OBS: Detta är utgåva 2017.7. Sidan är avslutad 2018.

PuL anger vilken behandling av personuppgifter som är tillåten. PuL innehåller även särskilda bestämmelser för när man får behandla känsliga personuppgifter, uppgifter om lagöverträdelser samt personnummer och samordningsnummer.

Rättsligt stöd för behandling av personuppgifter

Skatteverket måste ha stöd i lag eller annan författning för att behandla personuppgifter elektroniskt. Detta bygger bl.a. på att det i RF anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildas personliga förhållanden (2 kap. 6 § andra stycket RF). Denna rättighet får i viss mån begränsas genom lag (2 kap. 20–22 § RF). I PuL finns bestämmelser om när man får behandla personuppgifter. Vanligtvis krävs enligt PuL samtycke från den registrerade personen för att dennes personuppgifter ska få behandlas men det finns flera viktiga undantag från kravet på samtycke.

Krav på samtycke

Huvudregeln är att man får behandla personuppgifter bara om den registrerade personen har lämnat sitt samtycke till behandlingen (10 § PuL). Detta gäller även behandling av personuppgifter som kan anses vara ”harmlösa”.

Det finns viktiga undantag från PuL:s krav på samtycke, t.ex. vid behandling av personuppgifter för att fullgöra en rättslig skyldighet.

I de särskilda registerförfattningarna finns ibland bestämmelser som tillåter personuppgiftsbehandling utan att den enskilda har samtyckt till behandlingen, t.ex. 1 kap. 2 § andra stycket SdbL.

Vad menas med samtycke?

Med samtycke menas att den registrerade personen, efter att hen har fått information om behandlingen av personuppgifterna, godkänner personuppgiftsbehandlingen. Samtycket ska lämnas genom en frivillig, särskild och otvetydig viljeyttring. Ett samtycke får inte vara passivt (3 § PuL).

Det är den registrerade personen, alltså den som personuppgifterna rör, som ska lämna sitt samtycke till behandlingen.

Hur kan den registrerade lämna samtycke till behandlingen?

Det finns inget formkrav för hur den registrerade personen ska lämna samtycke till personuppgiftsbehandlingen. Samtycke kan lämnas både muntligen och skriftligen.

Skatteverket är ansvarigt för den personuppgiftsbehandling som görs inom myndigheten. Skatteverket ska kunna visa att ett samtycke finns om samtycket är en förutsättning för att Skatteverket ska få göra en viss personuppgiftsbehandling. Det är därför lämpligt att den registrerade personens samtycke dokumenteras. Av dokumentationen bör det framgå tydligt vad den registrerade personen har samtyckt till. Det bör t.ex. framgå vilka uppgifter som Skatteverket ska behandla, för vilka ändamål behandlingen ska göras och hur länge Skatteverket kommer att bevara uppgifterna.

Återkallelse av samtycke

När Skatteverket behandlar personuppgifter med stöd av den registrerade personens samtycke kan den registrerade personen när som helst återkalla sitt samtycke. Om den registrerade personen återkallar sitt samtycke får Skatteverket inte behandla fler personuppgifter om honom eller henne (12 § PuL).

Undantag från kravet på samtycke

Skatteverket får enligt PuL behandla personuppgifter även utan samtycke från den registrerade personen om en av följande förutsättningar är uppfylld:

  • behandlingen är nödvändig för att Skatteverket ska kunna fullgöra eller ingå ett avtal med den registrerade
  • behandlingen är nödvändig för att Skatteverket ska kunna fullgöra en rättslig skyldighet
  • behandlingen är nödvändig för att Skatteverket ska kunna skydda den registrerades vitala intressen
  • behandlingen är nödvändig för att Skatteverket ska kunna utföra en arbetsuppgift av allmänt intresse
  • behandlingen är nödvändig för att Skatteverket ska kunna utföra en arbetsuppgift i samband med myndighetsutövning
  • behandlingen är nödvändig och intresset av att behandla den registrerades uppgifter väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten, s.k. intresseavvägning
  • behandlingen avser personuppgifter i ostrukturerat material.

Fullgöra eller ingå ett avtal med den registrerade

Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig för att myndigheten ska kunna fullgöra ett avtal med den personen. Skatteverket får också behandla personuppgifter utan samtycke om behandlingen är nödvändig för att Skatteverket, innan ett avtal har slutits, ska kunna vidta åtgärder som den registrerade personen har begärt (10 § a PuL).

För att Skatteverket ska kunna tillämpa detta undantag från kravet på samtycke till personuppgiftsbehandling måste det vara fråga om ett avtal med den registrerade personen själv.

Exempel på när Skatteverket använder detta undantag från kravet på samtycke är när Skatteverket behandlar de anställdas personuppgifter för att betala ut lön i enlighet med anställningsavtal med de anställda.

Fullgöra en rättslig skyldighet

Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig för att Skatteverket ska kunna fullgöra en rättslig skyldighet. Det ska vara fråga om en rättslig skyldighet som Skatteverket har (10 § b PuL).

Exempel på när Skatteverket använder detta undantag från kravet på samtycke är när Skatteverket lämnar ut allmänna handlingar i enlighet med offentlighetsprincipen (2 kap. 1 § TF). Reglerna i TF om utlämnande av allmänna handlingar är en sådan rättslig skyldighet som ligger på Skatteverket och som gör att Skatteverket – utan samtycke till behandlingen – får behandla de personuppgifter som är nödvändiga för att kunna lämna ut handlingarna.

Skydda den registrerades vitala intressen

Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig för att myndigheten ska kunna skydda den registrerade personens vitala intressen (10 § c PuL).

Utföra en arbetsuppgift av allmänt intresse

Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig för att myndigheten ska kunna utföra en arbetsuppgift av allmänt intresse (10 § d PuL).

Exempel på arbetsuppgifter som är av allmänt intresse är arkivering, forskning och framställning av statistik.

Utföra en arbetsuppgift i samband med myndighetsutövning

Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig för att myndigheten ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. Detsamma gäller om behandlingen är nödvändig för att en tredje man, som Skatteverket lämnar personuppgifterna till, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning (10 § e PuL).

Intresseavvägning

Skatteverket får behandla personuppgifter utan samtycke från den registrerade personen om behandlingen är nödvändig och Skatteverkets intresse av att behandla den registrerade personens uppgifter väger tyngre än den registrerade personens intresse av skydd mot kränkning av den personliga integriteten. Detsamma gäller om en tredje man, som Skatteverket lämnar personuppgifterna till, ska kunna tillgodose ett sådant intresse. Skatteverket behandlar då personuppgifterna med stöd av en s.k. intresseavvägning (10 § f PuL).

Vid intresseavvägningen ska man ta hänsyn till flera olika faktorer som t.ex. ändamålet med behandlingen, uppgifternas art och hur uppgifterna behandlas. Skatteverket behöver alltså göra en helhetsbedömning för att ta ställning till om myndigheten kan behandla personuppgifter med stöd av bestämmelsen om intresseavvägning.

Exempel på när Skatteverket använder detta undantag från kravet på samtycke är när Skatteverket av säkerhetsskäl registrerar personuppgifter om de anställda i ett inpasseringssystem eller registrerar personuppgifter om en arbetssökande i ett rekryteringssystem.

Ostrukturerat material

Skatteverket får behandla personuppgifter utan samtycke av den registrerade personen om behandlingen avser personuppgifter i ostrukturerat material. Skatteverket får dock inte göra behandlingen om den innebär en kränkning av den registrerade personens personliga integritet (5 a § PuL).

Detta är ett undantag som inte används så ofta i Skatteverkets verksamhet.

Behandla känsliga personuppgifter

Det finns särskilda bestämmelser för om – och i så fall hur – man får behandla känsliga personuppgifter. Sådana bestämmelser finns både i PuL och i särskilda registerförfattningar.

Förbud mot att behandla känsliga personuppgifter

Huvudregeln är att Skatteverket inte får behandla känsliga personuppgifter (13 § PuL).

Undantag från förbudet mot att behandla känsliga personuppgifter

Det finns några undantag från huvudregeln i PuL om förbud mot att behandla känsliga personuppgifter (15–19 §§ PuL). Skatteverket får behandla känsliga personuppgifter bl.a. i följande fall:

  • Om den registrerade personen har lämnat sitt uttryckliga samtycke till behandlingen eller om den registrerade personen på ett tydligt sätt själv har offentliggjort uppgifterna (15 § PuL). Exempel på en känslig personuppgift som Skatteverket får behandla med stöd av detta undantag är en uppgift om partitillhörighet hos en person som offentligt företräder ett politiskt parti (SOU 1997:39 s. 170).
  • Om behandlingen är nödvändig för att Skatteverket ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten (16 § PuL). Exempel på när Skatteverket får behandla känsliga personuppgifter med stöd av detta undantag är när Skatteverket registrerar uppgifter om anställdas sjukfrånvaro.
  • Om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 § PuL).
  • Skatteverket får behandla känsliga uppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av ärendet (8 § PuF).

Behandla personuppgifter om lagöverträdelser

Det finns särskilda bestämmelser för om – och i så fall hur – man får behandla personuppgifter om lagöverträdelser. Sådana bestämmelser finns både i PuL och i särskilda registerförfattningar.

Huvudregeln är att det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § PuL).

Datainspektionen har meddelat vissa undantag från förbudet i Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. (DIFS 2010:1).

Behandla personnummer och samordningsnummer

Personnummer och samordningsnummer är unika identifikationsnummer. Därför finns det särskilda bestämmelser för när man får behandla dessa. Sådana bestämmelser finns både i PuL och i särskilda registerförfattningar.

Krav på samtycke

Huvudregeln är att Skatteverket får behandla personnummer eller samordningsnummer bara om den registrerade personen har lämnat sitt samtycke till behandlingen (22 § PuL).

Undantag från kravet på samtycke

Skatteverket får enligt PuL behandla personnummer eller samordningsnummer utan samtycke av den registrerade personen, om det är klart motiverat med hänsyn till en av följande förutsättningar (22 § PuL):

  • ändamålet med behandlingen
  • vikten av säker identifiering
  • något annat beaktansvärt skäl.

I de särskilda registerförfattningarna finns ibland bestämmelser som tillåter personuppgiftsbehandling utan att den enskilda har samtyckt till behandlingen, t.ex. 1 kap. 2 § andra stycket SdbL.

Referenser på sidan

Lagar & förordningar

Övrigt

  • Datainspektionen.se [1]
  • SOU 1997:39 [1]