När den så kallade FRA-lagen trädde i kraft var ett av argumenten för lagen att inhemsk trafik – det vill säga sådan datatrafik som inte passerar Sveriges gräns – varken skulle eller fick inhämtas av FRA. Nu har Datainspektionen granskat FRAs arbete och konstaterar att automatiseringen för att filtrera bort inhemsk trafik som går i kabel inte är tillräckligt bra.

"Avseende kabelinhämtning bedömer Datainspektionen dock att det finns behov av att förbättra metoderna för att över tiden urskilja sådan trafik med större noggrannhet. Även beträffande trafikdata kan inhemska signaler komma att inhämtas av FRA och bli föremål för vidare behandling i upp till ett år. FRA har infört mekanismer för att skilja bort sådana signaler, men det finns inga garantier för att sådana signaler aldrig inhämtas. Inhemsk trafik har också inhämtats av FRA. Det är därför viktigt att det finns fungerande rutiner för hur eventuell förekomst av sådan information ska hanteras", skriver Datainspektionen i en rapport till regeringen.

Det ska dock röra sig om ett "mycket litet antal fall" där inhemsk trafik misstänks ha samlats in.

På det hela taget är Datainspektionen ändå positiv till FRAs arbete. Enligt rapporten har FRA lagt ned mycket tid och resurser på att skapa rutiner och utbilda personalen för att minimera risken för att personuppgifterna ska hanteras på ett felaktigt sätt.

Samtidigt finns flera punkter där Datainspektionen är kritisk:

  • Sökbegreppen som FRA använder får enligt lagen bara vara direkt hänförliga till en fysisk person om det är av "synnerlig vikt" för verksamheten, det vill säga som undantag mer än som regel. Enligt Datainspektionen är de sökbegrepp som FRA använder vid sin signalspaning i "stor omfattning är direkt hänförliga till viss fysisk person."
  • Inhämtningen av så kallad trafikdata – vem som kommunicerat med vem och när – görs med bredare sökbegrepp än inhämtningen av meddelanden, det vill säga innehåll i till exempel mejl. Det gör att det samlas mängder av personuppgifter hos FRA och att det enligt Datainspektionen "finns en relativt hög sannolikhet för att de personer som kommunicerar i de signalbärare som FRA bedriver inhämtning mot, kommer att få uppgifter om sin kommunikation sparad hos FRA." Därför vill Datainspektionen att FRA bland annat stärker loggkontrollen och inför begränsningar för när en handläggare får söka i trafikdatabasen.
  • FRA har också saknat rutiner för att kontrollera att meddelanden som hämtas in inte innehåller förstörningspliktig information, till exempel kommunikation med journalister eller präster. Sådana rutiner ska nu vara införda.
  • Datainspektionen konstaterar också att den underrättelseskyldighet som finns i lagen – att den vars namn används i sökningar ska få reda på det i efterhand – inte har använts av FRA, på grund av sekretess. Värdet av skyldigheten kan därför ifrågasättas, anser Datainspektionen.

FRAs generaldirektör Ingvar Åkesson har i ett pressmeddelande kommenterat Datainspektionens granskning:

– Det är bra att en extern kontrollinstans kan bekräfta att vår personuppgiftsbehandling endast sker för de syften som är tillåtna. Vi kommer nu att studera de synpunkter som Datainspektionen lämnat, och se på vilket sätt vi kan förbättra integritetsskyddet ytterligare, säger Ingvar Åkesson.