För elektronisk behandling av personuppgifter gäller särskilda bestämmelser. Dessa bestämmelser innehåller några speciella begrepp som är viktiga att känna till som t.ex. personuppgift, behandling, personuppgiftsansvarig och personuppgiftsbiträdesavtal.
Olika bestämmelser gäller för behandling av personuppgifter i Skatteverkets beskattningsverksamhet, brottsbekämpande verksamhet, folkbokföringsverksamhet, id-kortsverksamhet, SPAR-verksamhet, äktenskapsregister- och bouppteckningsverksamheter, verksamheten Mina meddelanden och annan verksamhet.
Med personuppgift menas all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet (3 § PuL). Det avgörande är om en person på något sätt kan identifieras av någon annan.
Exempel på personuppgifter är
Namn och personnummer är exempel på direkta personuppgifter. Telefonnummer, registreringsnummer på fordon, diarienummer och IP-adress är exempel på så kallade indirekta personuppgifter. För att veta vilken person som en indirekt personuppgift avser behöver man ytterligare information såsom t.ex. uppgift om vem som är ägare till ett fordon med ett visst registreringsnummer.
Ibland kan uppgifter vara så detaljerade att det går att förstå vilken person som avses utan att någon direkt eller indirekt personuppgift anges, t.ex. ”kyrkvaktmästaren i Salems församling”. En sådan uppgift är också en personuppgift. Även uppgifter som är krypterade och olika slags elektroniska identiteter som t.ex. e-postadresser eller IP-adresser är personuppgifter om de kan knytas till en person.
Det finns vissa typer av uppgifter som inte är personuppgifter i PuL:s mening.
Uppgifter om avlidna eller ännu inte födda är inte personuppgifter i PuL:s mening. Uppgifter om levande anhöriga till avlidna eller ännu inte födda är personuppgifter. Även om uppgifter om avlidna inte omfattas av PuL:s begrepp personuppgift kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i folkbokföringsverksamheten (1 kap 1 § FdbL) och i beskattningsverksamheten (1 kap. 1 § SdbL).
Uppgifter om juridiska personer är inte personuppgifter i PuL:s mening. Uppgift om en enskild firma är dock en personuppgift eftersom det är en enda fysisk person som innehar firman. Även om uppgifter om juridiska personer inte omfattas av PuL:s begrepp personuppgift kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av personuppgifter i beskattningsverksamheten (1 kap. 1 § SdbL).
Vissa personuppgifter anses vara extra känsliga ur integritetssynpunkt. De kallas i PuL för känsliga personuppgifter (13 § PuL). Med detta uttryck menas personuppgifter som
Det finns särskilda bestämmelser för om och i så fall hur känsliga personuppgifter får behandlas.
Exempel på känsliga personuppgifter är
Med uttrycket personuppgifter om lagöverträdelser menas personuppgifter som handlar om brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § PuL).
Det finns särskilda bestämmelser för om och i så fall hur uppgifter om lagöverträdelser får behandlas.
Exempel på personuppgifter om lagöverträdelser är
Med behandling av personuppgifter menas allt som görs med personuppgifter oavsett om det sker elektronisk eller på annat sätt (3 § PuL).
Exempel på behandling av personuppgifter är
Även utlämnande av personuppgifter som behandlas elektroniskt är en behandling oavsett av om utlämnandet görs muntligen, på papper eller i elektronisk form (SOU 1997:39 och SOU 2003:40).
EU-domstolen har uttalat att när man nämner olika personer - med namn eller på annat sätt t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen - på en webbplats utgör det en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg” (C-101/01, Bodil Lindqvist).
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter är personuppgiftsansvarig (3 § PuL). Det är alltså den som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till som har ansvaret för behandlingen.
En myndighet är personuppgiftsansvarig för de behandlingar som görs i myndigheten. När den som är anställd hos Skatteverket behandlar personuppgifter för att utföra sina arbetsuppgifter är inte den anställde personuppgiftsansvarig för behandlingarna. Det är Skatteverket som är personuppgiftsansvarigt för de behandlingarna. En anställd ska behandla personuppgifter i enlighet med de instruktioner Skatteverket ger (30 § första stycket PuL).
Vissa registerförfattningar innehåller bestämmelser om att en utpekad myndighet ska vara personuppgiftsansvarig. Det står till exempel i SdbL respektive FdbL att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket ska utföra (1 kap. 6 § SdbL och 1 kap. 5 § FdbL). Det står vidare i LPB att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför med stöd av den lagen (3 § LPB).
Det är inte alltid enkelt att avgöra vem som är personuppgiftsansvarig för en behandling. Det anges inte i dataskyddsdirektivet, PuL eller förarbetena till PuL hur en avgränsning av personuppgiftsansvaret ska göras. Det kan finnas mer än en personuppgiftsansvarig för en behandling, t.ex. om flera myndigheter har en gemensam databas.
Högsta förvaltningsdomstolen ansåg att Försäkringskassan var personuppgiftsansvarig för alla delar av två e-tjänster. Försäkringskassan tillhandahöll elektroniska självbetjäningstjänster i form av anmälan av tillfällig föräldrapenning via sms och arbetsgivares anmälan av sjukfall via en s.k. Infratjänst. Här kunde enskilda personer lämna uppgifter genom elektroniska informationskanaler. Uppgifterna var tillgängliga för Försäkringskassan först när de nådde kassans elektroniska mottagningsställen. Eftersom Försäkringskassan bestämde ändamålet med behandlingen – att anmäla olika typer av sjukfall – och medlen för behandlingen av personuppgifterna – anvisade kommunikationsvägar - ansåg domstolen att Försäkringskassan var ansvarig för hela behandlingen. Domstolen ansåg att de åtgärder som gjordes med personuppgifterna var led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Detta gällde trots att Försäkringskassan saknade möjlighet att påverka hur uppgifterna hanterades innan de blev tillgängliga för kassan. Det gällde också oberoende av om någon eller några av åtgärderna skulle utgöra behandling av personuppgifter även hos någon annan (HFD 2012 ref. 21).
Den som är personuppgiftsansvarig kan antingen själv göra behandlingen av personuppgifterna eller låta någon annan göra behandlingen. Den som behandlar personuppgifter för den personuppgiftsansvariges räkning är personuppgiftsbiträde (3 § PuL). Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation, t.ex. ett externt företag. Den som är anställd hos den personuppgiftsansvarige är inte personuppgiftsbiträde.
En förutsättning för att Skatteverket ska kunna anlita ett personuppgiftsbiträde är att sekretess inte hindrar att Skatteverket lämnar ut uppgifterna. En annan förutsättning är att behandlingen av personuppgifterna har stöd i lag eller annan författning. Skatteverket bör dokumentera sitt ställningstagande i dessa rättsliga frågor innan Skatteverket anlitar ett personuppgiftsbiträde för behandling av Skatteverkets uppgifter.
Det är bara själva behandlingen av uppgifterna som kan överlåtas till ett personuppgiftsbiträde. Den personuppgiftsansvarige kan inte överlåta ansvaret för behandlingen på någon annan.
Exempel på personuppgiftsbiträde är Statens servicecenter som Skatteverket anlitar. Statens servicecenter behandlar personuppgifter om Skatteverkets anställda på uppdrag av Skatteverket.
Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska parterna skriva ett avtal om personuppgiftsbiträdets behandling av personuppgifterna för den personuppgiftsansvariges räkning, ett s.k. personuppgiftsbiträdesavtal (30 § PuL).
Syftet med personuppgiftsbiträdesavtalet är bland annat att garantera att säkerhet och sekretess för personuppgifterna inte påverkas negativt på grund av att den personuppgiftsansvarige anlitar ett personuppgiftsbiträde i stället för att utföra personuppgiftsbehandlingen själv.
I ett personuppgiftsbiträdesavtal ska bland annat följande anges (30 § andra stycket PuL).
Skatteverket ska skriva instruktioner för personuppgiftsbehandlingen till personuppgiftsbiträdet. Dessa instruktioner kan ingå i personuppgiftsbiträdesavtalet eller utgöra ett separat dokument. Vilka instruktioner som behövs för personuppgiftsbehandlingen får avgöras i det enskilda fallet. Instruktionerna ska bland annat innehålla krav på de säkerhetsåtgärder som personuppgiftsbiträdet ska vidta för att skydda personuppgifterna. För att ta ställning till vilka säkerhetsåtgärder som behövs är det ofta nödvändigt att göra en risk- och sårbarhetsanalys inför den planerade personuppgiftsbehandlingen.
Det är Skatteverket som har ansvar för att ett personuppgiftsbiträdesavtal upprättas. Ett sådant avtal ska skrivas innan personuppgiftsbiträdet påbörjar behandlingen av personuppgifterna. De instruktioner som Skatteverket skriver ska vara så tydliga att otillåten behandling inte kommer att utföras. Skatteverket ska även följa upp att avtalet och instruktionerna följs.
Ett personuppgiftsombud är en fysisk person som självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt (3 § PuL). Det är den personuppgiftsansvarige som utser och förordnar ett personuppgiftsombud.
Skatteverket har inget personuppgiftsombud. Det finns ingen lagstiftning som föreskriver att Skatteverket måste ha ett personuppgiftsombud. På Skatteverkets rättsavdelning finns en arbetsgrupp med rättsliga experter och rättsliga specialister inom området sekretess, it-rätt och PuL. Frågor om databaser, register och annan personuppgiftsbehandling vid huvudkontoret och i regionerna hanteras av denna grupp.