OBS: Detta är utgåva 2018.2. Sidan är avslutad 2018.
Det finns vissa grundläggande krav som man ska följa när man behandlar personuppgifter. Exempel på detta är att det måste finnas ett ändamål för behandlingen av personuppgifterna och att man inte får behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet för behandlingen. Det finns även särskilda bestämmelser om säkerhetsåtgärder och om att föra över personuppgifter till tredje land.
Särskilda bestämmelser gäller för att behandla personuppgifter i Skatteverkets beskattningsverksamhet, brottsbekämpande verksamhet, folkbokföringsverksamhet, id-kortsverksamhet, SPAR-verksamhet, äktenskapsregister- och bouppteckningsverksamheter eller verksamheten Mina meddelanden.
Skatteverket får bara behandla personuppgifter om det är lagligt (9 § första stycket a PuL).
Att behandlingen ska vara laglig innebär följande:
När Skatteverket behandlar personuppgifter ska myndigheten behandla uppgifterna korrekt och enligt god sed. Att behandla personuppgifter enligt god sed betyder att man ska följa de föreskrifter som har utfärdats med stöd av PuL och eventuella branschregler eller policyer (9 § första stycket b PuL).
Skatteverket är ansvarigt för de behandlingar av personuppgifter som görs i myndigheten. Skatteverket är s.k. personuppgiftsansvarigt. En personuppgiftsansvarig kan ibland överlåta behandlingen av personuppgifter åt någon annan, som då kallas personuppgiftsbiträde.
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter är personuppgiftsansvarig (3 § PuL). Det är alltså den som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till som har ansvaret för behandlingen.
När en anställd hos Skatteverket behandlar personuppgifter för att utföra sina arbetsuppgifter är inte den anställda personuppgiftsansvarig för behandlingarna. Det är Skatteverket som är personuppgiftsansvarigt för de behandlingarna. En anställd ska behandla personuppgifter i enlighet med de instruktioner som Skatteverket ger (30 § första stycket PuL).
Vissa registerförfattningar innehåller bestämmelser om att en utpekad myndighet ska vara personuppgiftsansvarig. Det står till exempel i SdbL respektive FdbL att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket ska utföra (1 kap. 6 § SdbL och 1 kap. 5 § FdbL). Det står vidare i LPB att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför med stöd av LPB (3 § LPB).
Det är inte alltid enkelt att avgöra vem som är personuppgiftsansvarig för en behandling. Det anges inte i dataskyddsdirektivet, PuL eller förarbetena till PuL hur en avgränsning av personuppgiftsansvaret ska göras. Det kan finnas mer än en personuppgiftsansvarig för en behandling, t.ex. om flera myndigheter har en gemensam databas.
Högsta förvaltningsdomstolen ansåg att Försäkringskassan var personuppgiftsansvarig för alla delar av två e-tjänster.
Försäkringskassan tillhandahöll elektroniska självbetjäningstjänster i form av anmälan av tillfällig föräldrapenning via sms och anmälan av sjukfall via en s.k. Infratjänst. Här kunde enskilda personer lämna uppgifter genom elektroniska informationskanaler. Uppgifterna var tillgängliga för Försäkringskassan först när de nådde Försäkringskassans elektroniska mottagningsställen.
Domstolen ansåg att Försäkringskassan var ansvarig för hela behandlingen eftersom Försäkringskassan bestämde ändamålet för behandlingen (att anmäla olika typer av sjukfall) och medlen för behandlingen av personuppgifterna (anvisade kommunikationsvägar). Domstolen ansåg att de åtgärder som gjordes med personuppgifterna var led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Detta gällde trots att Försäkringskassan saknade möjlighet att påverka hur uppgifterna hanterades innan de blev tillgängliga för Försäkringskassan. Det gällde också oberoende av om någon eller några av åtgärderna skulle utgöra behandling av personuppgifter även hos någon annan (HFD 2012 ref. 21).
Den som är personuppgiftsansvarig kan under vissa förutsättningar överlåta behandlingen av personuppgifterna till någon annan. Den som behandlingen överlåts till kallas personuppgiftsbiträde (3 § PuL). Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas organisation, t.ex. ett externt företag. Den som är anställd hos den personuppgiftsansvariga är inte personuppgiftsbiträde.
Det är bara själva behandlingen av personuppgifterna som kan överlåtas till ett personuppgiftsbiträde. Den personuppgiftsansvariga kan inte överlåta ansvaret för behandlingen på någon annan.
Exempel på personuppgiftsbiträde som Skatteverket anlitar är Statens servicecenter. Statens servicecenter behandlar personuppgifter om Skatteverkets anställda på uppdrag av Skatteverket.
En förutsättning för att Skatteverket ska kunna anlita ett personuppgiftsbiträde är att sekretess inte hindrar att Skatteverket lämnar ut uppgifterna. En annan förutsättning är att behandlingen av personuppgifterna har stöd i lag eller annan författning. Skatteverket bör dokumentera sitt ställningstagande i dessa rättsliga frågor innan Skatteverket anlitar ett personuppgiftsbiträde för behandling av Skatteverkets personuppgifter.
Om Skatteverket anlitar ett personuppgiftsbiträde ska parterna skriva ett avtal om personuppgiftsbiträdets behandling av personuppgifter för Skatteverkets räkning, ett s.k. personuppgiftsbiträdesavtal (30 § PuL).
Ett personuppgiftsombud är en fysisk person som självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt (3 § PuL). Det är den personuppgiftsansvariga som utser och förordnar ett personuppgiftsombud.
Skatteverket har inget personuppgiftsombud. Det finns ingen lagstiftning som föreskriver att Skatteverket måste ha ett personuppgiftsombud. På Skatteverkets rättsavdelning finns en arbetsgrupp med rättsliga experter och rättsliga specialister inom området sekretess, IT-rätt och PuL. Frågor om databaser, register och annan personuppgiftsbehandling inom Skatteverket hanteras av denna grupp.
Personuppgifter får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Detta betyder att Skatteverket måste bestämma ändamålet för behandlingen av personuppgifterna redan innan behandlingen påbörjas (9 § första stycket c PuL).
Att ändamålet ska vara särskilt innebär att det inte får vara alltför allmänt hållet. Skatteverket ska ha ett konkret ändamål för behandlingen, t.ex. behandling av anställdas personuppgifter i personaladministrativ verksamhet för löneutbetalningsändamål. Det går att ha mer än ett ändamål för en personuppgiftsbehandling.
Att ändamålet ska vara uttryckligt angivet innebär inte i sig att Skatteverket måste ange ändamålet skriftligen. Men det är lämpligt att dokumentera ändamålet för behandlingen, bl.a. med hänsyn till den skyldighet att lämna information om personuppgiftsbehandlingar som Skatteverket har.
Det är viktigt att Skatteverket noga överväger vilket eller vilka ändamål myndigheten har för personuppgiftsbehandlingen. Ändamålet för behandlingen påverkar bl.a. vilka personuppgifter Skatteverket får behandla, hur många personuppgifter myndigheten får behandla och hur länge myndigheten får spara uppgifterna.
När man behandlar personuppgifter behöver man hela tiden vara medveten om för vilket ändamål man behandlar uppgifterna. Man får inte behandla personuppgifter för något ändamål som är oförenligt med det ändamål för vilket uppgifterna från början samlades in. Detta kallas finalitetsprincipen (9 § första stycket d PuL).
Om ett ändamål är förenligt eller inte med det ursprungliga ändamålet får myndigheten avgöra genom en bedömning i det enskilda fallet. Skatteverket bör då utgå från vilken behandling av de registrerade uppgifterna som en registrerad person rimligen kan förvänta sig mot bakgrund av det ursprungliga ändamålet. Finalitetsprincipen begränsar bl.a. möjligheten att samköra personuppgifter som man behandlar för olika ändamål.
Om Skatteverket vill lämna ut behandlade personuppgifter till någon annan måste även utlämnandet vara förenligt med det ursprungliga ändamålet. Bestämmelserna om ändamål för behandling av personuppgifter inskränker emellertid inte Skatteverkets skyldighet enligt 2 kap. TF att lämna ut personuppgifter (8 § första stycket PuL).
Behandling av personuppgifter som görs för historiska, statistiska eller vetenskapliga ändamål anses alltid förenliga med de ändamål för vilka uppgifterna samlades in (9 § andra stycket PuL).
Skatteverket får inte behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen för behandlingen. För varje personuppgift – eller kategori av personuppgifter – som Skatteverket vill behandla måste myndigheten ta ställning till om uppgiften verkligen är nödvändig för behandlingen (9 § första stycket f PuL).
De personuppgifter som Skatteverket behandlar ska vara adekvata och relevanta i förhållande till ändamålen för behandlingen. De ska vara av betydelse för behandlingen och för de ändamål som myndigheten vill uppnå med behandlingen. Skatteverket får alltså inte behandla personuppgifter enbart för att uppgifterna eventuellt kan komma till användning. Personuppgifterna ska även vara riktiga och – om det är nödvändigt med hänsyn till ändamålen för behandlingen – aktuella (9 § första stycket e och g PuL).
Skatteverket ska i vissa fall informera den registrerade personen och allmänheten om Skatteverkets behandling av personuppgifter.
Skatteverket får enligt huvudregeln inte bevara personuppgifter under längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen (9 § i PuL).
Skatteverket ska vidta alla åtgärder som är rimliga för att rätta, blockera eller utplåna personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen för behandlingen. En sådan rättelse ska Skatteverket göra på eget initiativ (9 § första stycket h PuL).
Skatteverket ska också – på den registrerade personens begäran – rätta, blockera eller utplåna sådana personuppgifter som har behandlats felaktigt (28 § PuL).
PuL innehåller bestämmelser om krav på säkerhet vid behandling av personuppgifter (30—31 §§ PuL). Bestämmelserna rör
Det kan finnas bestämmelser om säkerhetsåtgärder även i andra lagar och förordningar, t.ex. arkivlagen (1990:782). Skatteverket ska tillämpa även dessa bestämmelser på den personuppgiftsbehandling som görs i Skatteverkets verksamhet.
Den som arbetar under Skatteverkets ledning ska behandla personuppgifterna i enlighet med de instruktioner som Skatteverket ger. Om det i en lag eller annan författning finns särskilda bestämmelser om behandling av personuppgifter i det allmännas verksamhet ska den som arbetar under Skatteverkets ledning följa även dessa bestämmelser (30 § första och tredje stycket PuL).
Ett personuppgiftsbiträde och den som arbetar under personuppgiftsbiträdets ledning ska behandla personuppgifterna i enlighet med de instruktioner som Skatteverket ger. Om det i en lag eller annan författning finns särskilda bestämmelser om behandling av personuppgifter i det allmännas verksamhet ska personuppgiftsbiträdet och den som arbetar under personuppgiftsbiträdets ledning följa även dessa bestämmelser (30 § första och tredje stycket PuL).
När Skatteverket anlitar ett personuppgiftsbiträde ska Skatteverket säkerställa att personuppgiftsbiträdet kan vidta nödvändiga säkerhetsåtgärder. Skatteverket ska även kontrollera att biträdet verkligen vidtar åtgärderna (31 § andra stycket PuL). Det ska också finnas ett s.k. personuppgiftsbiträdesavtal.
Skatteverket ska skriva ett personuppgiftsbiträdesavtal med personuppgiftsbiträdet (30 § andra stycket PuL). Syftet med avtalet är bland annat att garantera att säkerhet och sekretess för personuppgifterna inte påverkas negativt på grund av att den personuppgiftsansvariga anlitar ett personuppgiftsbiträde i stället för att utföra personuppgiftsbehandlingen själv.
I ett personuppgiftsbiträdesavtal ska bland annat följande anges (30 § andra stycket PuL):
Det är Skatteverket som har ansvar för att ett personuppgiftsbiträdesavtal upprättas. Ett sådant avtal ska skrivas innan personuppgiftsbiträdet påbörjar behandlingen av personuppgifterna. Personuppgiftsbiträdesavtalet kan även innehålla instruktioner för personuppgiftsbehandlingen.
Skatteverket ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som myndigheten behandlar. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig mot bakgrund av följande (31 § första stycket PuL):
Vid bedömning av vad som är en lämplig säkerhetsnivå ska Skatteverket ta hänsyn till samtliga omständigheter kring behandlingen. För att göra detta på ett strukturerat sätt kan Skatteverket göra en risk- och sårbarhetsanalys. En sådan analys kan användas som underlag för att bedöma vilken säkerhetsnivå som är lämplig och vilka säkerhetsåtgärder som behöver vidtas.
Syftet med PuL:s bestämmelser om säkerhetsåtgärder är att skydda de registrerade personernas personliga integritet. Vilka personuppgifter Skatteverket ska behandla påverkar vilka säkerhetsåtgärder myndigheten behöver vidta. Om Skatteverket ska behandla känsliga personuppgifter, personuppgifter om lagöverträdelser eller uppgifter som omfattas av sekretess behöver Skatteverket vidta andra säkerhetsåtgärder än om myndigheten inte behandlar den typen av uppgifter. Om Skatteverket behandlar personuppgifter som rör många personer är kraven på den säkerhet som måste uppnås högre än om Skatteverket behandlar uppgifter som rör få personer.
Skatteverket skulle t.ex. kunna använda följande säkerhetsåtgärder vid en personuppgiftsbehandling:
Skatteverket ska tillämpa bestämmelserna om säkerhetsåtgärder för personuppgiftsbehandlingen även om den registrerade samtycker till en annan behandling.
Skatteverket ska skriva instruktioner för hur personuppgifter ska behandlas för Skatteverkets räkning. De som behandlar personuppgifter för Skatteverkets räkning kan vara t.ex. anställda och uppdragstagare. Skatteverket ska skriva instruktioner även för de personuppgiftsbiträden som Skatteverket anlitar för att behandla personuppgifter för Skatteverkets räkning. Dessa instruktioner kan ingå i personuppgiftsbiträdesavtalet eller utgöra ett separat dokument. Skatteverket ska även följa upp att instruktionerna följs.
Instruktionerna för personuppgiftsbehandlingen ska vara så tydliga att otillåten behandling inte kommer att göras. Alla som behandlar personuppgifter ska känna till åtminstone för vilka ändamål uppgifterna behandlas och att behandling som är oförenlig med dessa ändamål inte är tillåten (SOU 1997:39 s. 408).
Vilka instruktioner som behövs för en personuppgiftsbehandling får avgöras i det enskilda fallet. Det skulle t.ex. kunna vara instruktioner om:
Om Skatteverket vill föra över personuppgifter till tredje land finns det vissa bestämmelser i PuL som Skatteverket måste ta hänsyn till.
Med tredje land menas en stat som inte ingår i Europeiska unionen (EU) och som inte heller är ansluten till Europeiska ekonomiska samarbetsområdet (EES) (3 § PuL).
Med överföring av personuppgifter menas exempelvis
Att föra över uppgifter till ett tredje land innebär att personuppgifter som finns i Sverige lämnas ut och att uppgifterna efter utlämnandet finns (också) i ett land utanför EU och EES.
Skatteverket får inte föra över personuppgifter till tredje land om inte mottagarlandet har en adekvat nivå för skydd av personuppgifter (33 § PuL).
Om Skatteverket vill föra över personuppgifter till ett land som inte ingår i EU och inte heller är anslutet till EES måste Skatteverket bedöma om mottagarlandet har en adekvat nivå för skydd av personuppgifter. Om landet inte har en adekvat skyddsnivå får Skatteverket inte föra över uppgifterna. Vilka faktorer som myndigheten ska ta hänsyn till för att bedöma ett lands skyddsnivå framgår av 33 § andra stycket PuL.
Det finns några undantag från förbudet mot att föra över personuppgifter till tredje land.
Skatteverket får föra över personuppgifter till ett tredje land om Skatteverket bedömer att landet har en adekvat nivå för skyddet av personuppgifterna.
För att kunna ta ställning till ett lands skyddsnivå måste Skatteverket bedöma samtliga omständigheter som har samband med överföringen. Faktorer som Skatteverket särskilt ska ta hänsyn till är följande (33 § andra stycket PuL):
Skatteverket får föra över personuppgifter till ett tredje land om EU-kommissionen har konstaterat att landet har en adekvat skyddsnivå för personuppgifter (13 § PuF). De länder som EU-kommissionen har bedömt ha en adekvat skyddsnivå anges i bilaga 1 till PuF. För vissa av länderna i förteckningen har EU-kommissionen bedömt att överföring av personuppgifter bara får ske till vissa specificerade mottagare i respektive land eller bara under vissa särskilda villkor.
I förteckningen återfinns bland annat USA. Överföring av personuppgifter till USA får ske enbart om mottagaren har anslutit sig till Privacy Shield. Privacy Shield är en överenskommelse mellan EU och USA om skydd för personuppgifter. Överenskommelsen innehåller bl.a. principer för hur personuppgifter ska hanteras. Den reglerar vidare vissa översynsmekanismer som ska säkerställa att principerna följs. Företag i USA som vill ansluta sig till Privacy Shield ska anmäla det till det amerikanska handelsministeriet. Handelsministeriet ska föra en förteckning över de företag som har anslutit sig till Privacy Shield. EU-kommissionens beslut om adekvat skyddsnivå i USA avser enbart sådana företag som finns i handelsministeriets förteckning.
Personuppgifter får föras över till tredje land om uppgifterna förs över med tillämpning av sådana standardavtalsklausuler som EU-kommissionen har beslutat om (13 § PuF). I bilaga 2 till PuF anges EU-kommissionens beslut om standardavtalsklausuler.
Personuppgifter får föras över till stater som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, under förutsättning att uppgifterna ska användas enbart i den staten (34 § andra stycket PuL).
Den registrerade personen kan lämna sitt samtycke till att dennes uppgifter förs över till tredje land (34 § andra stycket PuL). Den registrerade kan dock inte samtycka till att säkerheten vid behandlingen eller överföringen av personuppgifterna åsidosätts. Det är fortfarande den personuppgiftsansvariga som har ansvar för att behandlingen och överföringen är tillräckligt säker.
Personuppgifter får föras över till tredje land om överföringen är nödvändig för att (34 § PuL)
Datainspektionen får meddela förskrifter om undantag från förbudet mot överföring av personuppgifter till tredje land om det finns tillräckliga garantier till skydd för de registrerade personernas rättigheter.
Datainspektionen får också i enskilda fall besluta om undantag från förbudet, men enbart under förutsättning att det finns tillräckliga garantier till skydd för de registrerade personernas rättigheter (14 § PuF). Detta innebär att den personuppgiftsansvariga kan ansöka hos Datainspektionen om undantag från förbudet för vissa överföringar som den personuppgiftsansvariga vill göra.
Skatteverket måste ta hänsyn till bestämmelserna om överföring av personuppgifter till tredje land om Skatteverket vill behandla personuppgifter, eller låta ett personuppgiftsbiträde behandla personuppgifter, i någon form av molnbaserad datortjänst.
Med molnbaserad datortjänst menas en tjänst där en leverantör erbjuder möjlighet till t.ex. lagring eller processorkraft i servrar som kontrolleras av leverantören och där servrarna finns utspridda på olika geografiska platser.
Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som sker för Skatteverkets räkning i en molnbaserad datortjänst. Molntjänstleverantören, och dennes underleverantörer, är personuppgiftsbiträden åt Skatteverket. Det innebär att Skatteverket ansvarar bland annat för att:
Om Skatteverket behandlar personuppgifter i ostrukturerat material behöver Skatteverket inte uppfylla alla de grundläggande kraven i 9 § PuL eller tillämpa bestämmelserna om överföring till tredje land i 33–34 §§ PuL. Bestämmelserna om säkerhet vid behandlingen i 30–31 §§ PuL ska dock tillämpas även när Skatteverket behandlar personuppgifter i ostrukturerat material (5 a § PuL).
PuL innehåller inga särskilda bestämmelser för publicering av personuppgifter på internet. Det innebär att Skatteverket ska följa de vanliga bestämmelserna i PuL för sådan personuppgiftsbehandling.
Vid publicering av personuppgifter på internet ska man följa de vanliga bestämmelserna i PuL. Detta innebär bl.a. att man ska ta hänsyn till bestämmelserna om förbud mot överföring till tredje land i 33–34 §§ PuL. Frågan är då om man genom publicering på internet överför personuppgifter till tredje land.
EU-domstolen har uttalat att om man publicerar personuppgifter på internet innebär det inte en överföring av personuppgifter till tredje land om den webbplats där uppgifterna publiceras finns lagrad hos en webbhotelleverantör som är etablerad i en medlemsstat inom EU (C-101/01, Bodil Lindqvist).