Skatteverket kan behandla personuppgifter och andra uppgifter helt eller delvis automatiserat eller på annat sätt strukturerat i folkbokföringsverksamheten, både i och utanför den s.k. folkbokföringsdatabasen. Det är viktigt att veta var en uppgift behandlas eftersom olika bestämmelser gäller för behandling i respektive utanför folkbokföringsdatabasen.
Begreppet databas är ett juridiskt begrepp. Begreppet är inte knutet till hur en samling av uppgifter är uppbyggd eller hur den lagras rent tekniskt. En databas kan innehålla flera register, system och andra uppgiftssamlingar. Folkbokföringsdatabasen en samling personuppgifter som med automatiserad behandling används gemensamt inom folkbokföringsverksamheten för de ändamål som anges i 1 kap. 4 § FdbL (2 kap. 1 § FdbL).
Att en uppgift används gemensamt i verksamheten innebär att uppgiften behandlas på ett sätt som medför att den utgör ”allmän egendom” i verksamheten (SOU 1999:105 s. 231). En uppgift anses vara gemensamt använd om den registreras och lagras i ett datasystem på ett sådant sätt att anställda på Skatteverket har möjlighet att vid behov och i olika sammanhang ta del av uppgiften direkt på automatiserad väg, till exempel i Skatteverkets verksamhetssystem. Att Skatteverket har en behörighetssättning för olika verksamhetssystem som gör att olika personalkategorier har olika behörigheter, och att vissa uppgifter därför i praktiken är åtkomliga endast för ett begränsat antal personer, innebär i sig inte att uppgifternas egenskap som gemensamt tillgängliga förändras (prop. 2000/01:33 s. 88 f.).
Folkbokföringsdatabasen består teoretiskt sett av en uppgiftsdel och en handlingsdel. Det är noggrant reglerat vilka uppgifter Skatteverket får behandla i uppgiftsdelen, t.ex. namn, födelsedatum och adresser. Handlingsdelen innehåller handlingar i ärenden som handläggs i folkbokföringsdatabasen. Det kan både vara handlingar som har kommit in till Skatteverket och handlingar som har upprättats inom Skatteverket. Exempel på handlingar är förfrågningar, svar på förfrågningar, förslag till beslut och beslut.
Skatteverket ska tillämpa samtliga bestämmelser i FdbL vid behandling av personuppgifter i folkbokföringsdatabasen. Dessutom ska de grundläggande dataskyddsbestämmelserna om principer för behandling av personuppgifter tillämpas.
Bestämmelserna i 2 kap. FdbL gäller särskilt för behandling av uppgifter i folkbokföringsdatabasen. Där regleras bland annat vilka uppgifter som får behandlas i folkbokföringsdatabasen. Bestämmelserna i 2 kap. gäller även vid behandling av uppgifter om avlidna (1 kap. 1 § andra stycket FdbL). Det är från integritetssynpunkt viktigt att det finns särskilda skyddsregler för stora uppgiftssamlingar där man kan sammanställa en rad olika uppgifter om enskilda personer (prop. 2000/01:33 s. 91).
I folkbokföringsdatabasens uppgiftsdel får Skatteverket enbart behandla vissa förutbestämda uppgifter. Uppgifterna ska behövas för de ändamål som anges i 1 kap. 4 § FdbL. Bestämmelser om vilka uppgifter som får behandlas finns i 2 kap. FdbL och 4–5 a §§ FdbF.
I databasen får Skatteverket behandla uppgifter om personer som (2 kap. 2 § FdbL):
Skatteverket får bara behandla uppgifter om andra personer om det behövs för att handlägga ett ärende. I ärenden om registrering av födelse, vigsel och dödsfall får Skatteverket behandla uppgifter även om personer som inte är eller har varit folkbokförda här i landet (1 § andra stycket FOL och 4 § andra stycket FdbF).
Skatteverket får behandla följande uppgifter i folkbokföringsdatabasen, under förutsättning att uppgifterna behövs för något av de ändamål som anges i FdbL (2 kap. 3 § FdbL):
Uppgifter om tidpunkt och grund för registrering Skatteverket får behandla uppgifter om tidpunkt för registrerade förhållanden. Även grunden för avregistrering får behandlas i folkbokföringsdatabasen (prop. 2000/01:33 s. 206).
Skatteverket får i folkbokföringsdatabasen behandla uppgifter om yrkanden, grunder och beslut i ett ärende. Skatteverket får även behandla andra uppgifter som behövs för att handlägga ett ärende (2 kap. 4 § FdbL). Vid handläggningen av ett ärende får alla uppgifter som det finns behov av behandlas i folkbokföringsdatabasen enligt tillämpliga materiella regler.
Skatteverket får behandla uppgifter som avses i 5 kap. 2 § OSL i folkbokföringsdatabasen. Även andra ärendeuppgifter om den person som ärendet rör får behandlas (4 § första stycket FdbF).
I ärenden om tilldelning av personnummer enligt 18 b § FOL eller samordningsnummer, får Skatteverket behandla uppgifter om grunden för tilldelningen och de handlingar som har legat till grund för identifieringen (2 kap. 3 § tredje stycket FdbL).
I ärenden om tilldelning av samordningsnummer får Skatteverket behandla uppgifter om att det råder osäkerhet om personens identitet (2 kap. 3 § tredje stycket FdbL).
Skatteverket får behandla vissa uppgifter i folkbokföringsdatabasen som den 30 juni 1991 var antecknade i en sådan personakt som avses i 16 § i den numera upphävda folkbokföringskungörelsen. Detta gäller även om uppgifterna är känsliga personuppgifter eller uppgifter om lagöverträdelser (2 kap. 3 § andra stycket FdbL).
Skatteverket är skyldigt att behandla vissa uppgifter. När en person folkbokförs ska Skatteverket registrera uppgifter om detta i folkbokföringsdatabasen. När någon uppgift som får behandlas enligt 2 kap. 3 § FdbL ändras ska Skatteverket registrera det (2 § FdbF). Det finns även bestämmelser som anger när Skatteverket är skyldigt att underrätta andra myndigheter om viss registrering.
Skatteverket får behandla följande handlingar i folkbokföringsdatabasens handlingsdel (2 kap. 5 § FdbL):
De handlingar som finns i handlingsdelen i folkbokföringsdatabasen kallas elektroniska handlingar. De elektroniska handlingarna kan jämställas med pappershandlingar. De har ett bestämt, fixerat innehåll och de går att återskapa gång på gång.
En elektronisk flyttanmälan som lämnas in i form av ett elektroniskt dokument är ett exempel på en elektronisk handling som behandlas i folkbokföringsdatabasen.
Skatteverket får endast i undantagsfall behandla känsliga personuppgifter och uppgifter som rör lagöverträdelser i folkbokföringsdatabasen. Det finns särskilda bestämmelser för när sådana uppgifter får behandlas i uppgiftsdelen respektive i handlingsdelen.
Det är noggrant reglerat vilka uppgifter Skatteverket får behandla i uppgiftsdelen i folkbokföringsdatabasen (2 kap. 3–4 §§ FdbL och 4–5 a §§ FdbF). Utrymmet för att behandla känsliga personuppgifter eller uppgifter om lagöverträdelser är begränsat i uppgiftsdelen.
En uppgift om en fysisk persons sexualliv eller sexuella läggning är en särskild kategori av personuppgifter (artikel 9 EU:s dataskyddsförordning). Sexuell läggning är en ny kategori jämfört med den tidigare gällande personuppgiftslagen. Bedömningen är att innebörden är densamma vad gäller aktuella uppgifters kategorisering. En isolerad uppgift om vilket kön en person har kan inte anses vara en uppgift som rör dennes sexualliv. Inte heller en uppgift om civilstånd kan i sig anses var en sådan uppgift (prop. 2011/12:176 s. 38). Det kan dock inte uteslutas att uppgifter om registrerat partnerskap kan vara en sådan uppgift. Uppgifter om civilstånd tillsammans med uppgifter om make eller maka kan också vara en uppgift om en persons sexuella läggning.
En uppgift om religiös övertygelse är också en särskild kategori av personuppgifter. En uppgift om vigselns karaktär, inom vilket samfund eller liknande som vigselförrättaren är verksam och vilken typ av vigselförrättare som förrättat vigseln faller in under denna kategori.
FdbL är mer restriktiv när det gäller behandling av lagöverträdelser än EU:s dataskyddsförordning och den kompletterande dataskyddsförordningen kräver. Bestämmelserna syftar till att värna den personliga integriteten (prop. 2017/18:95 s. 64). En brottmålsdom utgör en uppgift om att någon har eller kan ha begått något visst brott innebärande att fråga är om uppgift om lagöverträdelse.
Skatteverket får behandla känsliga personuppgifter och uppgifter som rör lagöverträdelser i handlingsdelen i folkbokföringsdatabasen om någon av följande förutsättningar är uppfylld (2 kap. 5 § FdbL):
Att Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser om de finns i en handling som kommer in till Skatteverket, beror på att Skatteverket inte kan påverka innehållet i de handlingar som kommer in till myndigheten. Som en konsekvens av detta måste Skatteverket också kunna behandla en sådan uppgift under handläggningen för att utreda grunden för uppgiften eller sanningshalten i ett påstående.
Att Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser i handlingar som myndigheten upprättar, beror på att Skatteverket i ett beslut eller i någon annan handling kan behöva skriva om omständigheter eller argument som innefattar uppgifter av olika slag. Att behandlingen av de aktuella uppgifterna ska vara nödvändig innebär inte att det måste vara omöjligt att hantera frågorna på något annat sätt, t.ex. genom pappershantering eller genom att utelämna vissa delar av skälen för ett beslut. Vad som menas är att behandlingen ska vara nödvändig för att Skatteverket ska kunna hantera sina ärenden enligt gällande rutiner och regler (prop. 2000/01:33 s. 101 f.).
När Skatteverket söker i folkbokföringsdatabasen får följande uppgifter inte användas som sökbegrepp (2 kap. 10 § FdbL):
Skatteverket får dock använda uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island, samt uppgifter om medborgarskap inom eller utom EU (unionsmedborgarskap eller icke unionsmedborgarskap) som sökbegrepp vid sökning i databasen.
När Skatteverket söker efter en elektronisk handling i folkbokföringsdatabasen får enbart följande uppgifter användas som sökbegrepp (2 kap. 11 § FdbL):
Känsliga personuppgifter och uppgifter om lagöverträdelser får inte användas som sökbegrepp.
Sökbegränsningen gäller vid sökning efter handlingar men inte vid sökning i handlingar när handlingarna väl har identifierats. För sökning i handlingar gäller inte någon sökbegränsning. Skatteverket kan alltså använda de sökmöjligheter som till exempel finns i ordbehandlingsprogrammet Word för att söka fram ett visst avsnitt eller en viss uppgift i en handling.
Med behandling utanför folkbokföringsdatabasen menas all behandling av personuppgifter inom folkbokföringsverksamheten som görs utanför den gemensamt tillgängliga uppgiftssamlingen, folkbokföringsdatabasen.
Behandlingar utanför folkbokföringsdatabasen är inte detaljreglerade på samma sätt när det gäller vilka uppgifter som får ingå. Behandlingar utanför folkbokföringsdatabasen får omfatta uppgifter som inte får behandlas i strukturerad form i folkbokföringsdatabasen. Bearbetningen måste då ske utanför folkbokföringsdatabasen och bestämmelserna i 1 och 3 kap. FdbL ska tillämpas.
I princip saknas det rättsliga förutsättningar för Skatteverket att lokalt, vid sidan av folkbokföringsdatabasen, bygga upp automatiserade eller strukturerade uppgiftssamlingar med information om befolkningen. Grunden är de yttre ramarna för vad folkbokföringsdatabasen får innehålla (2 kap. 1–5 §§ FdbL). Skatteverket måste i sin egenskap av personuppgiftsansvarig säkerställa så att bestämmelserna om behandling av personuppgifter i EU:s dataskyddsförordning och i de kompletterande författningarna, bl.a. FdbL och FdbF, följs. Detta är i praktiken inte möjligt, eller i alla fall mycket svårt, om lokala databaser byggs upp. Ett ytterligare skäl är att Skatteverket är skyldig att på begäran av den registrerade lämna registerutdrag (artikel 15 EU:s dataskyddsförordning), vilket i hög grad förutsätter ett centralt system. Även säkerhetsskäl (artikel 32 EU:s dataskyddsförordning) får anses förutsätta att uppgifter inom folkbokföringsverksamheten finns i ett centralt system.
Skatteverket kan emellertid göra behandlingar av personuppgifter utanför folkbokföringsdatabasen för t.ex. följande ändamål:
Uppgifter som behandlas utanför folkbokföringsdatabasen får bara vara tillgängliga för ett fåtal namngivna personer. Det är inte tillräckligt att koppla tillgängligheten till en organisatorisk enhet eller till en viss arbetsuppgift. En uppgift anses inte vara gemensamt tillgänglig om den lagras på hårddisken i en dator eller på en server hos en myndighet när en anställd arbetar med ordbehandling. Uppgiften är i sådana situationer vanligtvis tillgänglig bara för den anställda själv och exempelvis systemadministratören (prop. 2000/01:33 s. 89 f.).
Uppgiftssamlingen och det ändamål som den ska tjäna ska till sin karaktär även vara kortvariga.
När Skatteverket behandlar uppgifter utanför folkbokföringsdatabasen är det bestämmelserna i 1 kap. och 3 kap. FdbL som är tillämpliga. Dessutom ska de grundläggande dataskyddsbestämmelserna om principer och grundläggande krav tillämpas. Uppgiftssamlingar utanför folkbokföringsdatabasen ska hanteras i enlighet med gällande bestämmelser om t.ex. gallring, registerutdrag, säkerhetsåtgärder och information om behandlingen.
En grundläggande förutsättning för att personuppgifter ska få behandlas utanför folkbokföringsdatabasen är att uppgifterna behövs för de ändamål som anges i 1 kap. 4 § FdbL. Ändamålsbestämmelserna gäller all behandling av uppgifter som utförs i folkbokföringsverksamheten, alltså även i de fall behandlingen sker utanför folkbokföringsdatabasen.
Skatteverket får behandla känsliga personuppgifter och uppgifter som rör lagöverträdelser utanför folkbokföringsdatabasen om någon av följande förutsättningar är uppfyllda (1 kap. 6 § FdbL):
Skatteverket kan med stöd av denna bestämmelse även behandla uppgifter och handlingar i de ärenden om brottsanmälningar som Skatteverket gör elektroniskt med stöd av 11 § FOF.
Uppgifter om brottsanmälan får bara behandlas när det är nödvändigt för att handlägga ett ärende. Det innebär att det inte är tillåtet att behandla uppgifter om brottsanmälan för urval och kontroll.
Skatteverket får bara behandla personnummer utanför folkbokföringsdatabasen om förutsättningarna i 3 kap. 10 § kompletterande dataskyddslag är uppfyllda (1 kap. 3 § FdbL).
Personnummer får bara behandlas utan samtycke när det är klart motiverat med hänsyn till bland annat ändamålet med behandlingen (3 kap. 10 § kompletterande dataskyddslag). Behandling av personnummer bör vara restriktiv och föregås av en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär (prop. 2017/18:105 s. 102).
Det finns inga begränsningar i FdbL av vilka ord som Skatteverket får använda som sökbegrepp vid sökning efter uppgifter eller handlingar utanför folkbokföringsdatabasen.