Behandling av personuppgifter - Den svenska lagstiftningen

5 Den svenska lagstiftningen

5.7 Behandling av personuppgifter

FRA inhämtar och behandlar i signalspaningsverksamheten en mycket stor mängd informa-tion som måste bearbetas och analyseras för att bli användbara underrättelser.¹⁶⁷ Efter inhämt-ningen lagras och bearbetas informationen i ett antal olika steg innan den vidarebefordras eller raderas. Vad som ur integritetshänseende är problematiskt är den stora mängd personuppgifter som behandlas.

Med personuppgifter avses information som kan hänföras (direkt eller indirekt) till en nu le-vande fysisk person (4 § FPuL, 3 § PuL¹⁶⁸). Begreppet personuppgift inbegriper alla uppgifter genom vilken en individ kan identifieras. Det krävs inte att den som innehar uppgift också innehar alla uppgifter som krävs för att identifiera en enskild. Det räcker att det någonstans existerar uppgifter som möjliggör identifiering. Exempelvis utgör uppgifter kopplade till ip-nummer personuppgifter oavsett om innehavaren av databaserna innehar uppgifter som avslö-jar vilken individ som använder ett visst ip-nummer, eftersom denna information oftast finns bevarad hos en Internetleverantör. Det är inte nödvändigt att en enskild individ kan

163 Prop. 2008/09:201 s 57 f.

164 Prop 2006/07:63 s 77.

165 SOU 2003:34 s 130.

166 Prop 2006/07:63 s 77.

167 Prop 2006/07:46 s 31.

168 Av förarbetena framgår att definitionen av begreppet ”personuppgift” i 4 § FPuL är överensstämmer som den i 3 § PuL, se prop 2006/07:46 s 119.

ras utan det kan räcka med att en mycket begränsad grupp (exempelvis användarna av en viss dator eller nätanslutning) kan identifieras för att uppgiften ska utgöra en personuppgift.¹⁶⁹ För att bedöma hur stort integritetsintrång signalspaningen innebär måste de rättsliga be-gränsningarna för behandlingen av personuppgifter beaktas. Det uppstår ett pedagogiskt pro-blem i denna del av redogörelsen då det finns ett antal bestämmelser som begränsar all be-handling av personuppgifter, medan vissa enbart är tillämpliga vid exempelvis lagring eller vidarebefordring. Jag har valt att först ge en översikt av vilka de relevanta författningarna är, sedan behandla generella bestämmelser som rör all behandling av personuppgifter inklusive när förstöringsskyldighet föreligger och avslutningsvis redogöra för de speciella begränsning-ar som finns vid lagring, bebegränsning-arbetning och vidbegränsning-arebefordring av personuppgifter.

5.7.1 Relevanta författningar

Det finns ett antal bestämmelser som begränsar om och i så fall hur personuppgifter får hante-ras och när de måste radehante-ras. Jag avser att redogöra för de centrala bestämmelserna och huvuddragen i lagstiftningen men sammanställningen gör inte anspråk på att vara uttömman-de i uttömman-detta avseenuttömman-de. De viktigaste bestämmelserna finns i LSF och uttömman-den för försvarsunuttömman-derrät- försvarsunderrät-telseverksamheten speciellt framtagna FPuL med tillhörande förordning FPuF.¹⁷⁰ LSF rör själva inhämtningen och har vissa bestämmelser om den fortsatta hanteringen av uppgifter.

Lagen saknar dock detaljerade bestämmelser om behandlingen av personuppgifter, detta re-gleras istället i FPuL och FPuF. I den mån LSF reglerar den fortsatta behandlingen efter in-hämtningen och regleringarna därför överlappar, ska LSF enligt förarbetsuttalanden ses som lex specialis i förhållande till personuppgiftsregleringen.¹⁷¹

5.7.2 Generella krav

De flesta begränsningar som följer av FPuL (och även PuL) gäller vid all behandling av per-sonuppgifter. Med behandling avses varje åtgärd som vidtas ifråga om personuppgifter , ex-empelvis insamling, registrering, organisering, lagring, bearbetande, utlämnande, spridning, förstörande m.m. (4 § FPuL). De är alltså inte knutna till ett visst moment utan är tillämpliga i alla steg av hanteringen inom ramen för FRA:s verksamhet (1 kap 1 § FPuL). Det spelar

169 Angående detta stycke se SOU 1997:39 s 341 ff.

170 Då FPuL enbart är tillämplig i FRA:s underrättelse och utvecklingsverksamhet (1 § 1 kap FPuL) kan även PuL vara av relevans då den reglerar hanteringen av personuppgifter efter att information vidarebefordrats av FRA.

171 Prop 2008/09:201 s 83.

des ingen roll om det rör sig uppgifter i e-post, enskilda handläggares promemorior eller i de omfattande databaserna där lagring och bearbetning av inhämtad information sker.¹⁷²

I 6 § FPuL finns grundläggande krav på behandlingen såsom att denna ska vara laglig, ske i enlighet med god sed och att behandlingen ska vara nödvändig i förhållande till ändamålen.

Personuppgifter får enbart behandlas om det är nödvändigt för underrättelse- eller utveck-lingsverksamheten eller för FRA:s skyldighet att bistå andra myndigheter (7 – 9 §§ FPuL).

Det är således i första hand fråga om reglering som manar till en restriktiv behandling av per-sonuppgifter men som i praktiken inte innebär några absoluta begränsningar utan det är FRA som definierar gränserna för behandlingen.

5.7.3 Känsliga uppgifter

Specialregleringar finns avseende så kallade känsliga personuppgifter som avslöjar en persons ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening, hälsa eller sexualliv. Sammanfattningsvis gäller att

- personuppgifter får inte behandlas enbart på grund av vad som är känt om per-sonen i dessa avseenden,

- behandlas uppgifterna av annan anledning får man komplettera med ”känsliga uppgifter” enbart om det är absolut nödvändigt för syftet med behandlingen, - personuppgifter som avslöjar någon ”känslig uppgift” får enbart användas om

det är absolut nödvändigt för syftet med behandling.

Det är i viss mån oklart om FPuL:s begränsningar är tillämpliga även på utformningen av sökbegrepp som används vid det första urvalet FRA gör, eftersom inhämtningen primärt re-gleras i LSF och enligt förarbetena LSF ska anses vara lex specialis.¹⁷³ Detta torde dock inte vara av avgörande betydelse för bedömningen enligt Europakonventionen. FPuL innebär ju i praktiken inget absolut förbud i detta avseende utan manar återigen enbart till restriktivitet.

Det finns även vissa begränsningar vid behandling av personnummer och samordningsnum-mer (12 § FPuL), men inte heller här handlar det om något absolut förbud.

5.7.4 Förstöringsskyldighet

Som tidigare redogjorts för finns det begränsningar avseende vilken typ av kommunikation som får inhämtas, exempelvis måste trafiken vara gränsöverskridande och får inte avse trafik mellan mottagare och avsändare som båda befinner sig i Sverige. Detta har man löst med ett

172 Prop 2006/07:46 s 130.

inhämtningsförbud. Det finns dock även förbud mot övervakning av trafik med visst innehåll, till exempel kommunikation mellan en misstänkt och hans försvarare. Då denna typen av för-bud aktualiseras på grund av innehållet i kommunikationen kan det inte åtgärdas med ett in-hämtningsförbud, istället föreligger en förstöringsskyldighet då innehållets karaktär uppdagas.

Enligt LSF föreligger en omedelbar förstöringsskyldighet avseende följande uppgifter om innehållet,

- berör en viss fysisk person och bedöms sakna betydelse för verksamheten (detta avser både försvarsunderrättelse och utvecklingsverksamhet).

- avser kommunikation mellan en misstänkt och hans försvarare (22 kap 27 § RB),

- omfattas av tystnadsplikt enligt 3 kap 3 § TF eller 2 kap 3 § YGL,

- omfattas av efterforskningsförbudet enligt 3 kap 4 § TF eller 2 kap 4 § YGL - eller avser uppgifter som lämnats under bikt eller enskild själavård och det

inte föreligger synnerliga skäl att behandla dem för de ändamål som anges i 1

§ andra stycket LSF (7 § LSF).

Förstöringsskyldigheten hänför sig inte till någon särskild hantering av uppgifterna utan inträ-der så snart innehåll av ovanstående karaktär konstateras. Uppgifterna ska förstöras på ett sådant sätt att de inte kan återskapas (5 § FSF).

5.7.5 Reflektioner kring personuppgiftsregleringens effektivitet.

Även om det finns ett värde i att orientera sig i personuppgiftslagstiftningen då den är en cen-tral del av integritetsskyddet så är det min uppfattning att reglering enbart kan erbjuda ett mycket begränsat skydd för integriteten. Detta beror dels på reglernas utformning och dels på de bristande kontrollmöjligheterna. Ett typexempel är bestämmelsen att personuppgifter som avslöjar någon ”känslig uppgift” enbart får behandlas om det är absolut nödvändigt för syftet med behandlingen. Vad som är ”absolut nödvändigt” och hur vad som är syftet med behand-lingen definieras av FRA. Denna typ av bestämmelser uppmanar restriktivitet men innebär inte några absoluta förbud mot viss typ av behandling. Dessutom är i princip tillåtligheten av all behandling beroende att de är nödvändigt i förhållande till ändamålet med verksamheten (det vill säga utvecklings- eller underrättelseverksamhet). Även detta torde i praktiken defini-eras av FRA. Möjligheten för kontrollmyndigheterna att överpröva FRA:s bedömning att en viss behandling är nödvändig eller av vad till exempel vad utvecklingsverksamhet är, torde vara begränsad. Det kan jämföras med att Försvarsunderrättelsedomstolen inte ska överpröva

173 Prop 2008/09:201 s 83.

behovet av signalspaning i en viss fråga.¹⁷⁴ I praktiken lämnar den nuvarande regleringen stor frihet för de verkställande myndigheterna att sätta gränserna för vad som är tillåten behand-ling av personuppgifter.¹⁷⁵ I de fall det finns absoluta förbud, exempelvis i form av omedelbar förstöringsskyldighet för uppgifter mellan en misstänkt och hans försvarare ger dock lagstift-ningen ett mer effektivt skydd, myndigheterna har i dessa fall ingen möjlighet att göra en an-nan bedömning utan måste radera kommunikationen. Även i dessa fall är dock möjligheten till kontroll och överprövning begränsad på grund av underrättelseverksamhetens karaktär och mot bakgrund av detta måste man fråga sig om personuppgiftsregleringen (oberoende av ut-formningen) någonsin kan innebär ett effektivt skydd för enskilda.

In document Är FRA:s signalspaning förenlig med artikel 8 i Europakonventionen? (Page 47-51)