OBS: Detta är utgåva 2016.8. Sidan är avslutad 2018.

Det finns vissa grundläggande krav som man ska följa när man behandlar personuppgifter. Exempel på detta är att det måste finnas ett ändamål för behandlingen av uppgifterna och att man inte får behandla fler personuppgifter än som är nödvändigt med hänsyn till ändamålet för behandlingen. Det finns även särskilda bestämmelser om säkerhetsåtgärder och om att föra över personuppgifter till tredje land.

Behandlingen ska vara laglig

Personuppgifter får behandlas bara om det är lagligt (9 § första stycket a PuL).

Att behandlingen ska vara laglig innebär följande:

  • Skatteverket måste ha lagstöd för att behandla personuppgifterna. Den behandling Skatteverket vill göra måste vara tillåten enligt 10 § och 13—20 §§ PuL, eller enligt någon annan lag eller författning.
  • Skatteverket måste följa de bestämmelser som finns i PuL, eller annan lag eller författning, som reglerar hur man får behandla uppgifterna.

När Skatteverket behandlar personuppgifter ska myndigheten behandla uppgifterna korrekt och enligt god sed. Att behandla personuppgifter enligt god sed betyder att man ska följa de föreskrifter som har utfärdats med stöd av PuL och eventuella branschregler eller policyer (9 § första stycket b PuL).

Ändamål för behandlingen av personuppgifter

Personuppgifter får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Detta betyder att Skatteverket måste bestämma ändamålet för behandlingen av personuppgifterna redan innan behandlingen påbörjas (9 § första stycket c PuL).

Att ändamålet ska vara särskilt innebär att det inte får vara alltför allmänt hållet. Skatteverket ska ha ett konkret ändamål för behandlingen, t.ex. behandling av anställdas personuppgifter i personaladministrativ verksamhet för löneutbetalningsändamål. Man kan ha mer än ett ändamål för en personuppgiftsbehandling.

Att ändamålet ska vara uttryckligt angivet innebär inte i sig att Skatteverket måste ange ändamålet skriftligen. Men det är lämpligt att dokumentera ändamålet för behandlingen, bl.a. med hänsyn till den skyldighet att lämna information om personuppgiftsbehandlingar som Skatteverket har.

Det är viktigt att Skatteverket noga överväger vilket eller vilka ändamål myndigheten har för personuppgiftsbehandlingen. Ändamålet för behandlingen påverkar bl.a. vilka personuppgifter Skatteverket får behandla, hur många personuppgifter myndigheten får behandla och hur länge myndigheten får spara uppgifterna.

Finalitetsprincipen

När man behandlar personuppgifter behöver man hela tiden vara medveten om för vilket ändamål man behandlar uppgifterna. Man får inte behandla personuppgifter för något ändamål som är oförenligt med det ändamål för vilket uppgifterna från början samlades in. Detta kallas finalitetsprincipen.

Om ett ändamål är förenligt eller inte med det ändamål med behandlingen som Skatteverket har bestämt från början får myndigheten avgöra genom en bedömning i det enskilda fallet. Skatteverket bör då utgå från vilken behandling av de registrerade uppgifterna som en registrerad person rimligen kan förvänta sig mot bakgrund av det ändamål för behandlingen som Skatteverket har bestämt från början. Finalitetsprincipen begränsar bl.a. möjligheten att samköra personuppgifter som man behandlar för olika ändamål (9 § första stycket d PuL). Även när Skatteverket vill lämna ut behandlade uppgifter till någon annan måste utlämnandet vara förenligt med det ursprungliga ändamålet för behandlingen.

Mängden personuppgifter

Skatteverket får inte behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen för behandlingen. För varje personuppgift – eller kategori av personuppgifter – som Skatteverket vill behandla måste myndigheten ta ställning till om uppgiften verkligen är nödvändig för behandlingen (9 § första stycket f PuL).

De personuppgifter som Skatteverket behandlar ska vara adekvata och relevanta i förhållande till ändamålen för behandlingen. De ska vara av betydelse för behandlingen och för de ändamål myndigheten vill uppnå med behandlingen. Skatteverket får alltså inte behandla personuppgifter enbart av det skälet att de eventuellt kan komma till användning. Personuppgifterna ska även vara riktiga och – om det är nödvändigt med hänsyn till ändamålen för behandlingen – aktuella (9 § första stycket e och g PuL).

Rättelse av personuppgifter

Skatteverket ska vidta alla åtgärder som är rimliga för att rätta, blockera eller utplåna personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen för behandlingen. En sådan rättelse ska Skatteverket göra på eget initiativ (9 § första stycket h PuL).

Skatteverket ska också – på den registrerade personens begäran – rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med PuL (28 § PuL).

Bevara personuppgifter

Skatteverket får enligt huvudregeln inte bevara personuppgifter under längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen (9 § i PuL).

Informera om behandling av personuppgifter

Skatteverket ska i vissa fall informera den registrerade personen och allmänheten om Skatteverkets behandling av personuppgifter.

Säkerhet vid och instruktioner för behandlingen

PuL innehåller bestämmelser om krav på säkerhet vid behandling av personuppgifter. Bestämmelserna rör

  • hur personer som behandlar personuppgifter under myndighetens ledning ska behandla uppgifterna
  • hur ett personuppgiftsbiträde som behandlar personuppgifter för myndighetens räkning ska behandla uppgifterna
  • vilka säkerhetsåtgärder myndigheten ska vidta för att skydda personuppgifterna som behandlas (30—31 §§ PuL).

Det kan finnas bestämmelser om säkerhetsåtgärder även i andra lagar och förordningar, t.ex. arkivlagen (1990:782). Skatteverket ska tillämpa även dessa bestämmelser på den personuppgiftsbehandling som görs i Skatteverkets verksamhet.

Personer som behandlar personuppgifter

Den som arbetar under Skatteverkets ledning ska behandla personuppgifterna i enlighet med de instruktioner som Skatteverket ger. Om det i en lag eller annan författning finns särskilda bestämmelser om behandling av personuppgifter i det allmännas verksamhet ska den som arbetar under Skatteverkets ledning följa även dessa bestämmelser, t.ex. bestämmelser i OSL (30 § PuL).

Personuppgiftsbiträde

Ett personuppgiftsbiträde och den som arbetar under biträdets ledning ska behandla personuppgifterna i enlighet med de instruktioner som Skatteverket ger. Om det i en lag eller annan författning finns särskilda bestämmelser om behandling av personuppgifter i det allmännas verksamhet ska personuppgiftsbiträdet och den som arbetar under biträdets ledning följa även dessa bestämmelser (30 § PuL).

När Skatteverket anlitar ett personuppgiftsbiträde ska Skatteverket säkerställa att personuppgiftsbiträdet kan vidta nödvändiga säkerhetsåtgärder. Skatteverket ska även kontrollera att biträdet verkligen vidtar åtgärderna (31 § andra stycket PuL). Skatteverket ska också skriva ett s.k. personuppgiftsbiträdesavtal med personuppgiftsbiträdet.

Personuppgiftsbiträdesavtal

Ett personuppgiftsbiträdesavtal är ett skriftligt avtal mellan den personuppgiftsansvarige (Skatteverket) och ett personuppgiftsbiträde om behandling av personuppgifter för den personuppgiftsansvariges räkning.

Om Skatteverket anlitar ett personuppgiftsbiträde ska Skatteverket upprätta ett skriftligt personuppgiftsbiträdesavtal med biträdet. Skatteverket ska också skriva instruktioner för den personuppgiftsbehandling som biträdet ska göra (30 § andra stycket PuL).

I personuppgiftsbiträdesavtalet ska det anges bl.a. att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från Skatteverket. Det ska även anges att personuppgiftsbiträdet är skyldigt att vidta sådana säkerhetsåtgärder som anges i 31 § första stycket PuL.

Instruktioner för behandling av personuppgifter

Skatteverket ska skriva instruktioner för hur personuppgifter ska behandlas för Skatteverkets räkning. De som behandlar uppgifter för Skatteverkets räkning kan vara t.ex. anställda och uppdragstagare. Sådana instruktioner ska Skatteverket skriva även för de personuppgiftsbiträden som Skatteverket anlitar för att behandla personuppgifter för Skatteverkets räkning.

Instruktionerna ska vara så tydliga att otillåten behandling inte kommer att göras. Alla som behandlar personuppgifter ska känna till åtminstone för vilka ändamål uppgifterna behandlas och att behandling som är oförenlig med dessa ändamål inte är tillåten (SOU 1997:39 s. 408).

I instruktioner för personuppgiftsbehandling kan Skatteverket exempelvis ange

  • ändamålen för behandlingen
  • vilka uppgifter som får behandlas
  • utförlig beskrivning av hur uppgifterna ska behandlas
  • hur länge uppgifterna ska sparas
  • hur uppgifterna ska gallras
  • hur behandlingen ska dokumenteras
  • hur kontroll och uppföljning av behandlingen ska göras
  • vilka säkerhetsåtgärder som ska vidtas
  • rutiner för rättelse av felaktiga personuppgifter
  • hur en begäran om utlämnande av uppgifterna ska hanteras.

Säkerhetsåtgärder

Skatteverket ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig mot bakgrund av följande:

  • hur känsliga de behandlade personuppgifterna är
  • de särskilda risker som finns med personuppgiftsbehandlingen
  • kostnaden för att genomföra åtgärderna
  • vilka tekniska möjligheter som finns (31 § första stycket PuL).

Vid bedömning av vad som är en lämplig säkerhetsnivå ska Skatteverket ta hänsyn till samtliga omständigheter kring behandlingen. För att göra detta på ett strukturerat sätt kan Skatteverket välja att göra en risk- och sårbarhetsanalys. En sådan analys kan användas som underlag för att bedöma vilken säkerhetsnivå som är lämplig.

Vilka personuppgifter Skatteverket ska behandla påverkar alltså vilka säkerhetsåtgärder myndigheten behöver vidta. Om Skatteverket behandlar känsliga personuppgifter, uppgifter om lagöverträdelser eller uppgifter som omfattas av sekretess behöver Skatteverket vidta andra säkerhetsåtgärder än om myndigheten inte behandlar den typen av uppgifter. Om Skatteverket behandlar personuppgifter som rör många personer är kraven på den säkerhet som måste uppnås högre än om Skatteverket behandlar uppgifter som rör få personer. Syftet med PuL:s bestämmelser om säkerhetsåtgärder är att skydda de registrerade personernas personliga integritet.

Skatteverket ska tillämpa bestämmelserna om säkerhetsåtgärder för personuppgiftsbehandlingen även om den registrerade samtycker till en annan behandling.

Exempel på säkerhetsåtgärder är följande:

  • fysiskt skydd av den tekniska utrustning som används för att behandla personuppgifter
  • rutiner för tillträdeskontroll till det utrymme där den tekniska utrustningen finns
  • rutiner för tilldelning och kontroll av behörigheter – enbart de personer som behöver uppgifterna för att utföra sina arbetsuppgifter bör ha tillgång till personuppgifterna
  • behandlingshistorik (logg) för att kunna kontrollera vilka personer som har haft tillgång till personuppgifterna
  • rutiner för incidentrapportering
  • rutiner för säkerhetskopiering av uppgifterna
  • skydd mot att personuppgifterna förstörs, ändras eller förvanskas
  • kryptering av behandlade uppgifter
  • utbildning av den personal som ska utföra behandlingen
  • policy för användning av internet och e-post.

Överföring till utlandet

Om man vill föra över personuppgifter till ett annat land finns det vissa bestämmelser i PuL som man måste ta hänsyn till.

Att föra över uppgifter till ett annat land innebär att personuppgifter som finns i Sverige lämnas ut och att uppgifterna efter utlämnandet finns (också) i ett annat land. Exempel på en sådan överföring är att Skatteverket ger en person i ett annat land möjlighet att från utlandet komma åt personuppgifter som finns i Sverige, t.ex. via ett datornätverk eller via internet (SOU 1997:39 s. 413).

Förbud mot överföring av personuppgifter till tredje land

Det är förbjudet att föra över personuppgifter till tredje land om inte mottagarlandet har en adekvat nivå för skydd av personuppgifter (33 § PuL). Med tredje land menas en stat som inte ingår i Europeiska unionen (EU) och som inte heller är ansluten till Europeiska ekonomiska samarbetsområdet (EES) (3 § PuL).

Förbudet mot att föra över personuppgifter till tredje land gäller överföring av personuppgifter som är under behandling i Sverige, t.ex. överföring av personuppgifter till tredje land för lagring på en server i utlandet. Förbudet gäller även överföring av personuppgifter från Sverige för behandling i tredje land, t.ex. överföring av formulär med personuppgifter som inte behandlas här utan som ska behandlas i det andra landet (SOU 1997:39 s. 413).

Om Skatteverket vill föra över personuppgifter till ett land som inte ingår i EU och inte heller är anslutet till EES måste myndigheten bedöma om mottagarlandet har en adekvat nivå för skydd av personuppgifter. Om landet inte har en adekvat skyddsnivå får Skatteverket inte föra över uppgifterna. Vilka faktorer myndigheten ska ta hänsyn till för att bedöma ett lands skyddsnivå framgår av 33 § andra stycket PuL.

Undantag från förbudet mot överföring av personuppgifter till tredje land

Det finns några undantag från förbudet mot att föra över personuppgifter till tredje land. Dessa undantag anges i 34 § PuL.

Bestämmelser för att behandla personuppgifter i ostrukturerat material

Om Skatteverket behandlar personuppgifter i ostrukturerat material behöver myndigheten inte följa alla de grundläggande kraven i 9 § PuL eller bestämmelserna om överföring till tredje land i 33—34 §§ PuL. Bestämmelserna om säkerhet vid behandlingen i 30—31 §§ PuL ska dock tillämpas även när Skatteverket behandlar personuppgifter i ostrukturerat material (5 a § PuL).

Bestämmelser för publicering på internet

PuL innehåller inga särskilda bestämmelser för publicering av personuppgifter på internet. Det innebär att Skatteverket ska följa de vanliga bestämmelserna i PuL för en sådan personuppgiftsbehandling.

Rättsfall: Innebär publicering av personuppgifter på internet en överföring till tredje land?

Vid publicering av personuppgifter på internet ska man följa de vanliga bestämmelserna i PuL. Detta innebär bl.a. att man ska ta hänsyn till bestämmelserna om förbud mot överföring till tredje land i 33—34 §§ PuL. Frågan är då om man genom publicering på internet överför personuppgifter till tredje land.

EU-domstolen har uttalat att om man publicerar personuppgifter på internet innebär det inte en överföring av personuppgifter till tredje land om den webbplats där uppgifterna publiceras finns lagrad hos en webbhotelleverantör som är etablerad i en medlemsstat inom EU (C-101/01, Bodil Lindqvist).

Referenser på sidan

Domar & beslut

  • EU-dom C-101/01 [1]

Lagar & förordningar

Övrigt