det är skä­ligt, jäm­kas om den per­son­upp­gifts­an­sva­rige visar att felet inte berodde på denne.

Över­kla­gande

Över­kla­gande av För­sva­rets radi­o­an­stalts beslut

2 §   För­sva­rets radi­o­an­stalts beslut enligt 5 kap. 2 § att inte lämna infor­ma­tion och beslut enligt 5 kap. 5 § i fråga om rät­telse, rade­ring, begräns­ning av behand­lingen eller under­rät­telse till tredje part, får över­kla­gas till all­män för­valt­nings­dom­stol.

Pröv­nings­till­stånd krävs vid över­kla­gande till kam­mar­rät­ten.

Över­kla­gande av till­syns­myn­dig­he­tens beslut

3 §   Till­syns­myn­dig­he­tens beslut om före­läg­gande enligt 6 kap. 5 § första styc­ket 2 får över­kla­gas till all­män för­valt­nings­dom­stol. När ett beslut över­kla­gas är till­syns­myn­dig­he­ten mot­part i dom­sto­len.

Pröv­nings­till­stånd krävs vid över­kla­gande till kam­mar­rät­ten.

Över­kla­gan­de­för­bud

4 §   Andra beslut enligt denna lag än de som anges i 2 och 3 §§ får inte över­kla­gas.


Över­gångs­be­stäm­mel­ser

2021:1172
   1. Denna lag trä­der i kraft den 1 janu­ari 2022.
   2. Genom lagen upp­hävs lagen (2007:259) om behand­ling av per­son­upp­gif­ter i För­sva­rets radi­o­an­stalts försvarsunderrättelse-​ och utveck­lings­verk­sam­het.
   3. Äldre före­skrif­ter gäl­ler fort­fa­rande för över­kla­gande av beslut som har med­de­lats före ikraft­trä­dan­det.

Vik­tiga lagar inom ord­ning och säker­het
JP Info­nets tjäns­ter inom ord­ning och säker­het

JP Info­nets tjäns­ter inom ord­ning och säker­het

Arbe­tar du med frå­gor som rör ord­ning och säker­het? I JP Info­nets tjäns­ter hit­tar du det juri­diska grund­ma­te­rial du behö­ver som besluts­un­der­lag samt den senaste prax­isut­veck­lingen snabbt ana­ly­se­rad och kom­men­te­rad. Se allt inom ord­ning och säker­het.