OBS: Detta är utgåva 2017.2. Sidan är avslutad 2018.
PuL anger vilken behandling av personuppgifter som är tillåten. PuL innehåller även särskilda bestämmelser för när man får behandla känsliga personuppgifter, uppgifter om lagöverträdelser samt personnummer och samordningsnummer.
Särskilda bestämmelser gäller för att behandla personuppgifter i Skatteverkets beskattningsverksamhet, brottsbekämpande verksamhet, folkbokföringsverksamhet, id-kortsverksamhet, SPAR-verksamhet, äktenskapsregister- och bouppteckningsverksamheter eller Mina meddelanden.
Skatteverket måste ha stöd i lag eller annan författning för att behandla personuppgifter elektroniskt. Detta bygger bl.a. på att det i RF anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildas personliga förhållanden (2 kap. 6 § andra stycket RF). Denna rättighet får i viss mån begränsas genom lag (2 kap. 20–22 § RF). I PuL finns bestämmelser om när man får behandla personuppgifter. Vanligtvis krävs enligt PuL samtycke från den registrerade personen för att dennes personuppgifter ska få behandlas men det finns flera viktiga undantag från kravet på samtycke.
Huvudregeln är att man får behandla personuppgifter bara om den registrerade personen har lämnat sitt samtycke till behandlingen (10 § PuL). Detta gäller även behandling av personuppgifter som kan anses vara ”harmlösa”.
Det finns viktiga undantag från PuL:s krav på samtycke, t.ex. vid behandling av personuppgifter för att fullgöra en rättslig skyldighet.
I de särskilda registerförfattningarna finns ibland bestämmelser som tillåter personuppgiftsbehandling utan att den enskilda har samtyckt till behandlingen, t.ex. 1 kap. 2 § andra stycket SdbL.
Med samtycke menas att den registrerade personen, efter att hen har fått information om behandlingen av personuppgifterna, godkänner personuppgiftsbehandlingen. Samtycket ska lämnas genom en frivillig, särskild och otvetydig viljeyttring. Ett samtycke får inte vara passivt (3 § PuL).
Det är den registrerade personen, alltså den som personuppgifterna rör, som ska lämna sitt samtycke till behandlingen.
Det finns inget formkrav för hur den registrerade personen ska lämna samtycke till personuppgiftsbehandlingen. Samtycke kan lämnas både muntligen och skriftligen.
Skatteverket är ansvarigt för den personuppgiftsbehandling som görs inom myndigheten. Skatteverket ska kunna visa att ett samtycke finns om samtycket är en förutsättning för att Skatteverket ska få göra en viss personuppgiftsbehandling. Det är därför lämpligt att den registrerade personens samtycke dokumenteras. Av dokumentationen bör det framgå tydligt vad den registrerade personen har samtyckt till. Det bör t.ex. framgå vilka uppgifter som Skatteverket ska behandla, för vilka ändamål behandlingen ska göras och hur länge Skatteverket kommer att bevara uppgifterna.
När Skatteverket behandlar personuppgifter med stöd av den registrerade personens samtycke kan den registrerade personen när som helst återkalla sitt samtycke. Om den registrerade personen återkallar sitt samtycke får Skatteverket inte behandla fler personuppgifter om honom eller henne (12 § PuL).
Skatteverket får enligt PuL behandla personuppgifter även utan samtycke från den registrerade personen om en av följande förutsättningar är uppfylld:
Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig för att myndigheten ska kunna fullgöra ett avtal med den personen. Skatteverket får också behandla personuppgifter utan samtycke om behandlingen är nödvändig för att Skatteverket, innan ett avtal har slutits, ska kunna vidta åtgärder som den registrerade personen har begärt (10 § a PuL).
För att Skatteverket ska kunna tillämpa detta undantag från kravet på samtycke till personuppgiftsbehandling måste det vara fråga om ett avtal med den registrerade personen själv.
Exempel på när Skatteverket använder detta undantag från kravet på samtycke är när Skatteverket behandlar de anställdas personuppgifter för att betala ut lön i enlighet med anställningsavtal med de anställda.
Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig för att Skatteverket ska kunna fullgöra en rättslig skyldighet. Det ska vara fråga om en rättslig skyldighet som Skatteverket har (10 § b PuL).
Exempel på när Skatteverket använder detta undantag från kravet på samtycke är när Skatteverket lämnar ut allmänna handlingar i enlighet med offentlighetsprincipen (2 kap. 1 § TF). Reglerna i TF om utlämnande av allmänna handlingar är en sådan rättslig skyldighet som ligger på Skatteverket och som gör att Skatteverket – utan samtycke till behandlingen – får behandla de personuppgifter som är nödvändiga för att kunna lämna ut handlingarna.
Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig för att myndigheten ska kunna skydda den registrerade personens vitala intressen (10 § c PuL).
Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig för att myndigheten ska kunna utföra en arbetsuppgift av allmänt intresse (10 § d PuL).
Exempel på arbetsuppgifter som är av allmänt intresse är arkivering, forskning och framställning av statistik.
Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig för att myndigheten ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Detsamma gäller om behandlingen är nödvändig för att en tredje man, som Skatteverket lämnar personuppgifterna till, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning (10 § e PuL).
Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig och Skatteverkets intresse av att behandla den registrerade personens uppgifter väger tyngre än den registrerade personens intresse av skydd mot kränkning av den personliga integriteten. Detsamma gäller om en tredje man, som Skatteverket lämnar personuppgifterna till, ska kunna tillgodose ett sådant intresse. Skatteverket behandlar då personuppgifterna med stöd av en s.k. intresseavvägning (10 § f PuL).
Vid intresseavvägningen ska man ta hänsyn till flera olika faktorer som t.ex. ändamålet med behandlingen, uppgifternas art och hur uppgifterna behandlas. Skatteverket behöver alltså göra en helhetsbedömning för att ta ställning till om myndigheten kan behandla personuppgifter med stöd av bestämmelsen om intresseavvägning.
Exempel på när Skatteverket använder detta undantag från kravet på samtycke är när Skatteverket av säkerhetsskäl registrerar personuppgifter om de anställda i ett inpasseringssystem eller registrerar personuppgifter om en arbetssökande i ett rekryteringssystem.
Skatteverket får behandla personuppgifter utan samtycke av den registrerade personen om behandlingen avser personuppgifter i ostrukturerat material. Skatteverket får dock inte göra behandlingen om den innebär en kränkning av den registrerade personens personliga integritet (5 a § PuL).
Detta är ett undantag som inte används så ofta i Skatteverkets verksamhet.
Det finns särskilda bestämmelser för om – och i så fall hur – man får behandla känsliga personuppgifter. Sådana bestämmelser finns både i PuL och i särskilda registerförfattningar.
Huvudregeln är att Skatteverket inte får behandla känsliga personuppgifter (13 § PuL).
Det finns några undantag från huvudregeln i PuL om förbud mot att behandla känsliga personuppgifter (15–19 §§ PuL). Skatteverket får behandla känsliga personuppgifter bl.a. i följande fall:
Det finns särskilda bestämmelser för om – och i så fall hur – man får behandla personuppgifter om lagöverträdelser. Sådana bestämmelser finns både i PuL och i särskilda registerförfattningar.
Huvudregeln är att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § PuL).
Datainspektionen har meddelat vissa undantag från förbudet i Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. (DIFS 2010:1).
Personnummer och samordningsnummer är unika identifikationsnummer. Därför finns det särskilda bestämmelser för när man får behandla dessa. Sådana bestämmelser finns både i PuL och i särskilda registerförfattningar.
Huvudregeln är att Skatteverket får behandla personnummer eller samordningsnummer bara om den registrerade personen har lämnat sitt samtycke till behandlingen (22 § PuL).
Skatteverket får enligt PuL behandla personnummer eller samordningsnummer utan samtycke av den registrerade personen, om det är klart motiverat med hänsyn till en av följande förutsättningar (22 § PuL):
I de särskilda registerförfattningarna finns ibland bestämmelser som tillåter personuppgiftsbehandling utan att den enskilda har samtyckt till behandlingen, t.ex. 1 kap. 2 § andra stycket SdbL.