meny

Datainspektionen klar med granskning av FRA

Datainspektionen har granskat personuppgiftsbehandlingen i FRA:s försvarsunderrättelseverksamhet och konstaterar att myndigheten i de flesta delar uppfyller de krav som ställs i lagstiftningen. Inspektionen riktar däremot kritik mot att FRA fortfarande brister när det gäller logguppföljning.

Datainspektionen fick 2009 regeringens uppdrag att kontrollera hur Försvarets radioanstalt (FRA) hanterar personuppgifter i samband med signalspaning i försvarsunderrättelseverksamhet. Datainspektionen analyserade vilka integritetsproblem som kan uppstå i signalspaningsverksamheten och tittade på de rutiner och riktlinjer som FRA hade tagit fram. Datainspektionen överlämnade sin rapport till regeringen i slutet av 2010 och intrycket från granskningen var på det hela taget positivt. FRA hade infört rutiner och utbildat personalen för att minimera risken för att personuppgifterna ska hanteras på ett felaktigt sätt, skrev Datainspektionen i rapporten.

Nu har Datainspektionen följt upp granskningen och gjort en ny tillsyn. FRA har bland annat beskrivit den personuppgiftsbehandling som sker och besvarat ett antal frågor. Frågorna har rört de förändrade förutsättningarna för personuppgiftsbehandlingen till följd av möjligheterna att inhämta signaler i tråd, kraven på nödvändighet och anknytning till en preciserad inriktning, behandlingen av känsliga personuppgifter, förstöringsplikt, gallring och loggning.

Datainspektionen riktar nu kritik mot FRA gällande logguppföljning.

– Vi konstaterade redan 2010 att det fanns brister i den logguppföljning som då gjordes och att logguppföljningen därför borde förstärkas. Nu har det framkommit att dessa brister fortfarande kvarstår trots att det har gått ett antal år sedan påpekandet gjordes, berättar Elisabeth Jilderyd, jurist på Datainspektionen.

Datainspektionen förutsätter därför att FRA inför en central logganalysfunktion och har förelagt FRA att till inspektionen senast i maj 2017 redovisa vad som gjorts.

I tillsynsärendet har Datainspektionen också tittat på en särskild fråga som överlämnats till inspektionen från Statens inspektion för försvarsunderrättelseverksamhet (SIUN). Frågan gäller tillämpningen av en undantagsbestämmelse som ger FRA möjlighet att i ett första begränsat skede behandla uppgifter utan att beakta bestämmelserna i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (FRA-PuL). Datainspektionen konstaterar att FRA inte skulle kunna bedriva den verksamhet som de ska göra enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet (LSF) om bestämmelsen skulle tolkas enligt sin ordalydelse.

– I den verksamhet som det är fråga om här är möjligheterna till insyn av naturliga skäl mycket begränsade. Därför är det extra viktigt att lagtexten är klar och tydlig så att det finns en förutsebarhet som till viss del kompenserar bristen på insyn för den enskilde, säger Elisabeth Jilderyd.

– Här finns en konflikt mellan två regelverk som leder till otydlighet. Undantagsbestämmelsen i FRA-PuL behöver anpassas till det mandat som FRA har fått genom LSF. Därför skickar vi en kopia på vårt beslut till Försvarsdepartementet för att uppmärksamma dem på detta.

Läs Datainspektionens beslut