Försvarets radioanstalts signalspaning bröt vid flera tillfällen förra året mot de regler som ska skydda privatpersoners integritet.
Enligt CS granskning visade FRA upp brister vid nästan var tredje, eller vid fyra av de 13 kontroller som gjordes.
Ansvarig för kontrollerna är Statens inspektion för försvarsunderrättelseverksamheten, Siun, som skapades för att granska FRAs kontroversiella signalspaning mot trådbunden trafik, i klartext kommunikation via internet.
Siun kontrollerade bland annat FRAs hantering av databaser och om den är förenlig med personuppgiftslagen.
Uppgifter om en person får bara behandlas om han eller hon har anknytning till ett signalspaningsuppdrag.
Efter Siuns granskning stod det klart att FRA har lagrat personuppgifter där det i vissa fall var svårt att se en koppling till ett signalspaningsuppdrag.
Dessutom hade databaserna inte gallrats på länge, slår Siun fast.
FRA sade sig i höstas, nästan två år efter införandet av FRA-lagen, vara medvetet om bristerna i personuppgiftshanteringen.
Planer fanns på att inrätta en ny funktion för internkontroll för att se till att personuppgiftslagen som gäller för FRA efterföljs.
Dessutom pågick ett arbete för att gallra ut gamla uppgifter som sedan långt tidigare ligger kvar i databaserna.
Två av förra årets påpekanden från Siun rör spridandet av information utanför FRA, vilket regleras i lagen. I mars utdelade Siun ett påpekande eftersom FRA skickat information till Säpo utan att ha en relevant motivering varför.
Ett halvår senare följde Siun upp påpekandet och hittade då nya brister.
Ett nytt påpekande delades därmed ut.
– Har vi ett påpekande förväntar vi oss att de följer det påpekandet. Tanken med kontrollverksamheten att de kontrollerade verksamheterna ska fungera så effektivt som möjligt, men också att de följer regelverket, säger Hans Jörgen Andersson som är ordförande i Siuns kontrollnämnd.
Siun skriver att FRA snarast bör se över tillämpningen av bestämmelsen och ska återkomma i den här frågan i samband med kommande granskningar av FRAs signalspaningsuppdrag.
Siun hade även synpunkter på att FRA gör en egen tolkning av vad det innebär att förstöra uppgifter. När uppgifter förstörs enligt förstöringsskyldigheten, till exempel samtal mellan en misstänkt och en försvarare eller samtal som skyddas av meddelarskyddet, ska det vara omöjligt att senare återskapa uppgifterna.
Enligt FRAs interna regler innebar i stället att förstöra uppgifter att dessa med hjälp av exceptionella åtgärder ska gå att återskapa, vilket inte överensstämmer med vad lagen säger.
Alla som vill kan med stöd i lagen begära en kontroll av om FRA olovligen signalspanat på dem.
Privatpersoner kan vända sig till Siun, Statens inspektion för försvarsunderrättelseverksamheten, för att få veta om de har utsatts för signalspaning.
Sedan FRA-lagen trädde i kraft den 1 december 2009 har bara 15 personer skickat in förfrågan till Siun.
Samma möjlighet finns även för företag, men inte ett enda har bett Siun kontrollera om FRA på ett otillåtet sätt har signalspanat på det.
Med hjälp av uppgifter som personen skickar in kontrollerar Siun om några uppgifter olovligen funnits i signalspaningen. Det räcker inte med namn och personnummer. Siun kommer i så fall att be om ytterligare information, som vilka mobiltelefonnummer och e-postadresser du vill kontrollera.
