OBS: Detta är utgåva 2017.7. Sidan är avslutad 2018.

I vissa delar av Skatteverkets verksamhet ska de bestämmelser om personuppgiftsbehandling som finns i PuL tillämpas. I andra delar av verksamheten gäller andra registerförfattningar för elektronisk behandling av personuppgifter.

Syftet med personuppgiftslagen

Syftet med PuL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PuL grundar sig på Europaparlamentets och rådets direktiv 95/46/EG den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Medlemsstaterna ska skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

PuL ger enbart skydd för nu levande fysiska personers integritet. Lagen ger inget skydd för ofödda eller avlidna fysiska personer och inte heller för juridiska personer. Skydd för juridiska personer och avlidna fysiska personer finns däremot i vissa andra registerförfattningar, t.ex. FdbL och SdbL.

Kompletterande föreskrifter

Det finns kompletterande föreskrifter för sådan behandling av personuppgifter som omfattas av PuL i PuF. Datainspektionen har meddelat föreskrifter, t.ex. Datainspektionens föreskrifter (2013:1) i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen.

När ska Skatteverket tillämpa PuL?

Skatteverket ska tillämpa PuL när myndigheten behandlar personuppgifter helt eller delvis automatiserat (5 § första stycket PuL).

Skatteverket ska även tillämpa PuL vid viss manuell behandling av personuppgifter. PuL gäller när Skatteverket behandlar personuppgifter som ingår i eller kommer att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 § andra stycket PuL).

Exempel på manuell behandling som omfattas av PuL är pappershandlingar i pärmar eller kortregister. För att PuL ska vara tillämplig på en sådan behandling krävs att det finns möjlighet till sökning av olika personuppgifter på ett effektivare sätt än genom att titta på dokument för dokument. Högsta förvaltningsdomstolen har i en dom uttalat att enbart en sortering av ett antal dokument i en viss ordning inte kan anses uppfylla det i 5 § andra stycket PuL uppställda kravet på tillgänglighet för sökning eller sammanställning (RÅ 2001 ref. 35).

Anledningen till att även viss manuell behandling omfattas av PuL är att integritetsrisker kan uppkomma om en stor mängd personuppgifter på papper struktureras så att det går att hitta bland uppgifterna på ett enkelt sätt. Avsikten är att PuL ska vara teknikoberoende.

Personuppgifter

Med personuppgift menas all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet (3 § PuL). Det avgörande är om en person på något sätt kan identifieras av någon annan.

Exempel på personuppgifter är

  • namn
  • personnummer
  • fotografi
  • ljudinspelning
  • telefonnummer
  • registreringsnummer på fordon
  • diarienummer
  • IP-adress.

Namn och personnummer är exempel på direkta personuppgifter. Telefonnummer, registreringsnummer på fordon, diarienummer och IP-adress är exempel på indirekta personuppgifter. För att veta vilken person som en indirekt personuppgift avser behöver man ytterligare information såsom t.ex. uppgift om vem som är ägare till ett fordon med ett visst registreringsnummer.

Ibland kan uppgifter vara så detaljerade att det går att förstå vilken person som avses utan att någon direkt eller indirekt personuppgift anges, t.ex. ”kyrkvaktmästaren i Salems församling”. En sådan uppgift är också en personuppgift. Även uppgifter som är krypterade och olika slags elektroniska identiteter som t.ex. e-postadresser eller IP-adresser är personuppgifter om de kan knytas till en person.

Uppgifter som inte är personuppgifter

Det finns vissa typer av uppgifter som inte är personuppgifter i PuL:s mening.

Avlidna och ännu inte födda

Uppgifter om avlidna eller ännu inte födda är inte personuppgifter i PuL:s mening. Uppgifter om levande anhöriga till avlidna eller ännu inte födda är dock personuppgifter.

Även om uppgifter om avlidna inte omfattas av PuL:s begrepp personuppgift kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i folkbokföringsverksamheten (1 kap. 1 § FdbL) och i beskattningsverksamheten (1 kap. 1 § SdbL).

Juridiska personer

Uppgifter om juridiska personer är inte personuppgifter i PuL:s mening. Uppgifter om en enskild firma är dock en personuppgift eftersom det är en enda fysisk person som innehar firman.

Även om uppgifter om juridiska personer inte omfattas av PuL:s begrepp personuppgift kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av personuppgifter i beskattningsverksamheten (1 kap. 1 § SdbL).

Känsliga personuppgifter

Vissa personuppgifter anses vara extra känsliga ur integritetssynpunkt. De kallas i PuL för känsliga personuppgifter (13 § PuL). Med detta uttryck menas personuppgifter som

  • avslöjar ras eller etniskt ursprung
  • avslöjar politiska åsikter
  • avslöjar religiös eller filosofisk övertygelse
  • avslöjar medlemskap i fackförening
  • rör hälsa eller sexualliv.

Det finns särskilda bestämmelser för om och i så fall hur känsliga personuppgifter får behandlas.

Exempel på känsliga personuppgifter är uppgifter om

  • en persons medlemskap i ett trossamfund
  • att en person har lämnat bidrag till ett politiskt parti
  • att en person har skadat sin fot
  • att en person är sjukskriven.

Personuppgifter om lagöverträdelser

Med uttrycket personuppgifter om lagöverträdelser menas personuppgifter som handlar om brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § PuL).

Det finns särskilda bestämmelser för om och i så fall hur uppgifter om lagöverträdelser får behandlas.

Exempel på personuppgifter om lagöverträdelser är uppgifter om

  • att egendom har tagits i beslag från en person
  • att en person har dömts för brott
  • att en person har eller kan ha begått ett brott, även om det inte finns någon dom om brottet
  • att en person har varit föremål för tvångsvård enligt lagen (1988:870) om vård av missbrukare i vissa fall.

Behandling av personuppgifter

Med behandling av personuppgifter menas allt som görs med personuppgifter oavsett om det sker elektronisk eller på annat sätt (3 § PuL).

Exempel på behandling av personuppgifter är

  • insamling
  • registrering
  • användning
  • lagring
  • bearbetning
  • sammanställning
  • samkörning
  • utskrift
  • spridning
  • förstöring.

Även utlämnande av personuppgifter som behandlas elektroniskt är en behandling oavsett av om utlämnandet görs muntligen, på papper eller i elektronisk form (SOU 1997:39 och SOU 2003:40).

Rättsfall: behandling av personuppgifter på en webbplats

EU-domstolen har uttalat att det utgör en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg” när man nämner olika personer på en webbplats, med namn eller på annat sätt t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen (C-101/01, Bodil Lindqvist).

När ska Skatteverket inte tillämpa PuL?

I vissa fall ska Skatteverket inte tillämpa PuL. Det kan bero på att det finns andra regler som ska tillämpas i stället eller på att den behandling som Skatteverket vill göra inte omfattas av PuL:s bestämmelser.

Andra lagar och förordningar

Om det i en annan lag eller förordning finns bestämmelser som avviker från PuL ska Skatteverket tillämpa de bestämmelserna i stället för PuL (2 § PuL). PuL gäller däremot före föreskrifter som myndigheter utfärdar.

Bestämmelser som avviker från PuL finns ofta i särskilda s.k. registerförfattningar som t.ex. SdbL och FdbL. Läs om vilka bestämmelser som Skatteverket ska tillämpa i Skatteverkets olika verksamhetsgrenar.

Tryckfrihet och yttrandefrihet

Skatteverket ska inte tillämpa bestämmelserna i PuL om det skulle strida mot bestämmelserna om tryckfrihet och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (7 § första stycket PuL). Bestämmelserna i grundlagarna gäller före bestämmelserna i PuL.

Flera av bestämmelserna i PuL gäller inte för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket PuL).

Offentlighetsprincipen

Om Skatteverket behandlar personuppgifter för att lämna ut dem med stöd av offentlighetsprincipen gör Skatteverket en sådan behandling av personuppgifter som omfattas av PuL:s bestämmelser.

Skatteverket ska inte tillämpa bestämmelserna i PuL om det skulle inskränka Skatteverkets skyldighet enligt 2 kap. TF att lämna ut personuppgifter (8 § första stycket PuL). Bestämmelserna i grundlagen gäller före bestämmelserna i PuL.

Bestämmelserna i PuL hindrar inte att en myndighet arkiverar och bevarar allmänna handlingar (8 § andra stycket PuL).

Ostrukturerat material

Om Skatteverket behandlar personuppgifter i ostrukturerat material behöver Skatteverket inte tillämpa samtliga bestämmelser i PuL (5 a § PuL). Med ostrukturerat material menas uppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.

Exempel på behandling av personuppgifter i ostrukturerat material är:

  • personuppgifter i löpande text i ett ordbehandlingsprogram
  • personuppgifter i löpande text på internet
  • personuppgifter i ljud- och bildupptagning
  • personuppgifter i korrespondens via e-post.

Exempel på behandling av personuppgifter i strukturerat material är:

  • personuppgifter i ärendehanteringssystem, t.ex. Diarätt eller Folke
  • personuppgifter i en lista som används för ärendeuppföljning
  • personuppgifter i inpasseringssystem.

En behandling av personuppgifter i ostrukturerat material får inte innebära en kränkning av den registrerades personliga integritet. För att säkerställa att Skatteverket inte kränker den registrerades integritet kan Skatteverket välja att följa samtliga bestämmelser i PuL även om det i detta fall inte är nödvändigt.

Bestämmelsen om behandling av personuppgifter i ostrukturerat material tillämpas inte så ofta i Skatteverkets verksamhet. Detta beror på att de flesta behandlingar som görs inom Skatteverket görs med stöd av särskilda registerförfattningar och inte med stöd av PuL.

Privat behandling av personuppgifter

PuL ska inte tillämpas för sådan behandling av personuppgifter som en privatperson gör för rent privat bruk (6 § PuL).

Exempel på privat behandling är:

  • en adresslista över vänner och släktingar som används bara för privat bruk
  • en elektronisk dagbok som används bara för privat bruk
  • privat korrespondens med e-post
  • ordbehandling för privat bruk.

Om en privatperson på sin hemsida på internet nämner personer som kan identifieras genom namn eller på något annat sätt är det inte fråga om en privat behandling av personuppgifter (C-101/01, Bodil Lindqvist och RH 2004:51).

Bestämmelser för att behandla personuppgifter i Skatteverkets olika verksamhetsgrenar

Inom Skatteverket finns flera olika verksamhetsgrenar, t.ex. beskattningsverksamhet och folkbokföringsverksamhet. För en del verksamhetsgrenar finns bestämmelser om elektronisk behandling av uppgifter i särskilda registerförfattningar. Registerförfattningens bestämmelser gäller då istället för PuL:s bestämmelser. För de verksamhetsgrenar som inte har någon registerförfattning ska Skatteverket tillämpa bestämmelserna i PuL vid elektronisk behandling av personuppgifter.

Tabell med registerförfattningar för Skatteverkets olika verksamhetsgrenar

I tabellen nedan anges vilken registerförfattning som Skatteverket ska tillämpa i respektive verksamhetsgren. I de angivna författningarna kan det finnas hänvisningar till annan lagstiftning som t.ex. PuL.

Verksamhetsgren

Tillämpliga bestämmelser

Beskattningsverksamhet

  • SdbL
  • SdbF
  • Riksskatteverkets föreskrifter om vilka uppgifter som får behandlas enligt 2 kap. 3 § SdbL (RSFS 2002:13).

Brottsbekämpande verksamhet

  • LPB
  • FPB
  • PuL
  • PuF

Folkbokföringsverksamhet

  • FdbL
  • FdbF

Id-kortsverksamhet

  • Lagen (2015:899) om identitetskort för folkbokförda i Sverige
  • Förordningen (2015:904) om identitetskort för folkbokförda i Sverige
  • PuL
  • PuF

Äktenskapsregister- och bouppteckningsverksamheter

  • Lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
  • Förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter

SPAR-verksamhet

  • SparL
  • SparF
  • PuL
  • PuF

Verksamheten Mina meddelanden

  • Förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte

Övrig verksamhet, t.ex. personaladministrativ verksamhet

  • PuL
  • PuF

Referenser på sidan

Domar & beslut

EU-författningar

  • Direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) [1]

Lagar & förordningar

  • Lag (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet [1] [2]
  • Lag (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet [1]
  • Personuppgiftslag (1998:204) [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]
  • Tryckfrihetsförordning (1949:105) [1]

Övrigt

  • Integritetsskyddsmyndigheten - IMY (fd. Datainspektionen) [1]
  • SOU 1997:39 Integritet Offentlighet Informationsteknik [1]
  • SOU 2003:40 Utlänningsdatalag [1]