OBS: Detta är utgåva 2017.2. Sidan är avslutad 2018.
I vissa delar av Skatteverkets verksamhet ska de bestämmelser om personuppgiftsbehandling som finns i PuL tillämpas. I andra delar av verksamheten gäller andra registerförfattningar för elektronisk behandling av personuppgifter.
Särskilda bestämmelser gäller för att behandla personuppgifter i Skatteverkets beskattningsverksamhet, brottsbekämpande verksamhet, folkbokföringsverksamhet, id-kortsverksamhet, SPAR-verksamhet, äktenskapsregister- och bouppteckningsverksamheter och verksamheten Mina meddelanden.
Syftet med PuL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PuL grundar sig på Europaparlamentets och rådets direktiv 95/46/EG den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Medlemsstaterna ska skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
PuL ger enbart skydd för nu levande fysiska personers integritet. Lagen ger inget skydd för ofödda eller avlidna fysiska personer och inte heller för juridiska personer. Skydd för juridiska personer och avlidna fysiska personer finns däremot i vissa andra registerförfattningar, t.ex. FdbL och SdbL.
Det finns kompletterande föreskrifter för sådan behandling av personuppgifter som omfattas av PuL i PuF. Datainspektionen har meddelat föreskrifter, t.ex. Datainspektionens föreskrifter (2013:1) i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen.
Skatteverket ska tillämpa PuL när myndigheten behandlar personuppgifter helt eller delvis automatiserat (5 § första stycket PuL).
Skatteverket ska även tillämpa PuL vid viss manuell behandling av personuppgifter. PuL gäller när Skatteverket behandlar personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 § andra stycket PuL).
Exempel på manuell behandling som omfattas av PuL är pappershandlingar i pärmar eller kortregister. För att PuL ska vara tillämplig på en sådan behandling krävs att det finns möjlighet till sökning av olika personuppgifter på ett effektivare sätt än genom att titta på dokument för dokument. Högsta förvaltningsdomstolen har i en dom uttalat att enbart en sortering av ett antal dokument i en viss ordning inte kan anses uppfylla det i 5 § andra stycket PuL uppställda kravet på tillgänglighet för sökning eller sammanställning (RÅ 2001 ref. 35).
Anledningen till att även viss manuell behandling omfattas av PuL är att integritetsrisker kan uppkomma om en stor mängd personuppgifter på papper struktureras så att det går att hitta bland uppgifterna på ett enkelt sätt. Avsikten är att PuL ska vara teknikoberoende.
Med personuppgift menas all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet (3 § PuL). Det avgörande är om en person på något sätt kan identifieras av någon annan.
Exempel på personuppgifter är
Namn och personnummer är exempel på direkta personuppgifter. Telefonnummer, registreringsnummer på fordon, diarienummer och IP-adress är exempel på indirekta personuppgifter. För att veta vilken person som en indirekt personuppgift avser behöver man ytterligare information såsom t.ex. uppgift om vem som är ägare till ett fordon med ett visst registreringsnummer.
Ibland kan uppgifter vara så detaljerade att det går att förstå vilken person som avses utan att någon direkt eller indirekt personuppgift anges, t.ex. ”kyrkvaktmästaren i Salems församling”. En sådan uppgift är också en personuppgift. Även uppgifter som är krypterade och olika slags elektroniska identiteter som t.ex. e-postadresser eller IP-adresser är personuppgifter om de kan knytas till en person.
Det finns vissa typer av uppgifter som inte är personuppgifter i PuL:s mening.
Uppgifter om avlidna eller ännu inte födda är inte personuppgifter i PuL:s mening. Uppgifter om levande anhöriga till avlidna eller ännu inte födda är dock personuppgifter.
Även om uppgifter om avlidna inte omfattas av PuL:s begrepp personuppgift kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i folkbokföringsverksamheten (1 kap. 1 § FdbL) och i beskattningsverksamheten (1 kap. 1 § SdbL).
Uppgifter om juridiska personer är inte personuppgifter i PuL:s mening. Uppgifter om en enskild firma är dock en personuppgift eftersom det är en enda fysisk person som innehar firman.
Även om uppgifter om juridiska personer inte omfattas av PuL:s begrepp personuppgift kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av personuppgifter i beskattningsverksamheten (1 kap. 1 § SdbL).
Vissa personuppgifter anses vara extra känsliga ur integritetssynpunkt. De kallas i PuL för känsliga personuppgifter (13 § PuL). Med detta uttryck menas personuppgifter som
Det finns särskilda bestämmelser för om och i så fall hur känsliga personuppgifter får behandlas.
Exempel på känsliga personuppgifter är uppgifter om
Med uttrycket personuppgifter om lagöverträdelser menas personuppgifter som handlar om brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § PuL).
Det finns särskilda bestämmelser för om och i så fall hur uppgifter om lagöverträdelser får behandlas.
Exempel på personuppgifter om lagöverträdelser är uppgifter om
Med behandling av personuppgifter menas allt som görs med personuppgifter oavsett om det sker elektronisk eller på annat sätt (3 § PuL).
Exempel på behandling av personuppgifter är
Även utlämnande av personuppgifter som behandlas elektroniskt är en behandling oavsett av om utlämnandet görs muntligen, på papper eller i elektronisk form (SOU 1997:39 och SOU 2003:40).
EU-domstolen har uttalat att det utgör en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg” när man nämner olika personer på en webbplats, med namn eller på annat sätt t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen (C-101/01, Bodil Lindqvist).
I vissa fall ska Skatteverket inte tillämpa PuL. Det kan bero på att det finns andra regler som ska tillämpas i stället eller på att den behandling som Skatteverket vill göra inte omfattas av PuL:s bestämmelser.
Om det i en annan lag eller förordning finns bestämmelser som avviker från PuL ska Skatteverket tillämpa de bestämmelserna i stället för PuL (2 § PuL). PuL gäller däremot före föreskrifter som myndigheter utfärdar.
Bestämmelser som avviker från PuL finns ofta i särskilda s.k. registerförfattningar som t.ex. SdbL och FdbL. Läs om vilka bestämmelser som Skatteverket ska tillämpa i Skatteverkets olika verksamhetsgrenar.
Skatteverket ska inte tillämpa bestämmelserna i PuL om det skulle strida mot bestämmelserna om tryckfrihet och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (7 § första stycket PuL). Bestämmelserna i grundlagarna gäller före bestämmelserna i PuL.
Flera av bestämmelserna i PuL gäller inte för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket PuL).
Om Skatteverket behandlar personuppgifter för att lämna ut dem med stöd av offentlighetsprincipen gör Skatteverket en sådan behandling av personuppgifter som omfattas av PuL:s bestämmelser.
Skatteverket ska inte tillämpa bestämmelserna i PuL om det skulle inskränka Skatteverkets skyldighet enligt 2 kap. TF att lämna ut personuppgifter (8 § första stycket PuL). Bestämmelserna i grundlagen gäller före bestämmelserna i PuL.
Bestämmelserna i PuL hindrar inte att en myndighet arkiverar och bevarar allmänna handlingar (8 § andra stycket PuL).
Om Skatteverket behandlar personuppgifter i ostrukturerat material behöver Skatteverket inte tillämpa samtliga bestämmelser i PuL (5 a § PuL). Med ostrukturerat material menas uppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.
Exempel på behandling av personuppgifter i ostrukturerat material är:
Exempel på behandling av personuppgifter i strukturerat material är:
En behandling av personuppgifter i ostrukturerat material får inte innebära en kränkning av den registrerades personliga integritet. För att säkerställa att Skatteverket inte kränker den registrerades integritet kan Skatteverket välja att följa samtliga bestämmelser i PuL även om det i detta fall inte är nödvändigt.
Bestämmelsen om behandling av personuppgifter i ostrukturerat material tillämpas inte så ofta i Skatteverkets verksamhet. Detta beror på att de flesta behandlingar som görs inom Skatteverket görs med stöd av särskilda registerförfattningar och inte med stöd av PuL.
PuL ska inte tillämpas för sådan behandling av personuppgifter som en privatperson gör för rent privat bruk (6 § PuL).
Exempel på privat behandling är:
Om en privatperson på sin hemsida på internet nämner personer som kan identifieras genom namn eller på något annat sätt är det inte fråga om en privat behandling av personuppgifter (C-101/01, Bodil Lindqvist och RH 2004:51).
Inom Skatteverket finns flera olika verksamhetsgrenar, t.ex. beskattningsverksamhet och folkbokföringsverksamhet. För en del verksamhetsgrenar finns bestämmelser om elektronisk behandling av uppgifter i särskilda registerförfattningar. Registerförfattningens bestämmelser gäller då istället för PuL:s bestämmelser. För de verksamhetsgrenar som inte har någon registerförfattning ska Skatteverket tillämpa bestämmelserna i PuL vid elektronisk behandling av personuppgifter.
I tabellen nedan anges vilken registerförfattning som Skatteverket ska tillämpa i respektive verksamhetsgren. I de angivna författningarna kan det finnas hänvisningar till annan lagstiftning som t.ex. PuL.
Verksamhetsgren |
Tillämpliga bestämmelser |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Övrig verksamhet, t.ex. personaladministrativ verksamhet |
|