Lagar.seRegisterFörordning om behandling av personuppgifter vid Försvarets radioanstalt4 kap. Skyldigheter som personuppgiftsansvarig

4 kap. Skyldigheter som personuppgiftsansvarig

Ur Förordning (2021:1208) om behandling av personuppgifter vid Försvarets radioanstalt

Sammanfattning

Försvarets radioanstalt ska föra loggar i myndighetens informationssystem som innehåller uppgiftssamlingar för försvarsunderrättelseverksamhet och informationssäkerhetsverksamhet (3 §).

Försvarets radioanstalt ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter (4 §).

Försvarets radioanstalt ska ha sådana interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas (6 §).

Försvarets radioanstalt ska säkerställa att dataskyddsombud ges möjlighet att delta i arbetet med frågor som rör skyddet av personuppgifter (7 §).

Denna sammanfattning är förenklad. Läs originaltexten nedan för fullständig information.

Vanliga frågor

Hur kontrolleras det vem som har tagit del av personuppgifter hos Försvarets radioanstalt?

Försvarets radioanstalt ska föra loggar i myndighetens informationssystem som innehåller uppgiftssamlingar för försvarsunderrättelseverksamhet och informationssäkerhetsverksamhet. Av loggarna ska, så långt det är möjligt, framgå vem som har läst, skapat, ändrat eller raderat personuppgifter i en uppgiftssamling samt tidpunkten för åtgärden (3 §).

Vilka krav ställs för att en anställd ska få tillgång till personuppgifter?

För tilldelning av behörighet för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, kan finnas krav på utbildning och erfarenhet. Försvarets radioanstalt ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter (4 §).

Vad gäller för den som vill anmäla en överträdelse av reglerna för personuppgifter?

Försvarets radioanstalt ska ha sådana interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas (6 §).

Lagtext

1 §

De åtgärder som Försvarets radioanstalt ska vidta enligt 4 kap. 1 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska vara rimliga med beaktande av behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen.

2 §

Försvarets radioanstalt ska föra en förteckning över de kategorier av behandlingar av personuppgifter som myndigheten ansvarar för. Förteckningen ska innehålla följande uppgifter: 1. namnet på och kontaktuppgifter till myndigheten, 2. namnet på dataskyddsombudet, 3. namnet på personuppgiftsbiträdet, 4. ändamålen med behandlingen, 5. de kategorier av registrerade som berörs av behandlingen, 6. de kategorier av personuppgifter som kan komma att behandlas, 7. de kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas, 8. de kategorier av mottagare som uppgifterna kan komma att överföras till, inbegripet mottagare i ett annat land eller i en internationell organisation, och 9. om det är möjligt, en allmän beskrivning av vilka säkerhetsåtgärder som har vidtagits.

3 §

Försvarets radioanstalt ska föra loggar i myndighetens informationssystem som innehåller uppgiftssamlingar för försvarsunderrättelseverksamhet och informationssäkerhetsverksamhet. Av loggarna ska, så långt det är möjligt, framgå vem som har läst, skapat, ändrat eller raderat personuppgifter i en uppgiftssamling samt tidpunkten för åtgärden.

4 §

För tilldelning av behörighet för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, kan finnas krav på utbildning och erfarenhet. Försvarets radioanstalt ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till personuppgifter.

5 §

De skyddsåtgärder som ska vidtas enligt 4 kap. 3 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska åstadkomma en skyddsnivå som är lämplig med hänsyn till 1. de tekniska möjligheterna, 2. kostnaderna för åtgärderna, 3. behandlingens art, omfattning, sammanhang och ändamål, 4. de särskilda riskerna med behandlingen, 5. om känsliga personuppgifter behandlas, och 6. hur integritetskänsliga övriga personuppgifter som behandlas är.

6 §

Försvarets radioanstalt ska ha sådana interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.

7 §

Försvarets radioanstalt ska säkerställa att dataskyddsombud ges möjlighet att delta i arbetet med frågor som rör skyddet av personuppgifter. Försvarets radioanstalt ska se till att dataskyddsombud kan utföra de uppgifter som anges i 4 kap. 5 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt genom att tillhandahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter som behandlas. Försvarets radioanstalt ska också se till att dataskyddsombud har den sakkunskap som krävs och att de ges möjlighet att upprätthålla denna.

8 §

Ett avtal eller annan överenskommelse enligt 4 kap. 7 § lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt ska ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, kategorier av personuppgifter, kategorier av registrerade samt Försvarets radioanstalts skyldigheter och rättigheter. I avtalet eller överenskommelsen ska det särskilt anges att personuppgiftsbiträdet ska 1. behandla personuppgifter enbart enligt instruktioner från Försvarets radioanstalt, 2. säkerställa att personer som har tillstånd att behandla personuppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt, 3. hjälpa Försvarets radioanstalt att säkerställa att bestämmelserna om registrerades rättigheter följs, 4. radera eller återlämna alla personuppgifter till Försvarets radioanstalt när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior, 5. ge Försvarets radioanstalt tillgång till den information som krävs för att visa att denna paragraf och 4 kap. 6-9 §§ lagen om behandling av personuppgifter vid Försvarets radioanstalt följs, och 6. respektera de villkor som följer av denna paragraf och 4 kap. 8 § lagen om behandling av personuppgifter vid Försvarets radioanstalt, om ett annat personuppgiftsbiträde anlitas.

9 §

Skyldigheterna enligt 4 § om tillgången till personuppgifter tillämpas även för personuppgiftsbiträden.