Dnr~@.j;~~~'Z Handlägges.Q"(4.e...



Relevanta dokument
Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Yttrande i Förvaltningsrätten i Stockholms mål

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Sammanställning över Siuns inspektioner av FRA Inspektionsdatum Ärenden Beskrivning av ev. synpunkter Kommentar/åtgärd 2009 Signalspaning

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn - äldreomsorg

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Ombud: N.N N.N Danowsky & Partners Advokatbyrå KB Box STOCKHOLM

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsynsbeslut; omdömen om elever

Polismyndigheten i Uppsala län Box UPPSALA. Datainspektionen meddelar följande BESLUT

Komplettering av överklagande

Datainspektionen lämnar följande synpunkter.

Tillsyn avseende undersökningen Hälsa Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Promemorian Vissa frågor om vapenlagen (Ds 2010:6)

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

Svar på förfrågan om vad som utgör en känslig personuppgift

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Tillsyn enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Personuppgiftsbehandling i forskning

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Försvarets radioanstalts (FRA) behandling av personuppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Samråd enligt 2 och 3 patientdataförordningen

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Personuppgiftsansvarig och personuppgiftsbiträde

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Snabbare lagföring (Ds 2018:9)

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Säkerhetspolisens behandling av personuppgifter inom ramen för NCT-samarbetet

Tillsyn enligt personuppgiftslagen (1998:204)

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Överklagande. Prövningstillstånd. Kammarrätten i Jönköping Box Jönköping. Klagande Datainspektionen, Box 8114, Stockholm

Utkast till lagrådsremissen Vägtrafikdatalag

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Kommittédirektiv. Uppföljning av lagen om signalspaning i försvarsunderrättelseverksamhet. Dir. 2009:10

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Transkript:

Datainspektionen Yttrande Diarienr 2013-5- 2 9 707-2013 Ert diarienr 204 0:3418/13 FRA FÖRSVARETS RADIOANSTALT Box 301 Ink 2013-05- 3 O 16126 BROMMA Dnr~@.j;~~~'Z Handlägges.Q"(4.e... Yttrande i samrådsärende avseende delar av utkast till föreskrifter och allmänna råd om TDV Inledning FRA har i skrivelse som inkom till Datainspektionen den 20 maj 2013 begärt samråd med inspektionen avseende 3 kap. 11-17,19 och 21 i utkast till föreskrifter och allmänna råd rörande tekniskt detekterings- och varningssystem (nedan TDV). Datainspektionen har vid möte den 7 maj 2013 vid FRA fått en presentation av ett utkast till de aktuella föreskrifterna och allmänna råden i sin helhet samt en beskrivning av TDV-verksamheten som sådan. Vid mötet fick Datainspektionen även möjlighet att ställa frågor. Härigenom har inspektionen fått kunskap om TDV:s uppbyggnad, funktion och andra omständigheter som är av betydelse för handläggningen av detta ärende. Samrådet rör fåreskrifter som avser det faktum att FRA, efter överenskommelse med de så kallade TDV-uppdragsgivarna, har får avsikt att använda och behandla personuppgifter som hanteras i TDV-verksamhetens informationssäkerhetsdel - i signalspaningsverksamheten (dvs. i försvarsunderrättelseverksamheten och då närmare bestämt i IThotsverksamheten, se bl.a. 1 2 st 5 p lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet (signalspaningslagen)). Vidare har FRA får avsikt att använda uppgifter som inhämtas i IT-hotsverksamheten i signalspaningsverksamheten (i fårsvarsunderrättelseverksamheten) i TDVverksamheten. Det handlar således om ett flöde åt två håll. Postadress: Box 8114, 10420 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Den behandling av personuppgifter, som sker inom ramen för FRA:s övriga informationssäkerhetsarbete med anledning av TDV, omfattas inte av detta samråd. FRA:s behandling av personuppgifter i myndighetens försvarsunderrättelseverksamhet (i vilken IT-hotsverksamheten ingår) regleras i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (FRA-PuL). Enligt den förordning (FRA-PuF) som ansluter till FRA-PuL har FRA rätt att meddela föreskrifter om verkställigheten av bestämmelserna i FRA-PuL, 13 FRA-PuF. I den utsträckning som de föreskrifter som FRA meddelar berör integritetsskyddet vid personuppgiftsbehandling vid FRA ska myndigheten samråda med Datainspektionen. I TDV-verksamheten (utanför försvarsunderrättelseverksamheten) behandlar FRA personuppgifter med stöd av personuppgiftslagen (1998:204) (PuL). Någon skyldighet att samråda beträffande foreskrifter som rör personuppgiftsbehandling sker med stöd av PuL finns inte. Det finns dock inget som hindrar FRA att samråda även beträffande sådana föreskrifter. FRA har i samrådshandlingen anfört i huvudsak följande. Syftet med TDV är att upptäcka IT-angrepp riktade mot svensk samhällsviktig verksamhet och kritisk infrastruktur samt att möjliggöra skyddsåtgärder mot dessa angrepp. Ett TDV är en del av ett cyberförsvar som syftar till att skydda svenska intressen mot JT-angrepp från de mest resursstarka utländska aktörerna. Regeringen har uttalat att ett TDV bör genomföras successivt inom ramen för FRA:s verksamhet i syfte att stärka skyddet för samhällsviktig verksamhet (prop. 2012/13:1, utgiftsområde 65. sid. 99). FRA har även enligt sin instruktion till uppgift att bedriva signalspaning. Ett av signalspaningsuppdragen syftar till att följa JT-hot och dess utveckling i det globala nätet. Genom detta arbete kan FRA identifiera en del av de mest kvalificerade angreppen. Denna kunskap kan användas i TDV i form av signaturer. Det finns således synergieffekter mellan signalspanings- och informationssäkerhetsverksamheterna. Sida 2 av 7

Datainspektionens bedömnin9 I detta yttrande bedömer Datainspektionen inte på något sätt lämpligen att i och för sig bedriva TDV-verksamhet. Inspektionen konstaterar att FRA har fått i uppdrag att bedriva sådan verksamhet och syftet med Datainspektionens yttrande är endast att bedöma den personuppgiftsbehandling som verksamheten kan ge upphov till i förhållande till gällande regelverk. Den behandling av personuppgifter som ansluter till TDV sker i tre former. Inledningsvis behandlar FRA personuppgifter i egenskap av personuppgiftsbiträde för TDV-uppdragsgivarnas räkning. Därutöver behandlar FRA personuppgifter för egen del, dels inom ramen för myndighetens övriga informationssäkerhetsarbete (omfattas inte av samrådet), dels i IT-hotsverksamheten. Det är endast IT-hotsverksamheten som innefattar signalspaning i försvarsunderrättelseverksamhet (och där personuppgiftsbehandlingen regleras av FRA-PuL). Enligt 3 kap. 11 och 12 i utkastet till föreskrifter kommer personuppgifter att kunna överlämnas från FRA:s IT-hotsverksamhet till TDV-verksamheten och enligt 19 och 21 från TDV-verksamheten till IT-hotsverksamheten. Av den beskrivning av TDV som FRA har lämnat till Datainspektionen framgår att de personuppgifter som kan komma att överlämnas mellan TDVverksamheten och FRA:s IT-hotsverksamhet (och omvänt) utgörs avs.k. signaturer som, tillsammans med detekteringsverktyg, används för att identifiera IT-angrepp. Signaturerna kan i vissa fall härledas till en fysisk person i livet och således utgöra personuppgifter. Det är dock inte fråga om överlämnande av innehållet i e-postkommunikation eller liknande uppgifter. Enligt 9 PuL får personuppgifter endast samlas in för särskilda uttryckligt angivna och berättigade ändamål (9 c) och personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna samlades in (9 d). Det innebär att man måste pröva om den insamling av personuppgifter som sker i TDV-verksamheten är förenlig med det ändamål för vilket uppgifterna ska behandlas i IT-hotsverksamheten. Enligt l kap. 6 3 P FRA-PuL ska FRA se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål och enligt l kap. 6 4 P FRA-PuL får personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Det innebär att man Sida 3 av 7

måste pröva om den insamling av personuppgifter som sker i IThotsverksamheten är förenlig med det ändamål för vilket uppgifterna ska behandlas i TDV-verksamheten. Som utgångspunkt för sin bedömning använder sig Datainspektionen av de uttalanden som gjorts i förarbetena (prop. 2006/07:46, sid. 30 f.) till FRA-PuL (som trädde i kraft den l juli 2007). Där angavs följande i beskrivningen av den behandling av personuppgifter som vid den tidpunkten skedde vid FRA. Vidare följer av 3 a första stycket 3-4 instruktionen att Försvarets radioanstalt får, efter begäran från sådana uppdragsgivare, genomföra IT-säkerhetsanalyser och ge annat tekniskt stöd. Uppdragsgivarna kan ha känsliga datorsystem som de inte vill eller anser sig kunna blottlägga för privata aktörer. De har då möjlighet att vända sig till Försvarets radio anstalt som på deras begäran kan göra bl.a. en informationssäkerhetsanalys. Informationssäkerhetsanalysen gör det möjligt för uppdragsgivaren att prioritera de insatser som är nödvändiga för att driften av datorsystemen skall kunna säkerställas. Konsultverksamheten på Försvarets radioanstalt har hittills främst rört aktiva IT-kontroller, som innebär att myndigheten på uppdragsgivarens begäran söker efter och analyserar brister i säkerheten i datorsystemen. Den information som Försvarets radioanstalt erhåller i samband med att en aktiv IT-kontroll görs kan innehålla personuppgifter. Vid behandling av dessa personuppgifter agerar Försvarets radioanstalt, med stöd av ett avtal med uppdragsgivaren, som personuppgiftsbiträde för dennes räkning. Personuppgifterna behandlas således av Försvarets radioanstalt helt i enlighet med uppdragsgivarens instruktioner. Den information som Försvarets radioanstalt får i samband med att uppgifterna i 3 a första stycket 3-4 instruktionen utförs används inte i myndighetens försvarsunderrättelse- eller utvecklingsverksamhet. Data innehållande bl.a. personuppgifter återsänds till uppdragsgivaren i samband med slutrapport eller förstörs av Försvarets radioanstalt. Enligt Datainspektionen ger uttalandena i förarbetena, som hänvisar till bestämmelser i förordning (1994:714) med instruktion för Försvarets radioanstalt (och som motsvaras av 4 i nu gällande instruktion (2007:937) uttryck för att sådana personuppgifter som FRA får del av i egenskap av personuppgiftsbiträde för statliga myndigheter och statliga bolag (inom ramen för olika former av informationssäkerhetsarbete i förhållande till dessa myndigheter och bolag) inte behandlas vidare vid FRA. Uttalandena ger vidare stöd för att påstå att lagstiftaren vid framtagandet av FRA-PuL inte berört eller tagit ställning till de frågor som aktualiseras i detta samråd. Utgångspunkten har således varit att de aktuella uppgifterna inte används vidare i FRA:s försvarsunderrättelse- eller utvecklingsverksamhet inom ramen för myndighetens signalspaning, utan återsänds till uppdragsgivarna alternativt förstörs. I det sammanhanget kan också nämnas att regeringen i samma förarbeten bland annat berörde frågan om personuppgifter som inhämtas i FRA:s Sida 4 av 7

utvecklingsverksamhet (dvs. verksamhet som syftar till att följa förändringen av signalmiljöfl m.m. och som är en nödvändighet för att FRA ska bedriva en effektiv signalspaning i försvarsunderrättelseverksamheten). Regeringen konstaterade, att eftersom utvecklingsverksamheten syftar till att möjliggöra försvarsunderrättelseverksamheten, kan det inte anses oförenligt med de ändamål för vilka uppgifterna i utvecklingsverksamheten samlas in att uppgifterna också i viss utsträckning (Datainspektionens kursivering) behandlas iförsvarsunderrättelseverksamheten (prop. 2006/07:46, sid. 67 f.). Enligt Datainspektionen visar detta att frågan om ändamål och användning av uppgifter från en verksamhet i en annan (som båda är starkt avhängiga av varandra) har varit föremål för bedömning och att regeringen inte ansett att ett fritt flöde ska råda. När det gäller det omvända flödet, konstaterar Datainspektionen att till skillnad från vad som beskrivits i föregående två stycken om förhållandet mellan utvecklingsverksamheten och försvarsunderrättelseverksamheten när det gäller signalspaning, utgör TDV-verksamhet, såvitt kan bedömas, i sig inte någon motsvarande nödvändig förutsättning för att bedriva signalspaning i försvarsunderrättelseverksamhet. I det fallet handlar det enligt Datainspektionen istället primärt om att det har identifierats ett användningsområde i TDV-verksamheten for sådana uppgifter som FRA inhämtar i sin IT-hotsverksamheten iförsvarsunderrättelseverksamheten. FRA har i de allmänna råden som ansluter till föreskrifterna adresserat frågan om ändamålet med behandlingen och angett att en bedömning i det enskilda fallet får avgöra om en behandling i TDV-verksamheten är förenlig med insamlingsändamålet. Enligt Datainspektionen finns det mot den angivna bakgrunden, samt med hänsyn till de ändamålsbestämmelser som finns i såväl PuL (avser flödet av personuppgifter från TDV-verksamheten till IT-hotsverksamheten i signalspaningen) som i FRA-PuL (avser flödet av personuppgifter från IThotsverksamheten i försvarsunderrättelseverksamheten till TDVverksamheten) anledning att i vart fall ifrågasätta lämpligheten av att utan uttryckligt stöd i lag eller annan författning bedriva en verksamhet som består i att överföra personuppgifter mellan en verksamhet som FRA bedriver med stöd av 4 instruktionen för FRA och sådan signalspaning i försvarsunderrättelseverksamhet som myndigheten bedriver med stöd av 1 i sin instruktion (och lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet). Det gäller även om de personuppgifter som avses utgörs av s.k. signaturer. Sida 5 av 7

Även för att säkerställa att den verksamhet som FRA (och andra försvarsunderrättelsemyndigheter) bedriver ska kunna förstås av envar är det enligt Datainspektionen viktigt att det styrande regelverket är klart och tydligt. Det var också ett av syftena med tillkomsten av författningsregleringarna på försvarsunderrättelseområdet (se bl.a. prop. 1999/2000:25, sid 12), vilket hänger samman med att möjligheterna till utomstående insyn i verksamheterna är obefintliga eller starkt begränsade. När en verksamhet som den nu aktuella inte finns beskriven i FRA-PuL och förarbetena till lagen närmast ger intryck av att någon överföring av uppgifter i jämförbara fall inte äger rum, bör inriktningen vara att skapa en tydlig rättslig grund som motsvarar behoven i den verksamhet som bedrivs idag (med beaktande av den tekniska utvecklingen och de krav som ställs på verksamheten i form av nya uppdrag från uppdragsgivarna). I detta fall innebär det att Datainspektionen forordar en ändring i FRA-PuL. Genom ändringen skulle lagstiftaren tydligt kunna ange vad som ska gälla när personuppgifter som uppkommit i FRA:s signalspaning i försvarsunderrättelseverksamhet (IT -hotsverksamheten) ska användas i myndighetens TDV-verksamhet (informationssäkerhetsområdet). En sådan ändring skulle också kunna klarlägga gränserna for det omvända flödet, dvs. användandet av uppgifter från TDV-verksamheten i IT-hotsverksamheten och inte tvinga FRA att göra en bedömning i varje enskilt fall. Den senare delen (användandet i IT-hotsverksamheten) har också bäring på bestämmelser om tillstånd och sökbegrepp i signalspaningslagstiftningen. Sammanfattningsvis bedömer Datainspektionen, i likhet med FRA, att den verksamhet som avser de relevanta bestämmelserna i utkastet till föreskrifter och allmänna råd kan innehålla personuppgifter. Inspektionen anser uppgifterna, som utgörs av s.k. signaturer, inte framstår som särskilt integritetskänsliga. Emellertid anser Datainspektionen att det får anses råda en viss tveksamhet om det flöde av personuppgifter som ändå kommer att ske (åt båda håll) i den tänka verksamheten har uttryckligt stöd i tillämpliga ändamålsbestämmelser. FRA bör därfor verka för det ska finnas regler som uttryckligen ger stöd för den personuppgiftsbehandling som ska ske med anledning av TDV-verksamheten. Utöver frågan som avser själva tillåtligheten i sig av överforingen av uppgifter från TDV-verksamheten till IT-hotsverksamheten (och omvänt) välkomnar Datainspektionen att det i föreskrifterna och de allmänna råden påminns om Sida 6 av 7

innehållet i 1 kap. 8 FRA-PuL, samt att kraven avseende inriktning och tillstånd måst iakttas. I övrigt vill Datainspektionen lämna följande kommentarer avseende de föreskrifter och allmänna råd som samrådet avser. Det är viktigt att de gallringsrutiner som ska tillämpas i TDV-verksamheten inte medför att personuppgifter (i tillämpliga delar) kan bli kvar under längre tid än vad som skulle vara tillåtet vid en tillämpning av 6 kap. 1 FRA-PuL eller de specifika gallrings bestämmelserna i FRA-PuF. Inte heller ska den verksamhet som avses i 15-17 i utkastet till foreskrifterna medge en mer tillåtande behandling än motsvarande bestämmelser i FRA-PuL och FRA-PuF. Det är lämpligt att sådana kontroller sker inom ramen för den utvärdering av föreskrifterna och de allmänna råden som FRA ska vidta och som finns beskriven i utkastet. Detta yttrande har beslutats av tillförordnade generaldirektören Hans-Olof Lindblom, i närvaro av tillsynschefen Britt Marie Wester, samt juristerna Elisabeth Wallin och Nicklas Hjertonsson, föredragande. \lt 1~.12;:;:---_ Nicklas Hjertonsson Sida 7 av 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss