SFS nr

2007:258

Departement/myndighet

Försvarsdepartementet

Utfärdad

2007-05-10

Ändring införd

t.o.m. SFS 2009:850

---

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde m.m.

1 § Denna lag gäller vid behandling av personuppgifter i
Försvarsmaktens försvarsunderrättelseverksamhet och militära
säkerhetstjänst, om behandlingen är helt eller delvis
automatiserad eller om uppgifterna ingår i eller är avsedda att
ingå i en strukturerad samling av personuppgifter som är
tillgängliga för sökning eller sammanställning enligt särskilda
kriterier.

Personuppgiftslagen (1998:204) gäller inte vid sådan behandling
av personuppgifter som anges i första stycket.

2 § Syftet med lagen är att skydda människor mot att deras
personliga integritet kränks genom behandling av
personuppgifter i Försvarsmaktens
försvarsunderrättelseverksamhet och militära säkerhetstjänst.

Förhållandet till offentlighetsprincipen

3 § Bestämmelserna i denna lag tillämpas inte i den
utsträckning det skulle inskränka Försvarsmaktens skyldighet
enligt 2 kap. tryckfrihetsförordningen att lämna ut
personuppgifter.

Definitioner

4 § I denna lag används följande beteckningar med nedan angiven
betydelse.

Beteckning Betydelse

Behandling
(av personuppgifter) Varje åtgärd eller serie av åtgärder
som vidtas i fråga om personuppgifter,
vare sig det sker på automatisk väg
eller inte, t.ex. insamling,
registrering, organisering, lagring,
bearbetning eller ändring, återvinning,
inhämtande, användning, utlämnande
genom översändande, spridning eller
annat tillhandahållande av uppgifter,
sammanställning eller samkörning,
blockering, utplåning eller förstöring.

Blockering
(av personuppgifter) En åtgärd som vidtas för att
personuppgifterna skall vara
förknippade med information om att de
är spärrade och om anledningen till
spärren och för att personuppgifterna
inte skall lämnas ut till tredje man
annat än med stöd av 2 kap.
tryckfrihetsförordningen.

Mottagare Den till vilken personuppgifter lämnas
ut. När personuppgifter lämnas ut från
Försvarsmakten för att en annan
myndighet skall kunna utföra sådan
tillsyn, kontroll eller revision som
den är skyldig att sköta, anses dock
inte den myndigheten som mottagare.

Personuppgifter All slags information som direkt eller
indirekt kan hänföras till en fysisk
person som är i livet.

Personuppgiftsbiträde Den som behandlar personuppgifter för
den personuppgiftsansvariges räkning.

Personuppgiftsombud Den fysiska person som, efter
förordnande av den
personuppgiftsansvarige, självständigt
skall se till att personuppgifter
behandlas på ett korrekt och lagligt
sätt.

Den registrerade Den som en personuppgift avser.

Tredje man Någon annan än den registrerade, den
personuppgiftsansvarige,
personuppgiftsombudet,
personuppgiftsbiträdet och sådana
personer som under den
personuppgiftsansvariges eller
personuppgiftsbiträdets direkta ansvar
har befogenhet att behandla
personuppgifter.

Uppgiftssamling En samling med uppgifter som med hjälp
av automatiserad behandling används
gemensamt.

Personuppgiftsansvar

5 § Försvarsmakten är personuppgiftsansvarig för den behandling
av personuppgifter som myndigheten utför.

Grundläggande krav på behandling av personuppgifter

6 § Försvarsmakten skall se till att

1. personuppgifter behandlas bara om det är lagligt,

2. personuppgifter alltid behandlas på ett korrekt sätt och i
enlighet med god sed,

3. personuppgifter samlas in bara för särskilda, uttryckligt
angivna och berättigade ändamål,

4. personuppgifter inte behandlas för något ändamål som är
oförenligt med det för vilket uppgifterna samlades in,

5. de personuppgifter som behandlas är adekvata och relevanta i
förhållande till ändamålen med behandlingen,

6. inte fler personuppgifter behandlas än som är nödvändigt med
hänsyn till ändamålen med behandlingen,

7. de personuppgifter som behandlas är riktiga och, om det är
nödvändigt, aktuella, och

8. alla rimliga åtgärder vidtas för att rätta, blockera eller
utplåna sådana personuppgifter som är felaktiga eller
ofullständiga med hänsyn till ändamålen med behandlingen.

Uppgiftssamlingar

7 § I Försvarsmaktens försvarsunderrättelseverksamhet och
militära säkerhetstjänst får, under de förutsättningar som
anges i denna lag, personuppgifter behandlas i
uppgiftssamlingar.

Regeringen meddelar föreskrifter eller beslut i enskilda fall
om vilka uppgiftssamlingar som får finnas och vilka uppgifter
som får behandlas i respektive samling.

När behandling av personuppgifter är tillåten

Försvarsunderrättelseverksamhet

8 § Personuppgifter får behandlas i Försvarsmaktens
försvarsunderrättelseverksamhet om det är nödvändigt för att
bedriva den verksamhet som anges i lagen (2000:130) om
försvarsunderrättelseverksamhet.

Uppgifter om en person får endast behandlas om personen har
anknytning till en preciserad inriktning för
försvarsunderrättelseverksamheten och behandlingen är nödvändig
för att fullfölja den inriktningen.

Den militära säkerhetstjänsten

9 § Personuppgifter får behandlas i Försvarsmaktens militära
säkerhetstjänst för att upptäcka, förebygga och avvärja
säkerhetshotande verksamhet som riktas mot Försvarsmakten och
dess säkerhetsintressen, om det är nödvändigt för att

1. klarlägga verksamhet som innefattar hot mot rikets säkerhet,
eller

2. vidta åtgärder som hindrar eller försvårar säkerhetshotande
verksamhet.

10 § Uppgifter om en person får behandlas för de ändamål som
anges i 9 § endast om

1. uppgifterna ger grundad anledning att anta att personen har
utövat eller kan komma att utöva verksamhet som innefattar
brott som kan hota rikets säkerhet eller terroristbrott enligt
2 § lagen (2003:148) om straff för terroristbrott eller
motsvarande brottslighet enligt tidigare lagstiftning,

2. uppgifterna ger grundad anledning att anta att personen har
utövat eller kan komma att utöva underrättelseverksamhet riktad
mot Försvarsmakten och dess säkerhetsintressen,

3. uppgifterna ger grundad anledning att anta att personen
utövar annan säkerhetshotande verksamhet än som avses i 1 och
som innefattar brott eller åsidosättande av åligganden i
anställning hos Försvarsmakten, och det finns särskilda skäl
till att uppgiften skall behandlas,

4. personen har lämnat uppgifter om säkerhetshotande verksamhet
och personuppgifterna är nödvändiga för att bedöma personens
trovärdighet, eller

5. uppgifterna avser information som har framkommit i samband
med att en person har genomgått registerkontroll eller särskild
personutredning enligt säkerhetsskyddslagen (1996:627).

Uppgifter om en person skall förses med upplysning om på vilken
av de i första stycket angivna grunderna uppgiften behandlas.
Om behandlingen av en personuppgift föranleds av något annat än
antagande om att personen har utövat eller kommer att utöva
brottslig verksamhet skall det särskilt anges att personen inte
är misstänkt för brottslig verksamhet, om det inte på annat
sätt klart framgår att sådan misstanke inte finns. Uppgifter om
en person som inte heller kan antas ha utövat eller komma att
utöva annan säkerhetshotande verksamhet skall förses med en
särskild upplysning om detta, om det inte på annat sätt klart
framgår att sådant antagande inte finns.

Uppgifter om en person som avses i första stycket 1-3 skall
förses med en upplysning om uppgiftslämnarens trovärdighet och
uppgifternas riktighet i sak.

11 § Trots vad som sägs i 10 § får personuppgifter som ingår i
eller har uppkommit i samband med användning av totalförsvarets
telekommunikations- och informationssystem behandlas för att
förhindra obehörig insyn i och påverkan av dessa system. Det
gäller även sådana uppgifter som avses i 12 och 13 §§.
Behandling som särskilt syftar till att identifiera en person
får dock endast utföras om bestämmelserna i 10 § första stycket
1, 2 eller 3 tilllämpas.

Försvarsmakten skall föra en förteckning över de behandlingar
som särskilt syftar till att identifiera en person och de
uppgifter som utgjort anledningen till behandlingen.

Behandling av känsliga personuppgifter

12 § Personuppgifter får inte behandlas enbart på grund av vad
som är känt om personens ras eller etniska ursprung, politiska
åsikter, religiösa eller filosofiska övertygelse, medlemskap i
fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund får de
kompletteras med sådana uppgifter som avses i första stycket
när det är absolut nödvändigt för syftet med behandlingen.
Uppgifter som beskriver en persons utseende skall alltid
utformas på ett objektivt sätt med respekt för människovärdet.

Vid sökning får personuppgifter som avslöjar ras eller etniskt
ursprung, politiska åsikter, religiös eller filosofisk
övertygelse, medlemskap i fackförening eller som rör hälsa
eller sexualliv användas som sökbegrepp endast om det är
absolut nödvändigt för syftet med behandlingen.

Behandling av personnummer

13 § Uppgifter om personnummer eller samordningsnummer får
behandlas bara när det är klart motiverat med hänsyn till

1. ändamålet med behandlingen,

2. vikten av en säker identifiering, eller

3. något annat beaktansvärt skäl.

Utlämnande av personuppgifter på medium för automatiserad
behandling

14 § Endast enstaka personuppgifter får lämnas ut på medium för
automatiserad behandling, om inte regeringen har meddelat
föreskrifter eller i ett enskilt fall beslutat om att uppgifter
får lämnas ut på sådant medium även i andra fall.

Direktåtkomst

15 § Regeringen meddelar föreskrifter om vilka myndigheter som
får ha direktåtkomst till uppgiftssamlingar.

Regeringen, eller den myndighet som regeringen bestämmer,
meddelar ytterligare föreskrifter eller beslut i enskilda fall
om omfattningen av direktåtkomsten.

Tillgången till personuppgifter

16 § Tillgången till personuppgifter skall alltid begränsas
till vad var och en behöver för att kunna fullgöra sina
arbetsuppgifter.

Överföring av personuppgifter till andra länder

17 § Personuppgifter som behandlas med stöd av denna lag får
föras över till andra länder eller mellanfolkliga
organisationer endast om sekretess inte hindrar det och det är
nödvändigt för att Försvarsmakten skall kunna fullgöra sina
uppgifter inom ramen för det internationella
försvarsunderrättelse- och säkerhetssamarbetet, om inte
regeringen har meddelat föreskrifter eller i ett enskilt fall
beslutat om att överföring får ske även i andra fall då det är
nödvändigt för verksamheten vid Försvarsmakten.

2 kap. Information till den enskilde, rättelse och skadestånd

Information till den enskilde

Information skall lämnas självmant

1 § Om uppgifter om en person samlas in i den militära
säkerhetstjänsten från personen själv skall Försvarsmakten i
samband därmed självmant lämna den registrerade information om
behandlingen av uppgifterna. Informationen skall omfatta

1. uppgift om att det är Försvarsmakten som är
personuppgiftsansvarig för behandlingen,

2. uppgift om ändamålen med behandlingen, och

3. all övrig information som behövs för att den registrerade
skall kunna ta till vara sina rättigheter i samband med
behandlingen, såsom information om mottagarna av uppgifterna,
skyldighet att lämna uppgifter och rätten att ansöka om
information och få rättelse.

Information enligt första stycket behöver inte lämnas om sådant
som den registrerade redan känner till.

Information skall lämnas efter ansökan

2 § Försvarsmakten är skyldig att till var och en som ansöker
om det en gång per kalenderår gratis lämna besked om huruvida
personuppgifter som rör den sökande behandlas eller ej.
Behandlas sådana uppgifter skall skriftlig information lämnas
också om

1. vilka uppgifter om den sökande som behandlas,

2. varifrån dessa uppgifter har hämtats,

3. ändamålen med behandlingen, och

4. till vilka mottagare eller kategorier av mottagare som
uppgifterna lämnas ut.

En ansökan enligt första stycket skall göras skriftligen hos
Försvarsmakten och vara undertecknad av den sökande själv.
Information enligt första stycket skall lämnas inom en månad
från det att ansökan gjordes. Om det finns särskilda skäl för
det, får information dock lämnas senast fyra månader efter det
att ansökan gjordes.

3 § Information enligt 2 § behöver inte lämnas om
personuppgifter i löpande text som inte fått sin slutliga
utformning när ansökan gjordes eller som utgör minnesanteckning
eller liknande. Detta gäller dock inte om uppgifterna har
lämnats ut till tredje man eller, när det gäller löpande text
som inte fått sin slutliga utformning, om uppgifterna har
behandlats under längre tid än ett år.

Undantag från informationsskyldigheten vid sekretess

4 § Bestämmelserna i 1 och 2 §§ gäller inte i den utsträckning
sekretess hindrar att uppgifterna lämnas ut till den
registrerade.

Rättelse

5 § Försvarsmakten är skyldig att på begäran av den
registrerade snarast rätta, blockera eller utplåna sådana
personuppgifter som inte har behandlats i enlighet med denna
lag eller föreskrifter som har meddelats med stöd av lagen.
Försvarsmakten skall också underrätta tredje man till vilken
uppgifterna har lämnats ut om åtgärden, om den registrerade
begär det eller om mera betydande skada eller olägenhet för den
registrerade skulle kunna undvikas genom en underrättelse.
Någon sådan underrättelse behöver dock inte lämnas, om detta är
omöjligt eller skulle innebära en oproportionerligt stor
arbetsinsats.

Skadestånd

6 § Staten skall ersätta den registrerade för skada och
kränkning av den personliga integriteten som en behandling av
personuppgifter i strid med denna lag eller föreskrifter som
har meddelats med stöd av lagen har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt
jämkas, om Försvarsmakten visar att felet inte berodde på
myndigheten.

3 kap. Säkerheten vid behandling

1 § Ett personuppgiftsbiträde och den eller de personer som
arbetar under biträdets eller Försvarsmaktens ledning får
behandla personuppgifter bara i enlighet med instruktioner
från Försvarsmakten.

Det ska finnas ett skriftligt avtal om
personuppgiftsbiträdets behandling av personuppgifter för
Försvarsmaktens räkning. I det avtalet ska det särskilt anges
att personuppgiftsbiträdet får behandla personuppgifterna
bara i enlighet med instruktioner från Försvarsmakten och att
personuppgiftsbiträdet är skyldigt att vidta de åtgärder som
avses i 2 § första stycket.

I fråga om sekretess och tystnadsplikt i det allmännas
verksamhet tillämpas bestämmelserna i offentlighets- och
sekretesslagen (2009:400) i stället för första stycket.
Lag (2009:520).

2 § Försvarsmakten skall vidta lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som
behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är
lämplig med beaktande av

1. de tekniska möjligheter som finns,

2. vad det skulle kosta att genomföra åtgärderna,

3. de särskilda risker som finns med behandlingen av
personuppgifterna, och

4. hur pass känsliga de behandlade personuppgifterna är.

När Försvarsmakten anlitar ett personuppgiftsbiträde, skall
Försvarsmakten förvissa sig om att personuppgiftsbiträdet kan
genomföra de säkerhetsåtgärder som måste vidtas och se till att
personuppgiftsbiträdet verkligen vidtar åtgärderna.

4 kap. Personuppgiftsombud

1 § Försvarsmakten skall utse ett eller flera
personuppgiftsombud och anmäla dessa till den tillsynsmyndighet
som avses i 5 kap. Även ett entledigande av ett
personuppgiftsombud skall anmälas till tillsynsmyndigheten.

2 § Personuppgiftsombudet skall ha till uppgift att
självständigt se till att Försvarsmakten behandlar
personuppgifter på ett lagligt och korrekt sätt och i enlighet
med god sed samt påpeka eventuella brister för myndigheten.

Har personuppgiftsombudet anledning att misstänka att
Försvarsmakten bryter mot de bestämmelser som gäller för
behandlingen av personuppgifter och vidtas inte rättelse så
snart det kan ske efter påpekande, skall personuppgiftsombudet
anmäla förhållandet till tillsynsmyndigheten.

Personuppgiftsombudet skall även i övrigt samråda med
tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som
gäller för behandlingen av personuppgifter skall tillämpas.

3 § Personuppgiftsombudet skall över de behandlingar som
Försvarsmakten genomför och som är helt eller delvis
automatiserade föra en förteckning som avser
försvarsunderrättelseverksamheten och en förteckning som avser
den militära säkerhetstjänsten.

Regeringen, eller den myndighet som regeringen bestämmer,
meddelar föreskrifter om vad förteckningen skall innehålla.

4 § Personuppgiftsombudet skall hjälpa registrerade att få
rättelse när det finns anledning att misstänka att behandlade
personuppgifter är felaktiga eller ofullständiga.

5 kap. Tillsynsmyndigheten

1 § Den myndighet som regeringen bestämmer skall utöva tillsyn
över Försvarsmaktens behandling av personuppgifter enligt denna
lag.

2 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran
få

1. tillgång till de personuppgifter som behandlas,

2. upplysningar om och dokumentation av behandlingen av
personuppgifter och säkerheten vid denna, och

3. tillträde till sådana lokaler som har anknytning till
behandlingen av personuppgifter.

3 § Om tillsynsmyndigheten konstaterar att personuppgifter
behandlas eller kan komma att behandlas på ett olagligt sätt,
skall myndigheten genom påpekanden eller liknande förfaranden
försöka åstadkomma rättelse.

4 § Tillsynsmyndigheten får hos förvaltningsrätten inom vars
domkrets tillsynsmyndigheten är belägen ansöka om att sådana
personuppgifter som har behandlats på ett olagligt sätt ska
utplånas.

Beslut om utplånande får inte meddelas om det är oskäligt.
Lag (2009:850).

6 kap. Övriga bestämmelser

Gallring

1 § Personuppgifter som behandlas automatiserat skall gallras
så snart uppgifterna inte längre behövs för det ändamål för
vilket de behandlas, om inte regeringen eller den myndighet som
regeringen bestämmer har meddelat föreskrifter eller i enskilt
fall beslutat att gallring skall ske senast vid viss tidpunkt
eller att uppgifter får bevaras för historiska, statistiska
eller vetenskapliga ändamål.

Straff

2 § Till böter eller fängelse i högst sex månader eller, om
brottet är grovt, till fängelse i högst två år döms den som
uppsåtligen eller av grov oaktsamhet

1. lämnar osann uppgift i sådan information till registrerade
som föreskrivs i 2 kap., i anmälan till tillsynsmyndigheten
enligt 4 kap. 1 § eller till tillsynsmyndigheten när
myndigheten begär information enligt 5 kap. 2 §, eller

2. behandlar personuppgifter i strid med 1 kap. 12 §.

I ringa fall döms inte till ansvar.

Överklagande

3 § Försvarsmaktens beslut om information som skall lämnas
enligt 2 kap. 1 och 2 §§ och om rättelse och underrättelse till
tredje man enligt 2 kap. 5 § får överklagas hos allmän
förvaltningsdomstol. Andra beslut enligt denna lag får inte
överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Övergångsbestämmelser

2007:258

1. Denna lag träder i kraft den 1 juli 2007.

2. Bestämmelserna i 1 kap. 6 § om grundläggande krav på
behandling av personuppgifter och i 1 kap. 12 § om behandling
av känsliga personuppgifter skall inte börja tillämpas förrän
den 1 oktober 2007 i fråga om sådan manuell behandling av
personuppgifter som påbörjats före den 24 oktober 1998 eller
manuell behandling som utförs för ett visst bestämt ändamål om
manuell behandling för ändamålet påbörjats före den 24 oktober
1998.

3. Bestämmelserna i 2 kap. 6 § om skadestånd skall tillämpas
endast om den omständighet som yrkandet hänför sig till har
inträffat efter det att lagen har trätt i kraft beträffande den
aktuella behandlingen. I annat fall tillämpas äldre
bestämmelser.