Musts behandling av personuppgifter

Must har i uppgift att bedriva försvarsunderrättelseverksamhet och militär säkerhetstjänst. För att Must ska kunna lösa dessa uppgifter är det ofta nödvändigt att behandla personuppgifter. Det är grundläggande att den enskildes integritet inte kränks och att lagar följs vid sådan behandling.

Försvarsmakten behandlar personuppgifter i likhet med andra myndigheter. Försvarsmakten är personuppgiftsansvarig för de personuppgifter som myndigheten behandlar. Att vara personuppgiftsansvarig innebär att man har ett rättsligt ansvar för att en personuppgift inte kränker en enskilds personliga integritet.

Lagstiftning som gäller för behandling av personuppgifter på Must

I regeringsformen finns föreskrifter om skydd mot att myndigheter gör intrång i den personliga integriteten. För att skydda människor mot kränkningar av den personliga integriteten vid behandling av personuppgifter finns lagstiftning. Den lagstiftning som Must ska följa när personuppgifter behandlas är personuppgiftslagen 1998:204 (förkortat PuL) och lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst 2007:258 (förkortat PuL UNDSÄK).

PuL och PuL UNDSÄK är lagar som medger personuppgiftsbehandling, med de begränsningar som följer av respektive lag. Precis som för andra myndigheter gäller PuL vid all verksamhet på Must som inte omfattas av andra lagar, till exempel vid behandling av personuppgifter vid personaladministration. PuL UNDSÄK är en speciallagstiftning som endast är tillämplig i Försvarsmakten när myndigheten behandlar personuppgifter i dess försvarsunderrättelseverksamhet och militära säkerhetstjänst. Sådan behandling sker i stor omfattning vid Must.

Personuppgifter som kan komma att behandlas enligt PuL UNDSÄK i försvarsunderrättelseverksamheten är till exempel personer som verkar inom andra länders försvars- och underrättelsetjänster. Personuppgifter som kan komma att behandlas enligt PuL UNDSÄK av den militära säkerhetstjänsten är till exempel uppgifter som framkommit i samband med säkerhetsprövning av en person som är anställd i Försvarsmakten.

Vissa bestämmelser i PuL och PuL UNDSÄK

Både PuL och PuL UNDSÄK har ett stort antal bestämmelser som Must ska följa vid personuppgiftsbehandling inom myndigheten. För att få behandla personuppgifter enligt PuL måste ett antal grundläggande krav som huvudregel vara uppfyllda. Ett sådant krav är att det ska finnas ett ändamål för behandlingen. Även i PuL UNDSÄK finns krav på ett ändamål för att få utföra en personuppgiftsbehandling. Till skillnad från PuL har lagstiftaren i PuL UNDSÄK bestämt vilka ändamål som personuppgiftsbehandlingen får utföras mot, det vill säga försvarsunderrättelseverksamhet och militär säkerhetstjänst.

Huvudregeln enligt PuL är att personuppgifter bara får behandlas om den registrerade har lämnat sitt samtycke till behandlingen. Till skillnad från PuL finns det inget sådant krav i PuL UNDSÄK. Med hänsyn till den verksamhet som bedrivs inom Försvarsmaktens försvarsunderrättelseverksamhet och den militära säkerhetstjänsten är det inte möjligt att personuppgiftsbehandling ska föregås av samtycke.

En särskild form av personuppgifter är känsliga personuppgifter. Känsliga personuppgifter är uppgifter om en individs ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening, hälsa eller sexualliv. Enligt huvudregeln i PuL är det förbjudet att behandla sådana personuppgifter.

I PuL UNDSÄK saknas bestämmelser om samtycke, men behandlingen av känsliga personuppgifter måste vara absolut nödvändig för syftet med behandlingen. För att en svensk enhet i en internationell militär insats ska kunna utföra sina uppgifter kan det vara nödvändigt att personuppgifter om individer i insatsområdet behandlas till exempel etnisk härkomst eller religiös övertygelse. Ett annat exempel på känsliga personuppgifter som ofta kan vara av grundläggande betydelse ur försvarsunderrättelse- eller säkerhetstjänstssynpunkt är politiska åsikter. Känsliga personuppgifter som rör en viss person får dock inte utgöra den enda grunden för behandlingen, vilket innebär att en persons politiska åsikter inte kan vara det enda skälet till att uppgiften behandlas. Sådana uppgifter får endast utgöra ett komplement till personuppgiftsbehandlingen.

Vem granskar personuppgiftsbehandling på Must?

Datainspektionen utövar tillsyn över de personuppgiftsbehandlingar som Must gör enligt såväl PuL som PuL UNDSÄK. Även Statens inspektion för försvarsunderrättelseverksamheten (Siun) ska granska den personuppgiftsbehandling som utförs enligt PuL UNDSÄK.

Personuppgifter i försvarsunderrättelseverksamheten och den militära säkerhetstjänsten omfattas ofta av sekretess, vilket innebär att en enskild inte kan utnyttja möjligheten att få information om vilken personuppgiftsbehandling som utförs om honom eller henne. Siuns granskning utgör därför en extra integritetsskyddskontroll. Kontrollen syftar till att skydda personer mot att deras personliga integritet kränks genom att Försvarsmakten behandlar deras personuppgifter.

Resultaten av Datainspektionens och Siuns kontrollverksamhet av Musts personuppgiftsbehandling visar på nödvändiga åtgärder för att stärka skyddet för den enskilde. Must ser regelbundet över sina rutiner som rör personuppgiftsbehandling till följd av tillsynen och utbildar regelbundet sin personal i det regelverk som styr personuppgiftsbehandling.

Högkvarteret
Fakta Högkvarteret
  • Förkortning: HKV
  • Ort: Stockholm
  • Personal: 1 200
Så har vi räknat