OBS: Detta är utgåva 2018.11. Visa senaste utgåvan.

Att lämna ut personuppgifter som behandlas elektroniskt innebär att man gör ännu en behandling av uppgifterna. Behandlingen måste vara tillåten både enligt EU:s dataskyddsförordning eller någon annan registerförfattning och enligt gällande sekretessbestämmelser.

När lämnar Skatteverket ut personuppgifter?

Skatteverket kan lämna ut personuppgifter och andra uppgifter i olika situationer, t.ex. för att

  • kommunicera uppgifter med en part i ett ärende
  • ge en part rätt till insyn i ett ärende
  • lämna ut uppgifter med anledning av en begäran om att ta del av en allmän handling
  • lämna information till annan myndighet
  • lämna ut uppgifter för outsourcing av behandling av uppgifterna.

Förutsättningar för att lämna ut personuppgifter som behandlas elektroniskt

Att lämna ut personuppgifter och andra uppgifter som behandlas elektroniskt innebär i sig en behandling av uppgifterna. Skatteverket får lämna ut elektroniskt behandlade personuppgifter endast om följande båda förutsättningar är uppfyllda:

  • Det finns rättsligt stöd för den behandling av personuppgifterna som utlämnandet innebär.
  • Utlämnandet hindras inte av sekretess.

Rättsligt stöd för behandlingen

Skatteverket ska tillämpa de allmänna bestämmelserna i EU:s dataskyddsförordning, den kompletterande dataskyddslagen och eventuella särskilda registerlagar om ändamål, grundläggande krav på behandlingen, säkerhet vid behandlingen o.s.v. vid utlämnande av elektroniskt behandlade personuppgifter. Detta innebär bl.a. att ett utlämnande av uppgifter måste vara förenligt med det eller de ändamål som Skatteverket har för behandlingen av personuppgifterna. Vidare måste nödvändiga säkerhetsåtgärder vidtas för att skapa en tillräcklig säkerhetsnivå när personuppgifterna lämnas ut.

Kravet på att utlämnandet av uppgifterna måste vara förenligt med ändamålet för behandlingen av uppgifterna gäller även när Skatteverket ska lämna ut uppgifter från Skatteverkets olika verksamhetsgrenar. Det finns särskilda bestämmelser som gäller för att lämna ut behandlade personuppgifter från beskattningsverksamheten, folkbokföringsverksamheten, id-kortsverksamheten, äktenskapsregister- och bouppteckningsverksamheterna samt SPAR-verksamheten.

Att lämna ut personuppgifter enligt offentlighetsprincipen

Skatteverket får behandla personuppgifter för att lämna ut dem i enlighet med offentlighetsprincipen även om utlämnandet inte omfattas av ändamålen för behandlingen av uppgifterna (artikel 86 i EU:s dataskyddsförordning och 1 kap. 7 § den kompletterande dataskyddslagen). Innan Skatteverket kan lämna ut några uppgifter ska myndigheten göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte.

Begränsningsregeln

När Skatteverket ska lämna ut sammanställningar av personuppgifter ur elektroniska informationssamlingar (potentiella handlingar) finns det en viktig begränsning. Om det finns en begränsning av vilka sökbegrepp som Skatteverket får använda för sökningar i informationssamlingen gäller denna begränsning även vid hanteringen av en begäran om att ta del av en allmän handling (2 kap 3 § tredje stycket TF). Om Skatteverket inte får göra en viss sammanställning för sin egen verksamhet, får verket inte heller göra en sådan sammanställning för att lämna ut personuppgifter i enlighet med offentlighetsprincipen.

Att lämna ut personuppgifter för att informera om behandlingen

Skatteverket får behandla personuppgifter för att lämna ut uppgifter för att uppfylla sin skyldighet att lämna information när den registrerade ansöker om det, s.k. registerutdrag (artikel 15 i EU:s dataskyddsförordning). Detta gäller även om ett utlämnande inte omfattas av ändamålen för behandlingen av personuppgifterna.

Att lämna ut känsliga personuppgifter inom arbetsrätten

Skatteverket får behandla känsliga personuppgifter om behandlingen är nödvändig för att Skatteverket ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten. Sådana personuppgifter får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvariga att göra det eller om den registrerade uttryckligen samtycker till att uppgifterna lämnas ut (3 kap. 2 § den kompletterande dataskyddslagen).

Sekretessprövning av om Skatteverket kan lämna ut uppgifterna

Innan Skatteverket lämnar ut några uppgifter ska Skatteverket göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte. I OSL finns sekretessbestämmelser för Skatteverkets olika verksamhetsgrenar.

Mottagarens behandling av uppgifterna måste vara förenlig med EU:s dataskyddsförordning eller någon kompletterande författning

Om den handling eller de uppgifter som Skatteverket ska lämna ut innehåller personuppgifter, måste Skatteverket ta ställning till om mottagarens behandling av uppgifterna är förenlig med EU:s dataskyddsförordning eller med någon författning som kompletterar EU:s dataskyddsförordning. Sekretess gäller för uppgifterna om utlämnandet kan medföra att personuppgifterna kommer att behandlas i strid med EU:s dataskyddsförordning eller den kompletterande dataskyddslagen (21 kap. 7 § OSL).

Den behandling som avses är behandlingen av personuppgifterna hos mottagaren efter att uppgifterna har lämnats ut. Detta betyder att Skatteverket kan behöva fråga mottagaren hur de behandlade personuppgifterna ska användas innan Skatteverket lämnar ut några uppgifter. Denna bestämmelse ska tillämpas när Skatteverket lämnar ut personuppgifter både i pappersform och i elektronisk form.

Olika sätt att lämna ut uppgifter

Skatteverket kan lämna ut uppgifter på olika sätt, exempelvis

  • muntligt
  • skriftligt på papper
  • i elektronisk form.

Det finns inga bestämmelser i EU:s dataskyddsförordning eller i den kompletterande dataskyddslagen som särskilt reglerar i vilken form Skatteverket får lämna ut behandlade personuppgifter. Skatteverket ska därför tillämpa de allmänna bestämmelserna i EU:s dataskyddsförordning om grundläggande krav på behandlingen, säkerhet vid behandlingen o.s.v. när personuppgifter lämnas ut. Detta innebär bland annat att nödvändiga säkerhetsåtgärder måste vidtas för att skapa en tillräcklig säkerhetsnivå när uppgifter lämnas ut.

Det finns särskilda bestämmelser som gäller för att lämna ut behandlade personuppgifter från beskattningsverksamheten, folkbokföringsverksamheten, id-kortsverksamheten, äktenskapsregister- och bouppteckningsverksamheterna samt SPAR-verksamheten. De särskilda bestämmelserna kan innehålla hinder mot att lämna ut uppgifter i elektronisk form.

Vad innebär det att lämna ut personuppgifter i elektronisk form?

Att lämna ut personuppgifter i elektronisk form kan ske antingen genom att Skatteverket ger mottagaren direktåtkomst till personuppgifterna eller genom att personuppgifterna lämnas ut på medium för automatiserad behandling.

Direktåtkomst

Det finns ingen definition av begreppet direktåtkomst. Vanligtvis menar man med direktåtkomst att någon har direkt tillgång till någon annans databas eller informationssamling och på egen hand kan söka efter information, men inte påverka innehållet i databasen eller informationssamlingen. Direktåtkomsten kan även ge användaren en möjlighet att hämta hem information till sitt eget system och att bearbeta den där (prop. 2007/08:160 sid. 57).

Högsta förvaltningsdomstolen har i en dom uttalat att den avgränsning som görs i 2 kap. 3 § andra stycket TF för när en upptagning anses förvarad hos en myndighet kan användas för att bestämma innehållet i begreppet direktåtkomst (HFD 2015-10-29, mål nr 1356-14). Målet i domstolen gällde socialnämndernas åtkomst till uppgifter i Försäkringskassans socialförsäkringsdatabas. Försäkringskassan gav socialnämnder åtkomst till vissa uppgifter i socialförsäkringsdatabasen, via IT-systemet LEFI Online. Socialnämnderna behövde uppgifterna för handläggning av sina ärenden.

Högsta förvaltningsdomstolen konstaterade att uppgiftsutlämnandet skedde via en fråga–svarstjänst med fördefinierade frågor och svar. Socialnämnden skickade en frågefil avseende en person i taget. Filen innehöll uppgifter om personnummer och vilka uppgifter som efterfrågades. Försäkringskassans IT-system hämtade in den efterfrågade informationen från olika interna källor och sammanställde ett svar. Genom ett automatiserat förfarande genomfördes en behörighetskontroll och två sekretesskontroller. En svarsfil skickades inom några sekunder till socialnämnden.

Högsta förvaltningsdomstolen konstaterade att socialnämnderna inte kunde söka på egen hand i informationen i socialförsäkringsdatabasen. Ett utlämnande via LEFI Online förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Högsta förvaltningsdomstolen uttalade att den avgränsning som görs i 2 kap. 3 § andra stycket TF för när en upptagning anses förvarad hos en myndighet, kan användas för att bestämma innehållet i begreppet direktåtkomst i detta sammanhang. Socialnämnderna ansågs inte ha någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket TF. Högsta förvaltningsdomstolen ansåg därför att förfarandet inte var att betrakta som direktåtkomst.

Skatteverket måste göra en sekretessprövning innan direktåtkomst medges

Möjligheten att medge en mottagare av personuppgifter direktåtkomst till uppgifterna är vanligtvis reglerad i lag eller förordning. En bestämmelse om att direktåtkomst är tillåten medför inte att eventuell sekretess för uppgifterna bryts. Om de uppgifter som ska lämnas ut genom direktåtkomst är sekretessbelagda krävs det att en sekretessbrytande bestämmelse kan tillämpas för att det ska vara tillåtet att lämna ut uppgifterna. Skatteverket måste därför göra en sekretessprövning av om Skatteverket kan lämna ut uppgifterna innan direktåtkomst medges.

Medium för automatiserad behandling

Att lämna ut personuppgifter på medium för automatiserad behandling innebär att uppgifterna lämnas ut t.ex.

  • på en cd-skiva eller dvd-skiva
  • på ett USB-minne
  • genom överföring via e-post
  • genom filöverföring från ett IT-system till ett annat.

Måste Skatteverket lämna ut personuppgifter i elektronisk form?

Skatteverket har ingen skyldighet att lämna ut uppgifter på annat sätt än i pappersform om det inte är särskilt föreskrivet.

Att lämna ut personuppgifter via e-post

Skatteverket ska vid all behandling av personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som Skatteverket behandlar (artikel 32 i EU:s dataskyddsförordning). Detta gäller även när Skatteverket lämnar ut personuppgifter via t.ex. e-post. Detta innebär att ett utlämnande via e-post bara kan ske om Skatteverket kan garantera en lämplig säkerhetsnivå för uppgifterna.

Vid bedömning av vad som är en lämplig säkerhetsnivå ska Skatteverket ta hänsyn till samtliga omständigheter kring behandlingen av personuppgifterna. Vilka säkerhetsåtgärder som Skatteverket behöver vidta beror på vad det är för uppgifter som Skatteverket ska behandla. Personuppgifter som omfattas av sekretess kräver en högre säkerhetsnivå än personuppgifter som är offentliga.

Skatteverket ska normalt inte lämna ut sekretessbelagda uppgifter via e-post

Huvudregeln är att Skatteverket inte kan skicka uppgifter som omfattas av sekretess till en extern mottagare via e-post. Sekretessbelagda uppgifter får inte skickas via e-post ens till den som uppgifterna berör. Detta beror på att säkerheten vid överföringen via e-post inte är tillräcklig för den typen av uppgifter.

JO har kritiserat Skatteverket för att i ett enskilt fall ha skickat sekretessbelagda uppgifter via e-post. JO konstaterade att sekretessbelagda uppgifter ska behandlas med stor omsorg och noggrannhet. När uppgifter som omfattas av sekretess skickas via e-post ställs därför som regel mycket höga krav på säkerhet (JO 2015-12-03, dnr 1193-2014).

Undantag från huvudregeln finns dock. Sekretessbelagda uppgifter kan till exempel skickas till en extern mottagare via en ebrevlåda genom Mina meddelanden. Det är möjligt eftersom den infrastrukturen är mer säker än vanlig e-post.

Skatteverket kan lämna ut enstaka offentliga personuppgifter via e-post

Skatteverket kan skicka enstaka offentliga personuppgifter via e-post till en extern mottagare. Med enstaka menar Skatteverket omkring tre stycken. Säkerheten vid överföringen via epost inte är tillräckligt hög för en större mängd personuppgifter.

Information som är offentlig och som inte innehåller några personuppgifter kan vanligtvis skickas till en extern mottagare via e-post.

Avgifter för att lämna ut personuppgifter

När och hur Skatteverket ska ta ut en avgift för att lämna ut personuppgifter beskrivs på sidan om att lämna ut en allmän handling. Det finns även bestämmelser om avgifter för att lämna ut uppgifter i de särskilda registerförfattningar som gäller för behandling av uppgifter i Skatteverkets beskattningsverksamhet, folkbokföringsverksamhet och äktenskapsregister- och bouppteckningsverksamheter.

Referenser på sidan

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3] [4] [5]

Lagar & förordningar

  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2] [3] [4]
  • Offentlighets- och sekretesslag (2009:400) [1]
  • Tryckfrihetsförordning (1949:105) [1]