Din webbläsare Internet Explorer är för gammal. För att vår webbplats ska fungera rekommenderar vi att du byter webbläsare.
Rekommenderade webbläsare
Stäng
OBS: Detta är utgåva 2018.1. Sidan är avslutad 2018.
- Vägledning »
- 2018 »
- Sekretess & behandling av uppgifter »
- Behandla personuppgifter och andra uppgifter »
- Id-kortsverksamheten
Id-kortsverksamheten
Skatteverket har en databas med uppgifter om identitetskort för folkbokförda i Sverige. För behandling av personuppgifter i id-kortsverksamheten gäller bestämmelserna i lagen om identitetskort för folkbokförda i Sverige, förordningen om identitetskort för folkbokförda i Sverige och bestämmelser i PuL.
Det finns även bestämmelser om sekretess för uppgifter i id-kortsverksamheten.
- När ska lagen om identitetskort för folkbokförda i Sverige tillämpas?
- Personuppgiftsansvarig för behandlingen
- Tillåten behandling av personuppgifter
- Grundläggande krav på behandlingen av personuppgifter
- Lämna ut personuppgifter
- Informera om behandling av personuppgifter
- Bevara eller gallra personuppgifter
- Rättelse, skadestånd och överklagande
- Referenser
När ska lagen om identitetskort för folkbokförda i Sverige tillämpas?
Skatteverket ska ha en databas med uppgifter om identitetskort för folkbokförda i Sverige, id-kortsdatabasen. Databasen ska föras med hjälp av automatiserad behandling. När Skatteverket behandlar personuppgifter automatiserat för id-kortsverksamheten ska Skatteverket tillämpa lagen (2015:899) om identitetskort för folkbokförda i Sverige, förordningen (2015:904) om identitetskort för folkbokförda i Sverige samt bestämmelser i PuL (8 och 10 §§ lagen [2015:899] om identitetskort för folkbokförda i Sverige och 2 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Hur förhåller sig lagen om identitetskort för folkbokförda i Sverige till PuL?
I PuL finns allmänna bestämmelser för när och hur man får behandla personuppgifter. Om det i en annan lag eller förordning finns bestämmelser som avviker från PuL ska man tillämpa de bestämmelserna i stället för PuL (2 § PuL). Det innebär att Skatteverket ska tillämpa PuL vid behandling av personuppgifter i id-kortsverksamheten, om det inte finns någon avvikande bestämmelse i lagen (2015:899) om identitetskort för folkbokförda i Sverige eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige.
Personuppgiftsansvarig för behandlingen
Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket gör i id-kortsverksamheten (11 § lagen [2015:899] om identitetskort för folkbokförda i Sverige och 2 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Tillåten behandling av personuppgifter
Lagen (2015:899) om identitetskort för folkbokförda i Sverige och förordningen (2015:904) om identitetskort för folkbokförda i Sverige anger ramarna för hur Skatteverket får behandla personuppgifter i id-kortsverksamheten.
En behandling av personuppgifter som är tillåten enligt lagen (2015:899) om identitetskort för folkbokförda i Sverige får göras även om den registrerade motsätter sig behandlingen (9 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).
Skatteverket får bara behandla personuppgifter för vissa ändamål
Skatteverket får bara behandla personuppgifter elektroniskt för särskilda, uttryckligt angivna och berättigade ändamål (9 § PuL).
Ändamålen för behandling av personuppgifter i Skatteverkets idkortsverksamhet anges i lagen (2015:899) om identitetskort för folkbokförda i Sverige. Skatteverket får behandla personuppgifter i id-kortsdatabasen om det behövs i Skatteverkets verksamhet att utfärda identitetskort. Skatteverket får även behandla personuppgifter i id-kortsdatabasen om det behövs för att lämna ut uppgifter i enlighet med bestämmelser i lag eller förordning (12 § lagen (2015:899) om identitetskort för folkbokförda i Sverige).
Skatteverket får behandla personuppgifter i id-kortsdatabasen för historiska, statistiska eller vetenskapliga ändamål.
Finalitetsprincipen
Skatteverket får inte behandla personuppgifter i id-kortsdatabasen för något ändamål som är oförenligt med det ursprungliga ändamålet. Detta kallas finalitetsprincipen.
Bestämmelser för att behandla personuppgifter i id-kortsdatabasen
Id-kortsdatabasen består av en uppgiftsdel och en handlingsdel.
Uppgiftsdelen innehåller uppgifter om bland annat sökandens namn, personnummer och identitetskortsnummer samt id-kortets giltighetstid, en kopia av den ansiktsbild som finns på id-kortet och sökandens namnteckning. Skatteverket får hämta dessa uppgifter från folkbokföringsdatabasen (11 § första stycket och 12 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Handlingsdelen innehåller handlingar som har kommit in till Skatteverket och handlingar som Skatteverket har upprättat i ett ärende (11 § andra stycket förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Begränsning av möjligheten att behandla känsliga personuppgifter
Skatteverket får behandla känsliga personuppgifter i id-kortsdatabasen enbart om någon av följande förutsättningar är uppfyllda (13 § lagen (2015:899) om identitetskort för folkbokförda i Sverige):
- uppgifterna finns i en handling som har lämnats i ett ärende
- uppgifterna finns i en handling som Skatteverket har upprättat i ett ärende och uppgifterna är nödvändiga för handläggningen av ärendet.
Rättsligt stöd för att behandla ansiktsbilden
Skatteverket får i id-kortsdatabasen behandla en kopia av den ansiktsbild som finns på ett identitetskort (14 § lagen (2015:899) om identitetskort för folkbokförda i Sverige).
Begränsning av vilka sökbegrepp som får användas
Vid en elektronisk sökning i id-kortsdatabasen får Skatteverket inte använda ansiktsbilden som finns på ett identitetskort som sökbegrepp. Skatteverket får inte heller använda känsliga personuppgifter eller uppgifter om lagöverträdelser som sökbegrepp. I övrigt finns det ingen begränsning av vilka sökbegrepp som Skatteverket får använda vid en elektronisk sökning i id-kortsdatabasen (17 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).
Grundläggande krav på behandlingen av personuppgifter
Det finns inte några särskilda bestämmelser om t.ex. grundläggande krav på behandlingen, säkerheten vid behandlingen eller överföring till tredje land i lagen (2015:899) om identitetskort för folkbokförda i Sverige eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige. Skatteverket ska därför tillämpa PuL:s bestämmelser om bland annat grundläggande krav på behandling av uppgifter, säkerheten vid behandlingen och överföring av personuppgifter till tredje land vid behandling av personuppgifter i id-kortsverksamheten.
Lämna ut personuppgifter
Att lämna ut personuppgifter som behandlas elektroniskt innebär i sig en behandling av uppgifterna. Skatteverket kan lämna ut uppgifter på olika sätt, exempelvis
- muntligt
- skriftligt på papper
- i elektronisk form.
Läs även om förutsättningarna för att lämna ut personuppgifter som behandlas elektroniskt.
Får Skatteverket lämna ut personuppgifter i elektronisk form från id-kortsverksamheten?
Skatteverket får lämna ut uppgift om ett identitetskorts giltighetstid genom direktåtkomst (16 § lagen [2015:899] om identitetskort för folkbokförda i Sverige). Skatteverket får inte lämna ut några andra uppgifter från id-kortsverksamheten genom direktåtkomst. I övrigt saknas bestämmelser om att Skatteverket får lämna ut uppgifter i elektronisk form. Skatteverket får därför inte lämna ut personuppgifter från id-kortsdatabasen på medium för automatiserad behandling.
Sekretessprövning av om Skatteverket kan lämna ut uppgifterna
Innan Skatteverket lämnar ut några uppgifter ska Skatteverket göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte. I OSL finns sekretessbestämmelser för id-kortsverksamheten.
Om uppgifterna innehåller personuppgifter måste Skatteverket även ta ställning till om mottagarens behandling av uppgifterna är förenlig med PuL. Sekretess gäller för uppgifterna om det kan antas att ett utlämnande skulle medföra att personuppgifterna behandlas i strid med PuL.
Avgifter för att lämna ut uppgifter
När och hur Skatteverket ska ta ut en avgift för att lämna ut uppgifter beskrivs på sidan om att lämna ut en allmän handling.
Informera om behandling av personuppgifter
Skatteverket är ansvarigt för den personuppgiftsbehandling som görs inom myndigheten. Skatteverket ska i vissa fall lämna information om sina behandlingar.
Det finns inte några bestämmelser i lagen (2015:899) om identitetskort för folkbokförda i Sverige eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige om att Skatteverket ska lämna information om den behandling av personuppgifter som görs. Skatteverket ska därför tillämpa PuL:s bestämmelser om att informera om behandling av personuppgifter.
Bevara eller gallra personuppgifter
Uppgifter och handlingar i id-kortsdatabasen ska gallras senast ett år efter det att giltighetstiden för ett identitetskort har gått ut. Om ansökan om identitetskort har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har fått laga kraft (13 § första stycket förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Riksarkivet har meddelat föreskrifter om bevarande och gallring hos Skatteverket avseende ärenden om identitetskort (RA-MS 2011:33). I bilagor till föreskriften ges detaljerade bestämmelser för bevarande och gallring av pappershandlingar och elektroniska handlingar i idkortsdatabasen.
Rättelse, skadestånd och överklagande
Det finns särskilda bestämmelser för den skyldighet som en personuppgiftsansvarig har att rätta felaktigt behandlade personuppgifter och för det skadeståndsansvar som den personuppgiftsansvarige har. Vissa beslut som Skatteverket fattar i egenskap av personuppgiftsansvarig får överklagas.
Rätta felaktigt behandlade personuppgifter
Skatteverket ska tillämpa PuL:s bestämmelser om rättelse vid behandling av personuppgifter lagen (2015:899) om identitetskort för folkbokförda i Sverige, förordningen (2015:905) om identitetskort för folkbokförda i Sverige och PuL (18 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).
Betala skadestånd för felaktigt behandlade personuppgifter
Skatteverket ska tillämpa PuL:s bestämmelser om skadestånd vid behandling av personuppgifter enligt lagen (2015:899) om identitetskort för folkbokförda i Sverige, förordningen (2015:905) om identitetskort för folkbokförda i Sverige och PuL (18 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).
Överklaga Skatteverkets beslut om rättelse av personuppgift eller beslut om information
Följande beslut som fattas av Skatteverket får överklagas till allmän förvaltningsdomstol (52 § PuL):
- beslut om information till den registrerade efter ansökan
- beslut om rättelse av personuppgift
- beslut om information till tredje man efter rättelse av personuppgift
- beslut om information om behandlingar som inte är anmälda till Datainspektionen.
Skatteverket ska tillämpa PuL:s bestämmelser om överklagande.
Referenser inom dataskydd & sekretess
Tillsammans gör vi samhället möjligt