Att lämna ut personuppgifter som behandlas elektroniskt innebär att man gör ytterligare en behandling av uppgifterna. Behandlingen måste vara tillåten enligt EU:s dataskyddsförordning och övriga kompletterande bestämmelser. Därutöver krävs stöd i en sekretessbrytande bestämmelse om uppgifterna omfattas av sekretess.
Nytt: 2023-02-06
I årsutgåva 2023 har information om brottsdatalagen och brottsdataförordningen flyttats till sidan Gemensamt tillgängliga uppgifter.
Att lämna ut personuppgifter och andra uppgifter kan bli aktuellt i olika situationer, t.ex. för att
Att lämna ut personuppgifter och andra uppgifter som behandlas elektroniskt innebär i sig ytterligare en behandling av uppgifterna. Skatteverket får bara lämna ut personuppgifter elektroniskt om följande förutsättningar är uppfyllda:
För att Skatteverket ska ha rättsligt stöd för den behandling av personuppgifterna som utlämnandet i sig innebär, behöver flera förutsättningar vara uppfyllda.
Skatteverket måste alltid ha minst en rättslig grund för varje behandling av personuppgifter (artikel 6 i EU:s dataskyddsförordning). Det gäller även för den behandling som sker för att lämna ut uppgifter från Skatteverket till en extern part eller mellan olika verksamhetsgrenar inom verket. Om det inte finns någon rättslig grund för utlämnandet är behandlingen inte laglig och ett utlämnande är därmed inte tillåtet.
Ett exempel på en bestämmelse som kan vara en rättslig grund vid ett utlämnande är 6 kap. 5 § OSL. Bestämmelsen medför en rättslig förpliktelse att lämna ut uppgifter på begäran, om uppgiften inte är sekretessbelagd.
Vid utlämnande av elektroniskt behandlade personuppgifter ska Skatteverket även tillämpa de grundläggande principerna om ändamål, grundläggande krav på behandlingen, säkerhet vid behandlingen o.s.v. i EU:s dataskyddsförordning och den kompletterande dataskyddslagen och eventuella särskilda registerförfattningar. Det innebär bl.a. att ett utlämnande av uppgifter måste vara förenligt med det eller de ändamål som Skatteverket har för behandlingen av personuppgifterna. Vidare måste nödvändiga säkerhetsåtgärder vidtas för att skapa en tillräcklig säkerhetsnivå när personuppgifterna lämnas ut.
Kravet på att utlämnandet av uppgifterna måste vara förenligt med ändamålet för behandlingen av uppgifterna gäller även när Skatteverket ska lämna ut uppgifter mellan verkets olika verksamhetsgrenar eller till en annan myndighet. Om det i lag eller förordning är reglerat att Skatteverket ska eller får lämna ut personuppgifter behöver inte Skatteverket pröva om utlämnandet är förenligt med det ursprungliga ändamålet. I sådana fall är det tillräckligt att pröva ett utlämnande enligt dessa bestämmelser i sig (HFD 2021 ref. 10).
Det finns särskilda bestämmelser som gäller för att lämna ut personuppgifter från beskattningsverksamheten, folkbokföringsverksamheten, id-kortsverksamheten, äktenskapsregister- och bouppteckningsverksamheterna samt SPAR-verksamheten.
Skatteverket får behandla personuppgifter för att lämna ut uppgifter för att uppfylla sin skyldighet att lämna information när den registrerade ansöker om det, s.k. registerutdrag. Detta gäller även om ett utlämnande inte omfattas av ändamålen för behandlingen av personuppgifterna. Innan Skatteverket kan lämna ut några uppgifter ska verket även göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte.
Som arbetsgivare behandlar Skatteverket känsliga personuppgifter. Dessa personuppgifter får bara lämnas ut till tredje man om det inom arbetsrätten finns en skyldighet för Skatteverket att göra det eller om den registrerade uttryckligen samtycker till att uppgifterna lämnas ut (3 kap. 2 § kompletterande dataskyddslag). Innan Skatteverket kan lämna ut några uppgifter ska verket även göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut.
Tryckfrihetsförordningen och yttrandefrihetsgrundlagen har företräde framför EU:s dataskyddsförordning och dataskyddslagens bestämmelser. EU:s dataskyddsförordning är en direkt tillämplig förordning, som dessutom kan leda till kännbara sanktionsavgifter varför det ansågs viktigt med ett förtydligande av dataskyddsregleringens förhållande till tryck- och yttrandefrihetsregleringen. Skatteverket får därför behandla personuppgifter för att lämna ut dem i enlighet med offentlighetsprincipen även om utlämnandet inte omfattas av ändamålen för behandlingen av uppgifterna (artikel 86 i EU:s dataskyddsförordning och 1 kap. 7 § kompletterande dataskyddslag).
När Skatteverket ska lämna ut sammanställningar av personuppgifter ur elektroniska informationssamlingar (potentiella handlingar) finns det en viktig begränsning. Om det finns en begränsning av vilka sökbegrepp som Skatteverket får använda för sökningar i informationssamlingen gäller denna begränsning även vid hanteringen av en begäran om att ta del av en allmän handling (2 kap. 7 § TF). Om Skatteverket inte får göra en viss sammanställning för sin egen verksamhet, får verket inte heller göra en sådan sammanställning för att lämna ut personuppgifter i enlighet med offentlighetsprincipen.
Om ett utlämnande av uppgifter kan ske med stöd av en bestämmelse om uppgiftsskyldighet eller en bestämmelse enligt vilken Skatteverket får lämna ut uppgifter kan det även finnas särskilda bestämmelser för elektroniskt utlämnande i Skatteverkets registerförfattningar som måste beaktas. De särskilda bestämmelserna kan innehålla begränsningar eller hinder mot att lämna ut uppgifter överhuvudtaget i elektronisk form. Dessa bestämmelser kompletterar de allmänna bestämmelserna. Läs mer om dessa bestämmelser i de avsnitt som särskilt redogör för Skatteverkets registerförfattningar.
Utlämnande av uppgifter på begäran av andra myndigheter kan ske med stöd av 6 kap. 5 § OSL om inte sekretess utgör ett hinder. Det kan också ske med stöd av en bestämmelse om uppgiftsskyldighet eller en bestämmelse enligt vilken Skatteverket får lämna ut uppgifter. Observera att 6 kap. 5 § OSL gäller oavsett om det rör sig om handlingar som är allmänna enligt TF eller inte. I nämnda fall föreligger en rättslig förpliktelse eller motsvarande grund för att lämna ut uppgifter vid vissa förutsättningar och ändamålet är att lämna ut uppgifter enligt tillämplig bestämmelse.
Om en myndighet får eller ska lämna ut uppgifter till annan myndighet eller annan verksamhetsgren, t.ex. med stöd av offentlighets- och sekretesslagen eller andra författningar, är det upp till myndigheten att avgöra på vilket sätt det ska göras om det inte är särskilt föreskrivet (prop. 2000/01:33 s. 111 f).
Om Skatteverket vill lämna ut uppgifter på eget initiativ, d.v.s. utan att en enskild, en annan myndighet eller verksamhetsgren har begärt att få ta del av handlingar eller uppgifter måste Skatteverket ha en rättslig grund i någon av de författningar som reglerar Skatteverkets verksamhet som stöd. Kan någon sådan rättslig grund inte identifieras är den behandling som utlämnandet innebär inte tillåten.
Förutom att Skatteverket måste ha rättsligt stöd för utlämnandet enligt tillämpliga dataskyddsbestämmelser får ett utlämnande inte heller hindras av sekretessbestämmelserna. Detta gäller oavsett om utlämnande sker till enskilda, andra självständiga verksamhetsgrenar eller till andra myndigheter. Innan Skatteverket lämnar ut uppgifter som omfattas av sekretess ska verket alltid göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte med stöd av tillämpliga sekretessbrytande bestämmelser. I offentlighets- och sekretesslagen finns sekretessbestämmelser för Skatteverkets olika verksamhetsgrenar men det kan också finnas sekretessbrytande bestämmelser i andra författningar. För Skatteverkets olika verksamhetsgrenar gäller olika sekretessregler.
I vissa fall omfattas uppgifter hos Skatteverket av s.k. användarbegränsningar. För det fall ett utlämnande skulle stå i strid med villkor som begränsar användningen, får ett utlämnande inte ske, jfr. exv. 9 kap. 2 § OSL.
Om den handling eller de uppgifter som Skatteverket ska lämna ut innehåller personuppgifter, måste Skatteverket ta ställning till om mottagarens behandling av uppgifterna är förenlig med EU:s dataskyddsförordning eller med någon författning som kompletterar EU:s dataskyddsförordning. Sekretess gäller nämligen för uppgifterna om utlämnandet kan medföra att personuppgifterna kommer att behandlas i strid med EU:s dataskyddsförordning eller den kompletterande dataskyddslagen (21 kap. 7 § OSL).
Den behandling som avses är behandlingen av personuppgifterna hos mottagaren efter att uppgifterna har lämnats ut. Detta betyder att Skatteverket kan behöva fråga mottagaren hur de behandlade personuppgifterna ska användas innan Skatteverket lämnar ut några uppgifter. Denna bestämmelse ska tillämpas när Skatteverket lämnar ut personuppgifter både i pappersform och i elektronisk form.
Eftersom ett utlämnande är en behandling av personuppgifter ska Skatteverket följa bestämmelserna om säkerhet för personuppgifter enligt EU:s dataskyddsförordning Det innebär att Skatteverket ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som myndigheten behandlar. Bland sådana säkerhetsåtgärder finns säkra former för utlämnande.
Skatteverket kan lämna ut uppgifter på olika sätt, exempelvis
Det finns inga bestämmelser i EU:s dataskyddsförordning eller i den kompletterande dataskyddslagen som särskilt reglerar i vilken form Skatteverket får lämna ut behandlade personuppgifter. Om det inte heller finns någon bestämmelse om detta i en särskild registerförfattning ska Skatteverket tillämpa de allmänna bestämmelserna i EU:s dataskyddsförordning om grundläggande krav på behandlingen, säkerhet vid behandlingen o.s.v. Detta innebär bland annat att nödvändiga säkerhetsåtgärder måste vidtas för att skapa en tillräcklig säkerhetsnivå när uppgifter lämnas ut.
Det finns särskilda bestämmelser i registerförfattningarna som gäller för att lämna ut behandlade personuppgifter från beskattningsverksamheten, folkbokföringsverksamheten, id-kortsverksamheten, äktenskapsregister- och bouppteckningsverksamheterna samt SPAR-verksamheten. De särskilda bestämmelserna kan innehålla begränsningar eller hinder mot att lämna ut uppgifter överhuvudtaget i elektronisk form. Dessa bestämmelser kompletterar de allmänna bestämmelserna.
Att lämna ut personuppgifter i elektronisk form kan i teknisk mening ske på flera olika sätt. För flera av Skatteverkets verksamheter – som har lagstiftning som kompletterar EU:s dataskyddsförordning– har det betydelse på vilket sätt uppgifterna lämnas ut. Enligt denna kompletterande reglering sker ett utlämnande antingen genom att Skatteverket ger mottagaren direktåtkomst till personuppgifterna eller genom att personuppgifterna lämnas ut på ett medium för automatiserad behandling.
Det finns ingen legaldefinition av begreppet direktåtkomst. Vanligtvis menar man med direktåtkomst att någon har direkt tillgång till någon annans databas eller informationssamling och på egen hand kan söka efter information, men inte påverka innehållet i databasen eller informationssamlingen. Direktåtkomsten kan även ge användaren en möjlighet att hämta hem information till sitt eget system och att bearbeta den där (prop. 2007/08:160 s. 57).
Högsta förvaltningsdomstolen har i en dom uttalat att den avgränsning som görs i 2 kap. 3 § andra stycket TF (bestämmelsen regleras i dag i 2 kap. 6 § TF) för när en upptagning anses förvarad hos en myndighet kan användas för att bestämma innehållet i begreppet direktåtkomst. Målet i domstolen gällde socialnämndernas åtkomst till uppgifter i Försäkringskassans socialförsäkringsdatabas. Försäkringskassan gav socialnämnder åtkomst till vissa uppgifter i socialförsäkringsdatabasen, via it-systemet LEFI Online. Socialnämnderna behövde uppgifterna för handläggning av sina ärenden. Högsta förvaltningsdomstolen konstaterade att uppgiftsutlämnandet skedde via en fråga–svarstjänst med fördefinierade frågor och svar. Socialnämnden skickade en frågefil avseende en person i taget. Filen innehöll uppgifter om personnummer och vilka uppgifter som efterfrågades. Försäkringskassans it-system hämtade in den efterfrågade informationen från olika interna källor och sammanställde ett svar. Genom ett automatiserat förfarande genomfördes en behörighetskontroll och två sekretesskontroller. En svarsfil skickades inom några sekunder till socialnämnden.
Högsta förvaltningsdomstolen konstaterade att socialnämnderna inte kunde söka på egen hand i informationen i socialförsäkringsdatabasen. Ett utlämnande via LEFI Online förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Högsta förvaltningsdomstolen uttalade att den avgränsning som görs i 2 kap. 3 § andra stycket TF (2 kap. 6 § TF i gällande författning) för när en upptagning anses förvarad hos en myndighet, kan användas för att bestämma innehållet i begreppet direktåtkomst i detta sammanhang. Socialnämnderna ansågs inte ha någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket TF och Högsta förvaltningsdomstolen ansåg därför att förfarandet inte var att betrakta som direktåtkomst (HFD 2015 ref. 61)
Möjligheten att medge en mottagare av personuppgifter direktåtkomst till uppgifterna är vanligtvis reglerad i lag eller förordning. En bestämmelse om att direktåtkomst är tillåten medför inte att eventuell sekretess för uppgifterna bryts. Om de uppgifter som ska lämnas ut genom direktåtkomst är sekretessbelagda krävs det att en sekretessbrytande bestämmelse kan tillämpas för att det ska vara tillåtet att lämna ut uppgifterna. Skatteverket måste därför göra en sekretessprövning av om verket kan lämna ut uppgifterna innan direktåtkomst medges.
Att lämna ut personuppgifter på ett medium för automatiserad behandling innebär att uppgifterna lämnas ut t.ex.
Skatteverket har ingen skyldighet att lämna ut uppgifter på annat sätt än i pappersform om det inte är särskilt föreskrivet.
Skatteverket ska vid all behandling av personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som Skatteverket behandlar (artikel 32 i EU:s dataskyddsförordning). Detta gäller även när Skatteverket lämnar ut personuppgifter via t.ex. e-post. Detta innebär att ett utlämnande via e-post bara kan ske om Skatteverket kan garantera en lämplig säkerhetsnivå för uppgifterna.
Vid en bedömning av vad som är en lämplig säkerhetsnivå ska Skatteverket ta hänsyn till samtliga omständigheter kring behandlingen av personuppgifterna. Vilka säkerhetsåtgärder som Skatteverket behöver vidta beror på vad det är för uppgifter som verket ska behandla. Personuppgifter som omfattas av sekretess kräver en högre säkerhetsnivå än personuppgifter som är offentliga.
Huvudregeln är att Skatteverket inte kan skicka uppgifter som omfattas av sekretess till en extern mottagare via e-post. Sekretessbelagda uppgifter får inte skickas via e-post ens till den som uppgifterna berör. Detta beror på att säkerheten vid överföringen via e-post inte är tillräcklig för den typen av uppgifter.
JO har kritiserat Skatteverket för att i ett enskilt fall ha skickat sekretessbelagda uppgifter via e-post. JO konstaterade att sekretessbelagda uppgifter ska behandlas med stor omsorg och noggrannhet. När uppgifter som omfattas av sekretess skickas via e-post ställs därför som regel mycket höga krav på säkerhet (JO 2015-12-03, dnr 1193-2014).
Undantag från huvudregeln finns dock. Sekretessbelagda uppgifter kan till exempel skickas till en extern mottagare via en e-brevlåda genom Mina meddelanden. Det är möjligt eftersom den infrastrukturen är säkrare än vanlig e-post. Vidare kan uppgifter i vissa fall skickas om överföringen sker krypterat.
Skatteverket kan skicka enstaka offentliga personuppgifter via e-post till en extern mottagare. Med enstaka menar Skatteverket högst tre stycken. Säkerheten vid överföringen via e-post är inte tillräckligt hög för en större mängd personuppgifter. Det är dock möjligt att skicka fler offentliga uppgifter till en extern mottagare via en e-brevlåda genom Mina meddelanden. Denna infrastruktur är mer säker än vanlig e-post.
Personnummer och samordningsnummer är personuppgifter som är extra skyddsvärda. Det innebär att sådana uppgifter inte får skickas via vanlig e-post. Sådana uppgifter får endast skickas elektroniskt om det kan ske på ett tillräckligt säkert sätt, t.ex. genom Mina meddelanden.
Information som är offentlig och som inte innehåller några personuppgifter kan vanligtvis skickas till en extern mottagare via e-post.
När och hur Skatteverket ska ta ut en avgift för att lämna ut personuppgifter beskrivs i avsnittet som handlar om avgiftsförordningen. Det finns även bestämmelser om avgifter för att lämna ut uppgifter i de särskilda registerförfattningar som gäller för behandling av uppgifter i Skatteverkets beskattningsverksamhet, folkbokföringsverksamhet och äktenskapsregister- och bouppteckningsverksamheter.