OBS! Det finns en senare version.

Områden: Dataskydd & sekretess

Ändring till och med: SFS 2019:110

1 kap. Lagens tillämpningsområde

Lagen gäller för utövare av säkerhetskänslig verksamhet

1 § Denna lag gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet).

I lagen finns också bestämmelser om internationell samverkan i övrigt på säkerhetsskyddsområdet.

Vad som avses med säkerhetsskydd

2 § Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.

Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.

Undantag från bestämmelserna om säkerhetsskydd

3 § För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. I övrigt gäller lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.

Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket. Lag (2019:110).

Särskilda bestämmelser om statsministerns tjänstebostäder och skyddsobjekt

4 § I lagen (2014:514) om ansvar för vissa säkerhetsfrågor vid statsministerns tjänstebostäder finns bestämmelser om ansvar för fysisk säkerhet och om samrådsskyldighet inför att säkerhetsskyddsavtal ska träffas och inför beslut om placering i säkerhetsklass.

5 § I skyddslagen (2010:305) finns bestämmelser om förbud mot tillträde till vissa byggnader, andra anläggningar, områden och andra objekt.

2 kap. Grundläggande bestämmelser om säkerhetsskydd

Skyldigheter för den som bedriver säkerhetskänslig verksamhet

1 § Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.

Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.

Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt denna lag.

Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen.

Säkerhetsskyddsåtgärder

2 § Informationssäkerhet ska

1. förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och

2. förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

3 § Fysisk säkerhet ska

1. förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och

2. förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1.

4 § Personalsäkerhet ska

1. förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och

2. säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

Säkerhetsskyddsklassificering

5 § Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i säkerhetsskyddsklasser ska göras enligt följande:

1. kvalificerat hemlig vid en synnerligen allvarlig skada,

2. hemlig vid en allvarlig skada,

3. konfidentiell vid en inte obetydlig skada, eller

4. begränsat hemlig vid endast ringa skada.

Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt åtagande om säkerhetsskydd ska på motsvarande sätt delas in i säkerhetsskyddsklass, om de inte redan har klassificerats av en annan stat eller en mellanfolklig organisation. Indelningen i säkerhetsskyddsklass ska i sådant fall göras utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till annan stat eller mellanfolklig organisation.

Säkerhetsskyddsavtal

6 § Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av leverantören om

1. det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.

Det som anges i första och andra styckena gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.

Bemyndigande

7 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2-4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.

3 kap. Säkerhetsprövning

Vem som ska säkerhetsprövas

1 § Den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Säkerhetsprövning ska dock inte göras när det gäller

1. uppdrag som statsråd, ledamot av Europaparlamentet, riksdagen eller kommun- och landstingsfullmäktige, eller

2. annat uppdrag som offentlig försvarare eller ombud inför domstol än sådant som avser offentligt ombud enligt 27 kap. 27 § rättegångsbalken eller integritetsskyddsombud enligt 6 § lagen (2009:966) om Försvarsunderrättelsedomstol.

Säkerhetsprövningens syfte och innehåll

2 § Säkerhetsprövningen syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i denna lag och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen ska sådana omständigheter beaktas som kan antas innebära sårbarheter i säkerhetshänseende.

3 § Säkerhetsprövningen ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas och ska innefatta en grundutredning samt registerkontroll och särskild personutredning i den omfattning som anges i 13, 14 och 17 §§. Om det finns särskilda skäl får säkerhetsprövningen göras mindre omfattande.

Säkerhetsprövningen ska följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.

Ansvar för säkerhetsprövningen

4 § Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt.

Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.

Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.

Placering i säkerhetsklass

5 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass i den utsträckning som följer av 6-10 §§.

6 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 1, om den anställde eller den som på annat sätt deltar i verksamheten

1. i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller

2. till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet.

7 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 2, om den anställde eller den som på annat sätt deltar i verksamheten

1. i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen hemlig,

2. i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller

3. till följd av sitt deltagande i verksamheten har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.

8 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass 3, om den anställde eller den som på annat sätt deltar i verksamheten

1. får del av uppgifter i säkerhetsskyddsklassen konfidentiell,

2. i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig, eller

3. till följd av sitt deltagande i verksamheten har möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet.

9 § En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska också i andra fall än sådana som följer av 6-8 §§ placeras i en säkerhetsklass som motsvarar de krav på säkerhetsprövning som följer av ett internationellt åtagande om säkerhetsskydd.

10 § En anställning eller något annat deltagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt.

11 § En anställning i staten, en kommun eller ett landsting som är placerad i säkerhetsklass 1 eller 2 får endast innehas av den som är svensk medborgare.

Om det finns särskilda skäl får regeringen i enskilda fall medge undantag från kravet på svenskt medborgarskap.

Beslut om placering i säkerhetsklass

12 § Riksdagen och dess myndigheter beslutar om placering i säkerhetsklass när det gäller riksdagens förvaltningsområde.

I övrigt beslutar regeringen om placering i säkerhetsklass. Regeringen får meddela föreskrifter om att myndigheter och andra får besluta om placering i säkerhetsklass. Sådan beslutanderätt får överlåtas till enskilda endast om det finns särskilda skäl.

Registerkontroll

13 § Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter som behandlas med stöd av lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område hämtas. Lag (2018:1715).

14 § Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.

För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas med stöd av lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make eller sambo.

För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastningsregistret eller misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av lagen om polisens behandling av personuppgifter inom brottsdatalagens område hämtas.

Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas.

Lag (2018:1715).

15 § Om det finns särskilda skäl, får registerkontroll av någon som ska delta i säkerhetskänslig verksamhet göras utan föregående placering i säkerhetsklass. Vid en sådan kontroll får de uppgifter om den kontrollerade som anges i 14 § tredje stycket hämtas.

Regeringen får meddela föreskrifter om sådan registerkontroll som avses i första stycket. Föreskrifterna får dock inte gälla för riksdagen och dess myndigheter.

16 § Bestämmelser om registerkontroll finns också i 4 kap. om internationell säkerhetsskyddssamverkan och säkerhetsintyg.

Särskild personutredning

17 § En särskild personutredning ska göras vid en registerkontroll som avser sådan anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 1 eller 2. Utredningen ska omfatta en undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs.

Krav på samtycke

18 § Registerkontroll och särskild personutredning får göras endast om den som säkerhetsprövningen gäller har lämnat sitt samtycke. Samtycket ska anses gälla också kontroller och utredningar under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.

Utlämnande av uppgifter för säkerhetsprövning

19 § En uppgift som har kommit fram vid en registerkontroll eller särskild personutredning får lämnas ut för säkerhetsprövning endast om uppgiften i det enskilda fallet kan antas ha betydelse för prövningen enligt 3 kap. 2 §. För att en uppgift som gäller den kontrollerades make eller sambo ska lämnas ut krävs därutöver att utlämnandet är absolut nödvändigt.

Säkerhets- och integritetsskyddsnämnden beslutar om huruvida uppgifter som kommit fram vid en registerkontroll och särskild personutredning ska lämnas ut för säkerhetsprövning.

20 § Innan en uppgift lämnas ut för säkerhetsprövning ska den som uppgiften gäller ges tillfälle att yttra sig över uppgiften. Detta gäller dock inte om uppgiften omfattas av sekretess i förhållande till den enskilde enligt någon annan bestämmelse i offentlighets- och sekretesslagen (2009:400) än 35 kap. 3 §.

Även om uppgiften omfattas av sådan sekretess ska den som uppgiften gäller ges tillfälle att yttra sig innan uppgiften lämnas ut, om hans eller hennes intresse av att få yttra sig skäligen bör ha företräde framför det intresse som sekretessen ska skydda.

21 § Sedan ett beslut har fattats med anledning av en säkerhetsprövning ska de handlingar som överlämnats snarast återställas till den överlämnande myndigheten, om inte den har beslutat något annat.

4 kap. Internationell säkerhetsskyddssamverkan och säkerhetsintyg

Säkerhetsintyg

1 § Ett säkerhetsintyg får utfärdas för personer som har hemvist i Sverige och leverantörer med säte i Sverige när en annan stat eller en mellanfolklig organisation har ansökt om ett sådant intyg, om

1. behov av ett sådant intyg finns vid internationell samverkan om säkerhetskänslig verksamhet enligt denna lag, eller

2. intyget, utöver vad som följer av 1, kan underlätta för en person eller för en leverantör att delta i en verksamhet som en annan stat eller en mellanfolklig organisation bedömer vara i behov av säkerhetsskydd.

Ett intyg enligt första stycket får utfärdas endast om deltagandet avser verksamhet i eller för en stat eller en mellanfolklig organisation som omfattas av ett internationellt åtagande om säkerhetsskydd. Om det finns särskilda skäl får regeringen besluta att ett intyg får utfärdas trots att det inte finns något internationellt åtagande om säkerhetsskydd.

2 § Om det behövs för att ett säkerhetsintyg ska kunna utfärdas får det göras en säkerhetsprövning som innefattar registerkontroll enligt 3 kap. 13 §. Vid en sådan registerkontroll får också en särskild personutredning enligt 3 kap. 17 § göras.

3 § För ärenden om säkerhetsintyg gäller bestämmelserna om säkerhetsprövning i 3 kap. 2 §, 4 § första stycket, 13 §, 14 § andra-fjärde styckena och 17-21 §§.

Registerkontroll på ansökan av en annan stat eller en mellanfolklig organisation

4 § Registerkontroll enligt 3 kap. 13 § får göras när en annan stat eller en mellanfolklig organisation har ansökt om ett sådant underlag, om

1. den person som ansökan gäller har eller har haft hemvist i Sverige, och

2. personen genom anställning eller på annat sätt ska delta i en verksamhet där det för deltagandet ställs krav som motsvarar bestämmelserna i denna lag om registerkontroll vid säkerhetsprövning.

Vid registerkontroll enligt första stycket får också en särskild personutredning enligt 3 kap. 17 § göras.

5 § Vid ärenden enligt 4 § gäller bestämmelserna om registerkontroll, särskild personutredning och samtycke i 3 kap. 13 §, 14 § andra-fjärde styckena och 17-21 §§.

Vem som beslutar om registerkontroll och utfärdar intyg

6 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilken myndighet som beslutar om registerkontroll enligt 2 och 4 §§, utfärdar intyg enligt 1 § och lämnar underlag enligt 4 §.

5 kap. Övriga bestämmelser

Tystnadsplikt

1 § Den som med stöd av denna lag har fått del av uppgifter som förekommer i angelägenhet som avser säkerhetsprövning får inte obehörigen röja eller utnyttja dessa uppgifter.

I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).

2 § Den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter.

I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).

Sekretessbrytande bestämmelse

3 § Sekretess hindrar inte att den myndighet som avses i 4 kap. 6 § i ett ärende om underlag för säkerhetsprövning enligt 4 kap. 4 § lämnar ut en uppgift som har kommit fram vid registerkontroll eller särskild personutredning till en utländsk myndighet eller en mellanfolklig organisation, om det står klart att ett sådant utlämnande är förenligt med svenska intressen.

Tillsyn

4 § Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.

Den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal.

Föreskrifter om verkställighet

5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av denna lag.

Övergångsbestämmelser

2018:585

1. Denna lag träder i kraft den 1 april 2019.

2. Genom lagen upphävs säkerhetsskyddslagen (1996:627).

3. Den upphävda lagen gäller dock fortfarande för beslut om placering i säkerhetsklass som har meddelats före ikraftträdandet, dock längst till dess att ett motsvarande beslut om placering i säkerhetsklass meddelas enligt denna lag. Ett sådant beslut ska meddelas senast vid utgången av 2024.

4. Beslut om registerkontroll enligt 14 § i den upphävda lagen ska i den utsträckning som regeringen föreskriver motsvara ett beslut om placering i säkerhetsklass 3 enligt denna lag, dock längst till dess att ett nytt beslut om säkerhetsklass meddelas enligt denna lag. Ett sådant beslut ska meddelas senast vid utgången av 2024.

5. Äldre föreskrifter gäller fortfarande för uppgifter som hämtas från Säkerhetspolisen och som behandlas med stöd av polisdatalagen (2010:361). Lag (2018:1715).

Till toppen