Handlägges.Q"(4.e...

Transkript

1 Datainspektionen Yttrande Diarienr Ert diarienr 204 0:3418/13 FRA FÖRSVARETS RADIOANSTALT Box 301 Ink O BROMMA Dnr~@.j;~~~'Z Handlägges.Q"(4.e... Yttrande i samrådsärende avseende delar av utkast till föreskrifter och allmänna råd om TDV Inledning FRA har i skrivelse som inkom till Datainspektionen den 20 maj 2013 begärt samråd med inspektionen avseende 3 kap ,19 och 21 i utkast till föreskrifter och allmänna råd rörande tekniskt detekterings- och varningssystem (nedan TDV). Datainspektionen har vid möte den 7 maj 2013 vid FRA fått en presentation av ett utkast till de aktuella föreskrifterna och allmänna råden i sin helhet samt en beskrivning av TDV-verksamheten som sådan. Vid mötet fick Datainspektionen även möjlighet att ställa frågor. Härigenom har inspektionen fått kunskap om TDV:s uppbyggnad, funktion och andra omständigheter som är av betydelse för handläggningen av detta ärende. Samrådet rör fåreskrifter som avser det faktum att FRA, efter överenskommelse med de så kallade TDV-uppdragsgivarna, har får avsikt att använda och behandla personuppgifter som hanteras i TDV-verksamhetens informationssäkerhetsdel - i signalspaningsverksamheten (dvs. i försvarsunderrättelseverksamheten och då närmare bestämt i IThotsverksamheten, se bl.a. 1 2 st 5 p lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet (signalspaningslagen)). Vidare har FRA får avsikt att använda uppgifter som inhämtas i IT-hotsverksamheten i signalspaningsverksamheten (i fårsvarsunderrättelseverksamheten) i TDVverksamheten. Det handlar således om ett flöde åt två håll. Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: Webbplats: Telefax:

2 Den behandling av personuppgifter, som sker inom ramen för FRA:s övriga informationssäkerhetsarbete med anledning av TDV, omfattas inte av detta samråd. FRA:s behandling av personuppgifter i myndighetens försvarsunderrättelseverksamhet (i vilken IT-hotsverksamheten ingår) regleras i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (FRA-PuL). Enligt den förordning (FRA-PuF) som ansluter till FRA-PuL har FRA rätt att meddela föreskrifter om verkställigheten av bestämmelserna i FRA-PuL, 13 FRA-PuF. I den utsträckning som de föreskrifter som FRA meddelar berör integritetsskyddet vid personuppgiftsbehandling vid FRA ska myndigheten samråda med Datainspektionen. I TDV-verksamheten (utanför försvarsunderrättelseverksamheten) behandlar FRA personuppgifter med stöd av personuppgiftslagen (1998:204) (PuL). Någon skyldighet att samråda beträffande foreskrifter som rör personuppgiftsbehandling sker med stöd av PuL finns inte. Det finns dock inget som hindrar FRA att samråda även beträffande sådana föreskrifter. FRA har i samrådshandlingen anfört i huvudsak följande. Syftet med TDV är att upptäcka IT-angrepp riktade mot svensk samhällsviktig verksamhet och kritisk infrastruktur samt att möjliggöra skyddsåtgärder mot dessa angrepp. Ett TDV är en del av ett cyberförsvar som syftar till att skydda svenska intressen mot JT-angrepp från de mest resursstarka utländska aktörerna. Regeringen har uttalat att ett TDV bör genomföras successivt inom ramen för FRA:s verksamhet i syfte att stärka skyddet för samhällsviktig verksamhet (prop. 2012/13:1, utgiftsområde 65. sid. 99). FRA har även enligt sin instruktion till uppgift att bedriva signalspaning. Ett av signalspaningsuppdragen syftar till att följa JT-hot och dess utveckling i det globala nätet. Genom detta arbete kan FRA identifiera en del av de mest kvalificerade angreppen. Denna kunskap kan användas i TDV i form av signaturer. Det finns således synergieffekter mellan signalspanings- och informationssäkerhetsverksamheterna. Sida 2 av 7

3 Datainspektionens bedömnin9 I detta yttrande bedömer Datainspektionen inte på något sätt lämpligen att i och för sig bedriva TDV-verksamhet. Inspektionen konstaterar att FRA har fått i uppdrag att bedriva sådan verksamhet och syftet med Datainspektionens yttrande är endast att bedöma den personuppgiftsbehandling som verksamheten kan ge upphov till i förhållande till gällande regelverk. Den behandling av personuppgifter som ansluter till TDV sker i tre former. Inledningsvis behandlar FRA personuppgifter i egenskap av personuppgiftsbiträde för TDV-uppdragsgivarnas räkning. Därutöver behandlar FRA personuppgifter för egen del, dels inom ramen för myndighetens övriga informationssäkerhetsarbete (omfattas inte av samrådet), dels i IT-hotsverksamheten. Det är endast IT-hotsverksamheten som innefattar signalspaning i försvarsunderrättelseverksamhet (och där personuppgiftsbehandlingen regleras av FRA-PuL). Enligt 3 kap. 11 och 12 i utkastet till föreskrifter kommer personuppgifter att kunna överlämnas från FRA:s IT-hotsverksamhet till TDV-verksamheten och enligt 19 och 21 från TDV-verksamheten till IT-hotsverksamheten. Av den beskrivning av TDV som FRA har lämnat till Datainspektionen framgår att de personuppgifter som kan komma att överlämnas mellan TDVverksamheten och FRA:s IT-hotsverksamhet (och omvänt) utgörs avs.k. signaturer som, tillsammans med detekteringsverktyg, används för att identifiera IT-angrepp. Signaturerna kan i vissa fall härledas till en fysisk person i livet och således utgöra personuppgifter. Det är dock inte fråga om överlämnande av innehållet i e-postkommunikation eller liknande uppgifter. Enligt 9 PuL får personuppgifter endast samlas in för särskilda uttryckligt angivna och berättigade ändamål (9 c) och personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna samlades in (9 d). Det innebär att man måste pröva om den insamling av personuppgifter som sker i TDV-verksamheten är förenlig med det ändamål för vilket uppgifterna ska behandlas i IT-hotsverksamheten. Enligt l kap. 6 3 P FRA-PuL ska FRA se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål och enligt l kap. 6 4 P FRA-PuL får personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Det innebär att man Sida 3 av 7

4 måste pröva om den insamling av personuppgifter som sker i IThotsverksamheten är förenlig med det ändamål för vilket uppgifterna ska behandlas i TDV-verksamheten. Som utgångspunkt för sin bedömning använder sig Datainspektionen av de uttalanden som gjorts i förarbetena (prop. 2006/07:46, sid. 30 f.) till FRA-PuL (som trädde i kraft den l juli 2007). Där angavs följande i beskrivningen av den behandling av personuppgifter som vid den tidpunkten skedde vid FRA. Vidare följer av 3 a första stycket 3-4 instruktionen att Försvarets radioanstalt får, efter begäran från sådana uppdragsgivare, genomföra IT-säkerhetsanalyser och ge annat tekniskt stöd. Uppdragsgivarna kan ha känsliga datorsystem som de inte vill eller anser sig kunna blottlägga för privata aktörer. De har då möjlighet att vända sig till Försvarets radio anstalt som på deras begäran kan göra bl.a. en informationssäkerhetsanalys. Informationssäkerhetsanalysen gör det möjligt för uppdragsgivaren att prioritera de insatser som är nödvändiga för att driften av datorsystemen skall kunna säkerställas. Konsultverksamheten på Försvarets radioanstalt har hittills främst rört aktiva IT-kontroller, som innebär att myndigheten på uppdragsgivarens begäran söker efter och analyserar brister i säkerheten i datorsystemen. Den information som Försvarets radioanstalt erhåller i samband med att en aktiv IT-kontroll görs kan innehålla personuppgifter. Vid behandling av dessa personuppgifter agerar Försvarets radioanstalt, med stöd av ett avtal med uppdragsgivaren, som personuppgiftsbiträde för dennes räkning. Personuppgifterna behandlas således av Försvarets radioanstalt helt i enlighet med uppdragsgivarens instruktioner. Den information som Försvarets radioanstalt får i samband med att uppgifterna i 3 a första stycket 3-4 instruktionen utförs används inte i myndighetens försvarsunderrättelse- eller utvecklingsverksamhet. Data innehållande bl.a. personuppgifter återsänds till uppdragsgivaren i samband med slutrapport eller förstörs av Försvarets radioanstalt. Enligt Datainspektionen ger uttalandena i förarbetena, som hänvisar till bestämmelser i förordning (1994:714) med instruktion för Försvarets radioanstalt (och som motsvaras av 4 i nu gällande instruktion (2007:937) uttryck för att sådana personuppgifter som FRA får del av i egenskap av personuppgiftsbiträde för statliga myndigheter och statliga bolag (inom ramen för olika former av informationssäkerhetsarbete i förhållande till dessa myndigheter och bolag) inte behandlas vidare vid FRA. Uttalandena ger vidare stöd för att påstå att lagstiftaren vid framtagandet av FRA-PuL inte berört eller tagit ställning till de frågor som aktualiseras i detta samråd. Utgångspunkten har således varit att de aktuella uppgifterna inte används vidare i FRA:s försvarsunderrättelse- eller utvecklingsverksamhet inom ramen för myndighetens signalspaning, utan återsänds till uppdragsgivarna alternativt förstörs. I det sammanhanget kan också nämnas att regeringen i samma förarbeten bland annat berörde frågan om personuppgifter som inhämtas i FRA:s Sida 4 av 7

5 utvecklingsverksamhet (dvs. verksamhet som syftar till att följa förändringen av signalmiljöfl m.m. och som är en nödvändighet för att FRA ska bedriva en effektiv signalspaning i försvarsunderrättelseverksamheten). Regeringen konstaterade, att eftersom utvecklingsverksamheten syftar till att möjliggöra försvarsunderrättelseverksamheten, kan det inte anses oförenligt med de ändamål för vilka uppgifterna i utvecklingsverksamheten samlas in att uppgifterna också i viss utsträckning (Datainspektionens kursivering) behandlas iförsvarsunderrättelseverksamheten (prop. 2006/07:46, sid. 67 f.). Enligt Datainspektionen visar detta att frågan om ändamål och användning av uppgifter från en verksamhet i en annan (som båda är starkt avhängiga av varandra) har varit föremål för bedömning och att regeringen inte ansett att ett fritt flöde ska råda. När det gäller det omvända flödet, konstaterar Datainspektionen att till skillnad från vad som beskrivits i föregående två stycken om förhållandet mellan utvecklingsverksamheten och försvarsunderrättelseverksamheten när det gäller signalspaning, utgör TDV-verksamhet, såvitt kan bedömas, i sig inte någon motsvarande nödvändig förutsättning för att bedriva signalspaning i försvarsunderrättelseverksamhet. I det fallet handlar det enligt Datainspektionen istället primärt om att det har identifierats ett användningsområde i TDV-verksamheten for sådana uppgifter som FRA inhämtar i sin IT-hotsverksamheten iförsvarsunderrättelseverksamheten. FRA har i de allmänna råden som ansluter till föreskrifterna adresserat frågan om ändamålet med behandlingen och angett att en bedömning i det enskilda fallet får avgöra om en behandling i TDV-verksamheten är förenlig med insamlingsändamålet. Enligt Datainspektionen finns det mot den angivna bakgrunden, samt med hänsyn till de ändamålsbestämmelser som finns i såväl PuL (avser flödet av personuppgifter från TDV-verksamheten till IT-hotsverksamheten i signalspaningen) som i FRA-PuL (avser flödet av personuppgifter från IThotsverksamheten i försvarsunderrättelseverksamheten till TDVverksamheten) anledning att i vart fall ifrågasätta lämpligheten av att utan uttryckligt stöd i lag eller annan författning bedriva en verksamhet som består i att överföra personuppgifter mellan en verksamhet som FRA bedriver med stöd av 4 instruktionen för FRA och sådan signalspaning i försvarsunderrättelseverksamhet som myndigheten bedriver med stöd av 1 i sin instruktion (och lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet). Det gäller även om de personuppgifter som avses utgörs av s.k. signaturer. Sida 5 av 7

6 Även för att säkerställa att den verksamhet som FRA (och andra försvarsunderrättelsemyndigheter) bedriver ska kunna förstås av envar är det enligt Datainspektionen viktigt att det styrande regelverket är klart och tydligt. Det var också ett av syftena med tillkomsten av författningsregleringarna på försvarsunderrättelseområdet (se bl.a. prop. 1999/2000:25, sid 12), vilket hänger samman med att möjligheterna till utomstående insyn i verksamheterna är obefintliga eller starkt begränsade. När en verksamhet som den nu aktuella inte finns beskriven i FRA-PuL och förarbetena till lagen närmast ger intryck av att någon överföring av uppgifter i jämförbara fall inte äger rum, bör inriktningen vara att skapa en tydlig rättslig grund som motsvarar behoven i den verksamhet som bedrivs idag (med beaktande av den tekniska utvecklingen och de krav som ställs på verksamheten i form av nya uppdrag från uppdragsgivarna). I detta fall innebär det att Datainspektionen forordar en ändring i FRA-PuL. Genom ändringen skulle lagstiftaren tydligt kunna ange vad som ska gälla när personuppgifter som uppkommit i FRA:s signalspaning i försvarsunderrättelseverksamhet (IT -hotsverksamheten) ska användas i myndighetens TDV-verksamhet (informationssäkerhetsområdet). En sådan ändring skulle också kunna klarlägga gränserna for det omvända flödet, dvs. användandet av uppgifter från TDV-verksamheten i IT-hotsverksamheten och inte tvinga FRA att göra en bedömning i varje enskilt fall. Den senare delen (användandet i IT-hotsverksamheten) har också bäring på bestämmelser om tillstånd och sökbegrepp i signalspaningslagstiftningen. Sammanfattningsvis bedömer Datainspektionen, i likhet med FRA, att den verksamhet som avser de relevanta bestämmelserna i utkastet till föreskrifter och allmänna råd kan innehålla personuppgifter. Inspektionen anser uppgifterna, som utgörs av s.k. signaturer, inte framstår som särskilt integritetskänsliga. Emellertid anser Datainspektionen att det får anses råda en viss tveksamhet om det flöde av personuppgifter som ändå kommer att ske (åt båda håll) i den tänka verksamheten har uttryckligt stöd i tillämpliga ändamålsbestämmelser. FRA bör därfor verka för det ska finnas regler som uttryckligen ger stöd för den personuppgiftsbehandling som ska ske med anledning av TDV-verksamheten. Utöver frågan som avser själva tillåtligheten i sig av överforingen av uppgifter från TDV-verksamheten till IT-hotsverksamheten (och omvänt) välkomnar Datainspektionen att det i föreskrifterna och de allmänna råden påminns om Sida 6 av 7

7 innehållet i 1 kap. 8 FRA-PuL, samt att kraven avseende inriktning och tillstånd måst iakttas. I övrigt vill Datainspektionen lämna följande kommentarer avseende de föreskrifter och allmänna råd som samrådet avser. Det är viktigt att de gallringsrutiner som ska tillämpas i TDV-verksamheten inte medför att personuppgifter (i tillämpliga delar) kan bli kvar under längre tid än vad som skulle vara tillåtet vid en tillämpning av 6 kap. 1 FRA-PuL eller de specifika gallrings bestämmelserna i FRA-PuF. Inte heller ska den verksamhet som avses i i utkastet till foreskrifterna medge en mer tillåtande behandling än motsvarande bestämmelser i FRA-PuL och FRA-PuF. Det är lämpligt att sådana kontroller sker inom ramen för den utvärdering av föreskrifterna och de allmänna råden som FRA ska vidta och som finns beskriven i utkastet. Detta yttrande har beslutats av tillförordnade generaldirektören Hans-Olof Lindblom, i närvaro av tillsynschefen Britt Marie Wester, samt juristerna Elisabeth Wallin och Nicklas Hjertonsson, föredragande. \lt 1~.12;:;:---_ Nicklas Hjertonsson Sida 7 av 7