4 kap. Skyldigheter som personuppgiftsansvarig
Ur Förordning (2019:1235) om Säkerhetspolisens behandling av personuppgifter
Sammanfattning
De tekniska och organisatoriska åtgärder som Säkerhetspolisen ska vidta enligt 5 kap. 1 och 2 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska vara rimliga med hänsyn till behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen (1 §). Säkerhetspolisen ska föra en förteckning över de kategorier av behandlingar av personuppgifter som myndigheten ansvarar för (3 §). Skyldigheten att föra loggar i automatiserade behandlingssystem enligt 5 kap. 4 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredjeland eller internationella organisationer, sammanföring och radering av personuppgifter (4 §). Vid tilldelning av behörighet för åtkomst till personuppgifter ska, utöver behovet av uppgifterna, utbildning och erfarenhet särskilt beaktas (5 §).
Denna sammanfattning är förenklad. Läs originaltexten nedan för fullständig information.
Vanliga frågor
Vad registreras när någon hos Säkerhetspolisen tar del av personuppgifter?
Skyldigheten att föra loggar i automatiserade behandlingssystem ska omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredjeland eller internationella organisationer, sammanföring och radering av personuppgifter. Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen. Så långt det är möjligt ska loggarna visa vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av personuppgifterna (4 §).
Vad avgör vem som får ha tillgång till personuppgifter hos myndigheten?
Vid tilldelning av behörighet för åtkomst till personuppgifter ska Säkerhetspolisen, utöver behovet av uppgifterna, särskilt beakta utbildning och erfarenhet (5 §).
Hur hanteras anmälningar om felaktig hantering av personuppgifter?
Säkerhetspolisen ska ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling. Rutinerna ska garantera att anmälarens identitet skyddas (9 §).
Lagtext
1 §
De tekniska och organisatoriska åtgärder som Säkerhetspolisen ska vidta enligt 5 kap. 1 och 2 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska vara rimliga med hänsyn till behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen. När Säkerhetspolisen vidtar åtgärder enligt 5 kap. 2 § samma lag ska även de tekniska möjligheterna och kostnaderna för åtgärderna beaktas.
2 §
De tekniska och organisatoriska åtgärder som avses i 5 kap. 1 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska innefatta antagande och dokumentation av interna strategier för dataskydd, om det inte är uppenbart obehövligt med hänsyn till verksamhetens begränsade omfattning.
3 §
Säkerhetspolisen ska föra en förteckning över de kategorier av behandlingar av personuppgifter som myndigheten ansvarar för. Förteckningen ska innehålla namnet på och kontaktuppgifter till myndigheten och dataskyddsombud. Förteckningen ska dessutom, för varje kategori av behandling, innehålla följande uppgifter: 1. den rättsliga grunden för behandlingen, 2. ändamålen med behandlingen, 3. de kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas, 4. de kategorier av mottagare som uppgifterna kan komma att lämnas ut till, även i tredjeland eller internationella organisationer, 5. de kategorier av registrerade som berörs av behandlingen, 6. de kategorier av personuppgifter som kan komma att behandlas, 7. samlingar av överföringar av personuppgifter till tredjeland eller internationella organisationer, 8. användning av profilering, 9. om det är möjligt, tidsfrister för hur länge kategorierna av personuppgifter får behandlas, och 10. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder som har vidtagits.
4 §
Skyldigheten att föra loggar i automatiserade behandlingssystem enligt 5 kap. 4 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska omfatta behandlingar som innebär insamling, ändring, läsning, utlämning, överföring till tredjeland eller internationella organisationer, sammanföring och radering av personuppgifter. Loggarna över läsning och utlämning ska visa datum och tidpunkt för behandlingen och, så långt det är möjligt, vem som har läst eller lämnat ut personuppgifterna och vem som har fått ta del av personuppgifterna.
1 paragraf refererar hit
5 §
Vid tilldelning av behörighet för åtkomst till personuppgifter ska, utöver behovet av uppgifterna, utbildning och erfarenhet särskilt beaktas.
6 §
Säkerhetspolisen ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter.
7 §
Konsekvensbedömningar som avses i 5 kap. 6 § första stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska dokumenteras och innehålla följande uppgifter: 1. en allmän beskrivning av den planerade behandlingen, 2. en bedömning av riskerna för intrång i registrerades personliga integritet, 3. vilka åtgärder som planeras för att hantera riskerna, 4. åtgärder och rutiner för att säkerställa skyddet av personuppgifterna, och 5. rutiner för att visa att tillämpliga dataskyddsregler följs.
8 §
Vid förhandssamråd enligt 5 kap. 6 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska Säkerhetspolisen lämna in konsekvensbedömningen till tillsynsmyndigheten och tillhandahålla den övriga information som begärs av myndigheten. Vid bedömningen av om typen av behandling innebär en sådan risk för intrång i registrerades personliga integritet att förhandssamråd ska äga rum ska ny teknik, nya rutiner eller nya förfaranden särskilt beaktas.
9 §
Säkerhetspolisen ska ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.
10 §
Säkerhetsåtgärder enligt 5 kap. 7 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska åstadkomma en skyddsnivå som är lämplig med hänsyn till 1. de tekniska möjligheterna, 2. kostnaderna för åtgärderna, 3. behandlingens art, omfattning, sammanhang och ändamål, 4. de särskilda riskerna med behandlingen, 5. om känsliga personuppgifter behandlas, och 6. hur integritetskänsliga övriga personuppgifter som behandlas är.
11 §
Säkerhetspolisen ska säkerställa att dataskyddsombud ges möjlighet att delta i de frågor som rör skyddet av personuppgifter. Säkerhetspolisen ska se till att dataskyddsombud kan utföra de uppgifter som anges i 5 kap. 10 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Säkerhetspolisen ska också se till att dataskyddsombud har den sakkunskap som krävs och att de ges möjlighet att upprätthålla denna.
12 §
Ett avtal eller en annan överenskommelse enligt 5 kap. 11 § andra stycket lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter ska ange vad behandlingen av personuppgifter ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av registrerade och Säkerhetspolisens skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt föreskrivas att personuppgiftsbiträdet ska 1. behandla personuppgifter bara enligt instruktioner från Säkerhetspolisen, 2. säkerställa att personer som har tillstånd att behandla personuppgifter antingen har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt, 3. hjälpa Säkerhetspolisen att säkerställa att bestämmelserna om registrerades rättigheter följs, 4. radera eller återlämna alla personuppgifter till Säkerhetspolisen när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior, 5. ge Säkerhetspolisen tillgång till den information som krävs för att visa att det som sägs i denna paragraf, 13 § och 5 kap. 11-13 §§ lagen om Säkerhetspolisens behandling av personuppgifter följs, och 6. respektera de villkor som framgår av denna paragraf, 13 § och 5 kap. 12 § lagen om Säkerhetspolisens behandling av personuppgifter när ett annat personuppgiftsbiträde anlitas.
13 §
Om Säkerhetspolisen har lämnat ett generellt tillstånd enligt 5 kap. 12 § lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter, ska personuppgiftsbiträdet informera Säkerhetspolisen innan nya personuppgiftsbiträden anlitas.
14 §
Varje personuppgiftsbiträde ska föra en förteckning över kategorier av behandlingar av personuppgifter som utförs för Säkerhetspolisens räkning. Förteckningen ska innehålla namnet på och kontaktuppgifter till personuppgiftsbiträdet och Säkerhetspolisen och dessutom, för varje kategori av behandling, följande uppgifter: 1. namnet på och kontaktuppgifter till eventuella underbiträden, 2. vilka uppgifter som har överförts och till vem, om överföringar av personuppgifter har gjorts till ett tredjeland eller en internationell organisation, och 3. om det är möjligt, en allmän beskrivning av de säkerhetsåtgärder som har vidtagits.
15 §
Det som sägs om Säkerhetspolisens skyldigheter i 4 och 10 §§ gäller även för personuppgiftsbiträden.
16 §
Innan Säkerhetspolisen meddelar föreskrifter med stöd av denna förordning, ska tillsynsmyndigheten ges tillfälle att yttra sig i frågor som berör särskilda risker för intrång i den personliga integriteten.
17 §
Tillsynsmyndigheten får meddela ytterligare föreskrifter om 1. sådana åtgärder som avses i 5 kap. 1-3 och 7 §§ lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter, 2. krav och rutiner för loggning enligt 5 kap. 4 § lagen om Säkerhetspolisens behandling av personuppgifter, och 3. vilka typer av behandlingar som ska omfattas av förhandssamråd enligt 5 kap. 6 § lagen om Säkerhetspolisens behandling av personuppgifter.