OBS: Detta är utgåva 2016.9. Sidan är avslutad 2018.

Att lämna ut personuppgifter som behandlas elektroniskt innebär att man ”behandlar” uppgifterna. För att göra denna behandling måste den vara tillåten både enligt PuL eller någon annan registerförfattning och enligt gällande sekretessbestämmelser.

Situationer då Skatteverket lämnar ut behandlade uppgifter

Skatteverket kan lämna ut uppgifter i olika situationer, till exempel för att

  • kommunicera uppgifter med en part i ett ärende
  • medge en part rätt till insyn i ett ärende
  • lämna ut uppgifter med anledning av en begäran om att ta del av en allmän handling
  • lämna information till annan myndighet
  • lämna ut uppgifter för outsourcing av behandling av uppgifterna.

Att lämna ut personuppgifter och andra uppgifter som behandlas elektroniskt innebär i sig en behandling av uppgifterna. Skatteverket får lämna ut elektroniskt behandlade uppgifter endast om följande båda förutsättningar är uppfyllda:

  • det finns lagstöd för den behandling av uppgifterna som utlämnandet innebär
  • sekretess hindrar inte utlämnandet.

Lagstöd för behandlingen

I PuL finns det inga bestämmelser som särskilt reglerar utlämnande av behandlade uppgifter. Skatteverket ska därför tillämpa de vanliga bestämmelserna i PuL om ändamål, grundläggande krav på behandlingen, säkerhet vid behandlingen osv. vid utlämnande av elektroniskt behandlade uppgifter. Detta innebär bl.a. att ett utlämnande av uppgifter måste vara förenligt med det eller de ändamål som Skatteverket har för behandlingen av uppgifterna. Vidare måste nödvändiga säkerhetsåtgärder vidtas för att skapa en tillräcklig säkerhetsnivå när uppgifterna lämnas ut.

Det finns särskilda regler som gäller för att lämna ut behandlade uppgifter från beskattningsverksamheten, folkbokföringsverksamheten, id-kortsverksamheten, äktenskapsregister- och bouppteckningsverksamheterna samt SPAR-verksamheten.

Lämna ut uppgifter enligt offentlighetsprincipen

Även om ett utlämnande av uppgifter inte omfattas av ändamålen för behandlingen av uppgifterna får Skatteverket behandla uppgifter för att lämna ut dem i enlighet med offentlighetsprincipen (8 § PuL). Innan Skatteverket kan lämna ut några uppgifter ska myndigheten göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte.

När Skatteverket ska lämna ut sammanställningar ur elektroniska informationssamlingar som innehåller personuppgifter finns det en viktig begränsning. Om det finns en begränsning av vilka sökbegrepp som Skatteverket får använda för sökningar i informationssamlingen gäller denna begränsning även vid hantering av en begäran om att ta del av en allmän handling (2 kap. 3 § tredje stycket TF). Får Skatteverket inte göra en viss sammanställning för sin egen verksamhet får en sådan sammanställning inte heller göras för att lämna ut uppgifter i enlighet med offentlighetsprincipen.

Informera om behandlingen av personuppgifter

Även om ett utlämnande inte omfattas av ändamålen för behandlingen av uppgifterna får Skatteverket behandla uppgifter för att lämna ut uppgifter för att uppfylla sin skyldighet att lämna information när den registrerade ansöker om det, s.k. registerutdrag (26 § PuL).

Uppgiftsskyldighet inom arbetsrätten

Skatteverket får behandla känsliga personuppgifter om behandlingen är nödvändig för att myndigheten ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten. Sådana uppgifter får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen samtycker till att uppgifterna lämnas ut (16 § andra stycket PuL).

I vilken form får Skatteverket lämna ut uppgifter?

Skatteverket kan lämna ut uppgifter på olika sätt, exempelvis

  • muntligt
  • skriftligt på papper
  • i elektronisk form.

Det finns inga bestämmelser i PuL som särskilt reglerar i vilken form Skatteverket får lämna ut behandlade uppgifter. Skatteverket ska därför tillämpa de vanliga bestämmelserna i PuL om grundläggande krav på behandlingen, säkerhet vid behandlingen osv. när uppgifter lämnas ut. Detta innebär bland annat att nödvändiga säkerhetsåtgärder måste vidtas för att skapa en tillräcklig säkerhetsnivå när uppgifter lämnas ut.

Lämna ut uppgifter i elektronisk form

Att lämna ut uppgifter i elektronisk form kan ske antingen genom att Skatteverket ger mottagaren direktåtkomst till uppgifterna eller genom att uppgifterna lämnas ut på medium för automatiserad behandling.

Direktåtkomst

Det finns ingen definition av begreppet direktåtkomst. Vanligtvis menar man med direktåtkomst att någon har direkt tillgång till någon annans databas eller informationssamling och på egen hand kan söka efter information, men inte påverka innehållet i databasen eller informationssamlingen. Direktåtkomsten kan även ge användaren en möjlighet att hämta hem information till sitt eget system och att bearbeta den där (prop. 2007/08:160 sid. 57).

En bestämmelse om direktåtkomst medför inte att eventuell sekretess för uppgifterna bryts. Om de uppgifter som ska lämnas ut är sekretessbelagda krävs det att en sekretessbrytande bestämmelse kan tillämpas för att det ska vara tillåtet att lämna ut uppgifterna. Skatteverket måste alltså göra en sekretessprövning innan direktåtkomst medges.

Medium för automatiserad behandling

Skatteverket kan i vissa fall lämna ut uppgifter på medium för automatiserad behandling. Med medium för automatiserad behandling menas t.ex. CD eller DVD-skiva, USB-minne, överföring via e-post eller filöverföring från ett IT-system till ett annat.

Exempel: lämna ut uppgifter via e-post

Skatteverket ska vid all behandling av personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som Skatteverket behandlar (31 § PuL). Detta gäller även när Skatteverket lämnar ut uppgifter via t.ex. e-post. Detta innebär att ett utlämnande via e-post inte kan ske om inte en lämplig säkerhetsnivå kan garanteras för uppgifterna.

Vid bedömningen av vad som är en lämplig säkerhetsnivå tar Skatteverket hänsyn till samtliga omständigheter kring behandlingen av uppgifterna. Vilka säkerhetsåtgärder som behöver vidtas är beroende av vad det är för uppgifter som ska behandlas. Uppgifter som omfattas av sekretess kräver en högre säkerhetsnivå än uppgifter som är offentliga.

Lämna ut sekretessbelagda uppgifter via e-post

Huvudregeln är att Skatteverket inte kan skicka uppgifter som omfattas av sekretess till en extern mottagare via e-post. Sekretessbelagda uppgifter får inte skickas via e-post ens till den som uppgifterna berör. Detta beror på att säkerheten vid överföringen via e-post inte är tillräcklig för den typen av uppgifter.

Undantag från huvudregeln finns. Sekretessbelagda uppgifter kan till exempel skickas till en extern mottagare via en ebrevlåda genom Mina meddelanden.

Lämna ut offentliga uppgifter via e-post

Enstaka offentliga personuppgifter kan skickas via e-post till en extern mottagare. Med enstaka menar Skatteverket omkring tre stycken. Detta beror på att säkerheten vid överföringen via epost inte är tillräckligt hög för en större mängd personuppgifter.

Information som är offentlig och som inte innehåller några personuppgifter kan vanligtvis skickas till en extern mottagare via e-post.

Skyldighet eller möjlighet att lämna ut i elektronisk form?

Skatteverket har ingen skyldighet att lämna ut uppgifter på annat sätt än i pappersform om det inte är särskilt föreskrivet.

Skatteverket får lämna ut behandlade uppgifter i elektronisk form, såsom exempelvis via e-post, om inte PuL eller någon annan författning hindrar det.

Sekretessprövning

Innan Skatteverket kan lämna ut några uppgifter ska myndigheten göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte. I OSL finns sekretessbestämmelser för Skatteverkets olika verksamhetsgrenar.

Är mottagarens behandling förenlig med PuL?

Om den handling eller de uppgifter som ska lämnas ut innehåller personuppgifter måste Skatteverket ta ställning till om utlämnandet skulle kunna medföra att uppgifterna behandlas i strid med PuL. Sekretess gäller för uppgifterna om utlämnandet kan medföra att personuppgifterna kommer att behandlas i strid med PuL (21 kap. 7 § OSL).

Denna bestämmelse ska tillämpas när Skatteverket lämnar ut uppgifter både i pappersform och i elektronisk form. Den behandling som avses är behandlingen av uppgifterna hos mottagaren efter att uppgifterna har lämnats ut. Detta betyder att Skatteverket behöver fråga mottagaren hur de behandlade uppgifterna ska användas innan några uppgifter lämnas ut. För att bestämmelsen ska kunna tillämpas måste mottagaren av uppgifterna vara en personuppgiftsansvarig som är etablerad i Sverige (4 § PuL).

Avgifter för att lämna ut uppgifter

När och hur Skatteverket ska ta ut en avgift för att lämna ut uppgifter beskrivs på sidan om att lämna ut en allmän handling. Det finns även bestämmelser om avgifter för att lämna ut uppgifter i de särskilda registerförfattningar som gäller för behandling av uppgifter i Skatteverkets beskattningsverksamhet, folkbokföringsverksamhet och äktenskapsregisterverksamhet.

Referenser på sidan

Lagar & förordningar

  • Offentlighets- och sekretesslag (2009:400) [1]
  • Personuppgiftslag (1998:204) [1] [2] [3] [4] [5]
  • Tryckfrihetsförordning (1949:105) [1]

Propositioner

  • Proposition 2007/08:160 Utökat elektroniskt informationsutbyte [1]