Din webbläsare Internet Explorer är för gammal. För att vår webbplats ska fungera rekommenderar vi att du byter webbläsare.
Rekommenderade webbläsare
Stäng
OBS: Detta är utgåva 2015.16. Sidan är avslutad 2018.
- Vägledning »
- 2015 »
- Sekretess & behandling av uppgifter »
- Behandla personuppgifter och andra uppgifter »
- Id-kortsverksamheten
Id-kortsverksamheten
Skatteverket har en databas över identitetskort för folkbokförda i Sverige. För behandling av uppgifter i id-kortsverksamheten gäller bestämmelserna i IdF och bestämmelserna i PuL.
Det finns även regler om sekretess för uppgifter i id-kortsverksamheten.
När ska IdF tillämpas?
Skatteverket ska med hjälp av automatiserad behandling föra en databas med uppgifter om identitetskort för folkbokförda i Sverige (id-kortsdatabasen).
När Skatteverket behandlar personuppgifter automatiserat för id-kortsverksamheten ska Skatteverket tillämpa IdF (9 § IdF). Skatteverket ska även tillämpa bestämmelser i PuL.
IdF i förhållande till PuL?
I PuL finns allmänna bestämmelser för när och hur man får behandla personuppgifter. Om det i en annan lag eller förordning finns bestämmelser som avviker från PuL ska man tillämpa de bestämmelserna i stället för PuL (2 § PuL).
Personuppgiftsansvarig
Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket gör med anledning av bestämmelserna i IdF (9 § IdF).
Bestämmelser om vad som är tillåten behandling av personuppgifter
IdF anger ramarna för hur Skatteverket ska behandla personuppgifter i id-kortsverksamheten.
Skatteverket får bara behandla personuppgifter för vissa ändamål
Skatteverket får bara behandla personuppgifter bara för särskilda, uttryckligt angivna och berättigade ändamål (9 § PuL). Ändamålet för behandling av personuppgifter för Skatteverkets idkortsverksamhet anges i IdF.
Ändamålet med id-kortsdatabasen är att ge information om sådana uppgifter som behövs i verksamheten hos Skatteverket för utfärdande av identitetskort (11 § IdF).
Finalitetsprincipen
Skatteverket får inte behandla personuppgifter för något ändamål som är oförenligt med det ändamål för vilket uppgifterna från början samlades in. Detta kallas finalitetsprincipen.
Behandling av uppgifter i id-kortsdatabasen
Id-kortsdatabasen består av en uppgiftsdel och en handlingsdel. Uppgiftsdelen innehåller uppgifter om t.ex. namn, identitetskortsnummer och sökandens namnteckning (12 § första stycket IdF). Handlingsdelen innehåller handlingar som har kommit in till Skatteverket eller som Skatteverket har upprättat i ett ärende 12 § andra stycket IdF).
Innehållet i id-kortsdatabasen
Id-kortsdatabasen ska innehålla uppgifter om
- sökandens fullständiga namn, personnummer, födelsetid, längd och kön
- dag för utfärdandet av identitetskort, kortnummer och giltighetstid
- sökandens namnteckning (eller anteckning om anledningen till att namnteckning saknas) och kopia av ansiktsbilden på identitetskortet
- hur sökanden har styrkt sin identitet
- beslut om att ansökan har avslagits och skälen för beslutet
- att identitetskortet har förlustanmälts eller återkallats och skälen för beslutet om återkallelse (12 § första stycket IdF).
Skatteverket får hämta de uppräknade uppgifterna från folkbokföringsdatabasen om de finns där (10 § IdF).
Behandla känsliga personuppgifter och uppgifter om lagöverträdelser
Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser i id-kortsdatabasen om en av följande förutsättningar är uppfylld (12 § andra stycket IdF):
- uppgifterna finns i en handling som har kommit in i ett ärende
- uppgifterna finns i en handling som har upprättats i ett ärende och uppgifterna är nödvändiga för handläggningen av ärendet.
Begränsning av vilka sökbegrepp som får användas
Vid en elektronisk sökning i id-kortsdatabasen får Skatteverket inte använda ansiktsbilden som finns på identitetskortet (14 § IdF).
Grundläggande krav på behandlingen av personuppgifter
Det finns inte några särskilda bestämmelser för t.ex. grundläggande krav på behandlingen, säkerhet vid behandlingen eller överföring till tredje land i IdF. Skatteverket ska därför tillämpa PuL:s bestämmelser om grundläggande krav på behandling av uppgifter vid behandling av personuppgifter i id-kortsverksamheten.
Att lämna ut behandlade uppgifter
Att lämna ut elektroniskt behandlade uppgifter innebär att man ”behandlar” uppgifterna. Skatteverket får lämna ut elektroniskt behandlade uppgifter endast om följande två förutsättningar är uppfyllda:
- det finns lagstöd för den behandling av uppgifterna som utlämnandet innebär
- sekretess hindrar inte utlämnandet.
Lagstöd för behandlingen
Bestämmelser för den elektroniska behandling av uppgifter som sker vid ett utlämnande finns i IdF och PuL. I IdF finns en bestämmelse som reglerar utlämnande av behandlade uppgifter. Det är en bestämmelse om direktåtkomst (16 § IdF). I övrigt finns det inga bestämmelser som särskilt reglerar den behandling som sker när Skatteverket lämnar ut uppgifter. Skatteverket ska därför tillämpa de vanliga bestämmelserna i IdF och PuL om ändamål, grundläggande krav på behandlingen, säkerhet vid behandlingen osv. vid utlämnande av elektroniskt behandlade uppgifter.
I vilken form får Skatteverket lämna ut uppgifter?
Skatteverket kan lämna ut uppgifter på olika sätt, exempelvis
- muntligt
- skriftligt på papper
- i elektronisk form.
Att lämna ut uppgifter i elektronisk form kan ske antingen genom att Skatteverket ger mottagaren direktåtkomst till uppgifterna eller genom att uppgifterna lämnas ut på medium för automatiserad behandling. Skatteverket har ingen skyldighet att lämna ut uppgifter på annat sätt än i pappersform om det inte är särskilt föreskrivet.
Skatteverket får lämna ut uppgift om ett identitetskorts giltighetstid genom direkåtkomst (16 § IdF). I övrigt finns det inga bestämmelser i IdF om i vilken form Skatteverket får lämna ut uppgifter. Skatteverket ska därför tillämpa de grundläggande bestämmelserna i PuL om att lämna ut uppgifter.
Sekretessprövning av om uppgifterna kan lämnas ut
Innan Skatteverket lämnar ut några uppgifter ska Skatteverket göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte. I OSL finns sekretessbestämmelser för id-kortsverksamheten.
Om uppgifterna innehåller personuppgifter måste Skatteverket även ta ställning till om mottagarens behandling av uppgifterna är förenlig med PuL.
Avgifter för att lämna ut uppgifter
När och hur Skatteverket ska ta ut avgift vid utlämnande av uppgifter beskrivs på sidan om att lämna ut en allmän handling.
Informera om behandling av personuppgifter
Skatteverket är sansvarigt för den personuppgiftsbehandling som görs inom myndigheten. Skatteverket ska i vissa fall lämna information om sina behandlingar.
Det finns inte några bestämmelser i IdF om att Skatteverket ska lämna information om den behandling av personuppgifter som görs. Skatteverket ska tillämpa PuL:s bestämmelser om att informera om behandling av personuppgifter.
I PuL finns bestämmelser om vem Skatteverket ska lämna information till, när information ska lämnas och vad den ska innehålla. Det finns även vissa undantag från informationsskyldigheten.
Bevara eller gallra
De grundläggande bestämmelserna om arkivering och gallring finns i arkivlagen (1990:782), arkivförordningen (1991:446) och Riksarkivets föreskrifter, RA-FS och RA-MS. I PuL finns en bestämmelse om att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket i PuL). Därutöver finns bestämmelser om gallring av personuppgifter i de särskilda registerförfattningarna.
Uppgifter och handlingar i id-kortsdatabasen ska gallras senast ett år efter det att giltighetstiden för ett identitetskort har gått ut. Om ansökan om identitetskort har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har vunnit laga kraft (13 § första stycket IdF).
Riksarkivet får, efter samråd med Skatteverket, meddela föreskrifter om vilka uppgifter och handlingar som ska gallras (13 § andra stycket IdF). Riksarkivet har meddelat föreskrifter om bevarande och gallring hos Skatteverket avseende ärenden om identitetskort (RA-MS 2011:33). I bilaga 1 till föreskriften ges detaljerade bestämmelser för bevarande och gallring av uppgifter och elektroniska handlingar i idkortsdatabasen.
Rättelse, skadestånd och överklagande
Det finns särskilda bestämmelser för den skyldighet en personuppgiftsansvarig har att rätta felaktigt behandlade personuppgifter och för det skadeståndsansvar som den personuppgiftsansvarige har. Vissa beslut som Skatteverket fattar i egenskap av personuppgiftsansvarig får överklagas.
Rätta felaktigt behandlade personuppgifter
Om Skatteverket behandlar personuppgifter i strid med IdF eller PuL ska Skatteverket rätta personuppgifterna om den registrerade personen begär det. Skatteverket ska tillämpa PuL:s bestämmelser om rättelse vid behandling av personuppgifter enligt IdF (15 § IdF).
Betala skadestånd för felaktigt behandlade personuppgifter
Om Skatteverket har behandlat personuppgifter i strid med IdF eller PuL ska Skatteverket ersätta den registrerade personen för den skada och kränkning som den felaktiga behandlingen har orsakat, genom att betala ett skadestånd. Skatteverket ska tillämpa PuL:s bestämmelser om skadestånd (15 § IdF).
Överklaga Skatteverkets beslut om rättelse eller beslut om information
Följande beslut som fattas av Skatteverket får överklagas till allmän förvaltningsdomstol:
- beslut om information till den registrerade efter ansökan
- beslut om rättelse
- beslut om information till tredje man efter rättelse
- beslut om information om behandlingar som inte är anmälda till Datainspektionen.
Skatteverket ska tillämpa PuL:s bestämmelser om överklagande.
Referenser inom dataskydd & sekretess
Tillsammans gör vi samhället möjligt