OBS: Detta är utgåva 2018.1. Sidan är avslutad 2018.

Skatteverket har en databas med uppgifter om identitetskort för folkbokförda i Sverige. För behandling av personuppgifter i id-kortsverksamheten gäller bestämmelserna i lagen om identitetskort för folkbokförda i Sverige, förordningen om identitetskort för folkbokförda i Sverige och bestämmelser i PuL.

När ska lagen om identitetskort för folkbokförda i Sverige tillämpas?

Skatteverket ska ha en databas med uppgifter om identitetskort för folkbokförda i Sverige, id-kortsdatabasen. Databasen ska föras med hjälp av automatiserad behandling. När Skatteverket behandlar personuppgifter automatiserat för id-kortsverksamheten ska Skatteverket tillämpa lagen (2015:899) om identitetskort för folkbokförda i Sverige, förordningen (2015:904) om identitetskort för folkbokförda i Sverige samt bestämmelser i PuL (8 och 10 §§ lagen [2015:899] om identitetskort för folkbokförda i Sverige och 2 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).

Hur förhåller sig lagen om identitetskort för folkbokförda i Sverige till PuL?

I PuL finns allmänna bestämmelser för när och hur man får behandla personuppgifter. Om det i en annan lag eller förordning finns bestämmelser som avviker från PuL ska man tillämpa de bestämmelserna i stället för PuL (2 § PuL). Det innebär att Skatteverket ska tillämpa PuL vid behandling av personuppgifter i id-kortsverksamheten, om det inte finns någon avvikande bestämmelse i lagen (2015:899) om identitetskort för folkbokförda i Sverige eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige.

Personuppgiftsansvarig för behandlingen

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket gör i id-kortsverksamheten (11 § lagen [2015:899] om identitetskort för folkbokförda i Sverige och 2 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).

Tillåten behandling av personuppgifter

Lagen (2015:899) om identitetskort för folkbokförda i Sverige och förordningen (2015:904) om identitetskort för folkbokförda i Sverige anger ramarna för hur Skatteverket får behandla personuppgifter i id-kortsverksamheten.

En behandling av personuppgifter som är tillåten enligt lagen (2015:899) om identitetskort för folkbokförda i Sverige får göras även om den registrerade motsätter sig behandlingen (9 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).

Skatteverket får bara behandla personuppgifter för vissa ändamål

Skatteverket får bara behandla personuppgifter elektroniskt för särskilda, uttryckligt angivna och berättigade ändamål (9 § PuL).

Ändamålen för behandling av personuppgifter i Skatteverkets idkortsverksamhet anges i lagen (2015:899) om identitetskort för folkbokförda i Sverige. Skatteverket får behandla personuppgifter i id-kortsdatabasen om det behövs i Skatteverkets verksamhet att utfärda identitetskort. Skatteverket får även behandla personuppgifter i id-kortsdatabasen om det behövs för att lämna ut uppgifter i enlighet med bestämmelser i lag eller förordning (12 § lagen (2015:899) om identitetskort för folkbokförda i Sverige).

Skatteverket får behandla personuppgifter i id-kortsdatabasen för historiska, statistiska eller vetenskapliga ändamål.

Finalitetsprincipen

Skatteverket får inte behandla personuppgifter i id-kortsdatabasen för något ändamål som är oförenligt med det ursprungliga ändamålet. Detta kallas finalitetsprincipen.

Bestämmelser för att behandla personuppgifter i id-kortsdatabasen

Id-kortsdatabasen består av en uppgiftsdel och en handlingsdel.

Uppgiftsdelen innehåller uppgifter om bland annat sökandens namn, personnummer och identitetskortsnummer samt id-kortets giltighetstid, en kopia av den ansiktsbild som finns på id-kortet och sökandens namnteckning. Skatteverket får hämta dessa uppgifter från folkbokföringsdatabasen (11 § första stycket och 12 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).

Handlingsdelen innehåller handlingar som har kommit in till Skatteverket och handlingar som Skatteverket har upprättat i ett ärende (11 § andra stycket förordningen [2015:904] om identitetskort för folkbokförda i Sverige).

Begränsning av möjligheten att behandla känsliga personuppgifter

Skatteverket får behandla känsliga personuppgifter i id-kortsdatabasen enbart om någon av följande förutsättningar är uppfyllda (13 § lagen (2015:899) om identitetskort för folkbokförda i Sverige):

  • uppgifterna finns i en handling som har lämnats i ett ärende
  • uppgifterna finns i en handling som Skatteverket har upprättat i ett ärende och uppgifterna är nödvändiga för handläggningen av ärendet.

Rättsligt stöd för att behandla ansiktsbilden

Skatteverket får i id-kortsdatabasen behandla en kopia av den ansiktsbild som finns på ett identitetskort (14 § lagen (2015:899) om identitetskort för folkbokförda i Sverige).

Begränsning av vilka sökbegrepp som får användas

Vid en elektronisk sökning i id-kortsdatabasen får Skatteverket inte använda ansiktsbilden som finns på ett identitetskort som sökbegrepp. Skatteverket får inte heller använda känsliga personuppgifter eller uppgifter om lagöverträdelser som sökbegrepp. I övrigt finns det ingen begränsning av vilka sökbegrepp som Skatteverket får använda vid en elektronisk sökning i id-kortsdatabasen (17 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).

Grundläggande krav på behandlingen av personuppgifter

Det finns inte några särskilda bestämmelser om t.ex. grundläggande krav på behandlingen, säkerheten vid behandlingen eller överföring till tredje land i lagen (2015:899) om identitetskort för folkbokförda i Sverige eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige. Skatteverket ska därför tillämpa PuL:s bestämmelser om bland annat grundläggande krav på behandling av uppgifter, säkerheten vid behandlingen och överföring av personuppgifter till tredje land vid behandling av personuppgifter i id-kortsverksamheten.

Lämna ut personuppgifter

Att lämna ut personuppgifter som behandlas elektroniskt innebär i sig en behandling av uppgifterna. Skatteverket kan lämna ut uppgifter på olika sätt, exempelvis

Läs även om förutsättningarna för att lämna ut personuppgifter som behandlas elektroniskt.

Får Skatteverket lämna ut personuppgifter i elektronisk form från id-kortsverksamheten?

Skatteverket får lämna ut uppgift om ett identitetskorts giltighetstid genom direktåtkomst (16 § lagen [2015:899] om identitetskort för folkbokförda i Sverige). Skatteverket får inte lämna ut några andra uppgifter från id-kortsverksamheten genom direktåtkomst. I övrigt saknas bestämmelser om att Skatteverket får lämna ut uppgifter i elektronisk form. Skatteverket får därför inte lämna ut personuppgifter från id-kortsdatabasen på medium för automatiserad behandling.

Sekretessprövning av om Skatteverket kan lämna ut uppgifterna

Innan Skatteverket lämnar ut några uppgifter ska Skatteverket göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte. I OSL finns sekretessbestämmelser för id-kortsverksamheten.

Om uppgifterna innehåller personuppgifter måste Skatteverket även ta ställning till om mottagarens behandling av uppgifterna är förenlig med PuL. Sekretess gäller för uppgifterna om det kan antas att ett utlämnande skulle medföra att personuppgifterna behandlas i strid med PuL.

Avgifter för att lämna ut uppgifter

När och hur Skatteverket ska ta ut en avgift för att lämna ut uppgifter beskrivs på sidan om att lämna ut en allmän handling.

Informera om behandling av personuppgifter

Skatteverket är ansvarigt för den personuppgiftsbehandling som görs inom myndigheten. Skatteverket ska i vissa fall lämna information om sina behandlingar.

Det finns inte några bestämmelser i lagen (2015:899) om identitetskort för folkbokförda i Sverige eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige om att Skatteverket ska lämna information om den behandling av personuppgifter som görs. Skatteverket ska därför tillämpa PuL:s bestämmelser om att informera om behandling av personuppgifter.

Bevara eller gallra personuppgifter

Uppgifter och handlingar i id-kortsdatabasen ska gallras senast ett år efter det att giltighetstiden för ett identitetskort har gått ut. Om ansökan om identitetskort har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har fått laga kraft (13 § första stycket förordningen [2015:904] om identitetskort för folkbokförda i Sverige).

Riksarkivet har meddelat föreskrifter om bevarande och gallring hos Skatteverket avseende ärenden om identitetskort (RA-MS 2011:33). I bilagor till föreskriften ges detaljerade bestämmelser för bevarande och gallring av pappershandlingar och elektroniska handlingar i idkortsdatabasen.

Rättelse, skadestånd och överklagande

Det finns särskilda bestämmelser för den skyldighet som en personuppgiftsansvarig har att rätta felaktigt behandlade personuppgifter och för det skadeståndsansvar som den personuppgiftsansvarige har. Vissa beslut som Skatteverket fattar i egenskap av personuppgiftsansvarig får överklagas.

Rätta felaktigt behandlade personuppgifter

Skatteverket ska tillämpa PuL:s bestämmelser om rättelse vid behandling av personuppgifter lagen (2015:899) om identitetskort för folkbokförda i Sverige, förordningen (2015:905) om identitetskort för folkbokförda i Sverige och PuL (18 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).

Betala skadestånd för felaktigt behandlade personuppgifter

Skatteverket ska tillämpa PuL:s bestämmelser om skadestånd vid behandling av personuppgifter enligt lagen (2015:899) om identitetskort för folkbokförda i Sverige, förordningen (2015:905) om identitetskort för folkbokförda i Sverige och PuL (18 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).

Överklaga Skatteverkets beslut om rättelse av personuppgift eller beslut om information

Följande beslut som fattas av Skatteverket får överklagas till allmän förvaltningsdomstol (52 § PuL):

  • beslut om information till den registrerade efter ansökan
  • beslut om rättelse av personuppgift
  • beslut om information till tredje man efter rättelse av personuppgift
  • beslut om information om behandlingar som inte är anmälda till Datainspektionen.

Skatteverket ska tillämpa PuL:s bestämmelser om överklagande.

Referenser på sidan

Lagar & förordningar