OBS: Detta är utgåva 2018.2. Sidan är avslutad 2018.
Skatteverket har en databas med uppgifter om identitetskort för folkbokförda i Sverige. För behandling av personuppgifter i id-kortsverksamheten gäller bestämmelserna i lagen om identitetskort för folkbokförda i Sverige, förordningen om identitetskort för folkbokförda i Sverige och bestämmelser i PuL.
Det finns även bestämmelser om sekretess för uppgifter i id-kortsverksamheten.
Skatteverket ska ha en databas med uppgifter om identitetskort för folkbokförda i Sverige, id-kortsdatabasen. Databasen ska föras med hjälp av automatiserad behandling. När Skatteverket behandlar personuppgifter automatiserat för id-kortsverksamheten ska Skatteverket tillämpa lagen (2015:899) om identitetskort för folkbokförda i Sverige, förordningen (2015:904) om identitetskort för folkbokförda i Sverige samt bestämmelser i PuL (8 och 10 §§ lagen [2015:899] om identitetskort för folkbokförda i Sverige och 2 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
I PuL finns allmänna bestämmelser för när och hur man får behandla personuppgifter. Om det i en annan lag eller förordning finns bestämmelser som avviker från PuL ska man tillämpa de bestämmelserna i stället för PuL (2 § PuL). Det innebär att Skatteverket ska tillämpa PuL vid behandling av personuppgifter i id-kortsverksamheten, om det inte finns någon avvikande bestämmelse i lagen (2015:899) om identitetskort för folkbokförda i Sverige eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige.
Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket gör i id-kortsverksamheten (11 § lagen [2015:899] om identitetskort för folkbokförda i Sverige och 2 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Lagen (2015:899) om identitetskort för folkbokförda i Sverige och förordningen (2015:904) om identitetskort för folkbokförda i Sverige anger ramarna för hur Skatteverket får behandla personuppgifter i id-kortsverksamheten.
En behandling av personuppgifter som är tillåten enligt lagen (2015:899) om identitetskort för folkbokförda i Sverige får göras även om den registrerade motsätter sig behandlingen (9 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).
Skatteverket får bara behandla personuppgifter elektroniskt för särskilda, uttryckligt angivna och berättigade ändamål (9 § PuL).
Ändamålen för behandling av personuppgifter i Skatteverkets idkortsverksamhet anges i lagen (2015:899) om identitetskort för folkbokförda i Sverige. Skatteverket får behandla personuppgifter i id-kortsdatabasen om det behövs i Skatteverkets verksamhet att utfärda identitetskort. Skatteverket får även behandla personuppgifter i id-kortsdatabasen om det behövs för att lämna ut uppgifter i enlighet med bestämmelser i lag eller förordning (12 § lagen (2015:899) om identitetskort för folkbokförda i Sverige).
Skatteverket får behandla personuppgifter i id-kortsdatabasen för historiska, statistiska eller vetenskapliga ändamål.
Skatteverket får inte behandla personuppgifter i id-kortsdatabasen för något ändamål som är oförenligt med det ursprungliga ändamålet. Detta kallas finalitetsprincipen.
Id-kortsdatabasen består av en uppgiftsdel och en handlingsdel.
Uppgiftsdelen innehåller uppgifter om bland annat sökandens namn, personnummer och identitetskortsnummer samt id-kortets giltighetstid, en kopia av den ansiktsbild som finns på id-kortet och sökandens namnteckning. Skatteverket får hämta dessa uppgifter från folkbokföringsdatabasen (11 § första stycket och 12 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Handlingsdelen innehåller handlingar som har kommit in till Skatteverket och handlingar som Skatteverket har upprättat i ett ärende (11 § andra stycket förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Skatteverket får behandla känsliga personuppgifter i id-kortsdatabasen enbart om någon av följande förutsättningar är uppfyllda (13 § lagen (2015:899) om identitetskort för folkbokförda i Sverige):
Skatteverket får i id-kortsdatabasen behandla en kopia av den ansiktsbild som finns på ett identitetskort (14 § lagen (2015:899) om identitetskort för folkbokförda i Sverige).
Vid en elektronisk sökning i id-kortsdatabasen får Skatteverket inte använda ansiktsbilden som finns på ett identitetskort som sökbegrepp. Skatteverket får inte heller använda känsliga personuppgifter eller uppgifter om lagöverträdelser som sökbegrepp. I övrigt finns det ingen begränsning av vilka sökbegrepp som Skatteverket får använda vid en elektronisk sökning i id-kortsdatabasen (17 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).
Det finns inte några särskilda bestämmelser om t.ex. grundläggande krav på behandlingen, säkerheten vid behandlingen eller överföring till tredje land i lagen (2015:899) om identitetskort för folkbokförda i Sverige eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige. Skatteverket ska därför tillämpa PuL:s bestämmelser om bland annat grundläggande krav på behandling av uppgifter, säkerheten vid behandlingen och överföring av personuppgifter till tredje land vid behandling av personuppgifter i id-kortsverksamheten.
Att lämna ut personuppgifter som behandlas elektroniskt innebär i sig en behandling av uppgifterna. Skatteverket kan lämna ut uppgifter på olika sätt, exempelvis
Läs även om förutsättningarna för att lämna ut personuppgifter som behandlas elektroniskt.
Skatteverket får lämna ut uppgift om ett identitetskorts giltighetstid genom direktåtkomst (16 § lagen [2015:899] om identitetskort för folkbokförda i Sverige). Skatteverket får inte lämna ut några andra uppgifter från id-kortsverksamheten genom direktåtkomst. I övrigt saknas bestämmelser om att Skatteverket får lämna ut uppgifter i elektronisk form. Skatteverket får därför inte lämna ut personuppgifter från id-kortsdatabasen på medium för automatiserad behandling.
Innan Skatteverket lämnar ut några uppgifter ska Skatteverket göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte. I OSL finns sekretessbestämmelser för id-kortsverksamheten.
Om uppgifterna innehåller personuppgifter måste Skatteverket även ta ställning till om mottagarens behandling av uppgifterna är förenlig med PuL. Sekretess gäller för uppgifterna om det kan antas att ett utlämnande skulle medföra att personuppgifterna behandlas i strid med PuL.
När och hur Skatteverket ska ta ut en avgift för att lämna ut uppgifter beskrivs på sidan om att lämna ut en allmän handling.
Skatteverket är ansvarigt för den personuppgiftsbehandling som görs inom myndigheten. Skatteverket ska i vissa fall lämna information om sina behandlingar.
Det finns inte några bestämmelser i lagen (2015:899) om identitetskort för folkbokförda i Sverige eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige om att Skatteverket ska lämna information om den behandling av personuppgifter som görs. Skatteverket ska därför tillämpa PuL:s bestämmelser om att informera om behandling av personuppgifter.
Uppgifter och handlingar i id-kortsdatabasen ska gallras senast ett år efter det att giltighetstiden för ett identitetskort har gått ut. Om ansökan om identitetskort har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har fått laga kraft (13 § första stycket förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Riksarkivet har meddelat föreskrifter om bevarande och gallring hos Skatteverket avseende ärenden om identitetskort (RA-MS 2011:33). I bilagor till föreskriften ges detaljerade bestämmelser för bevarande och gallring av pappershandlingar och elektroniska handlingar i idkortsdatabasen.
Det finns särskilda bestämmelser för den skyldighet som en personuppgiftsansvarig har att rätta felaktigt behandlade personuppgifter och för det skadeståndsansvar som den personuppgiftsansvarige har. Vissa beslut som Skatteverket fattar i egenskap av personuppgiftsansvarig får överklagas.
Skatteverket ska tillämpa PuL:s bestämmelser om rättelse vid behandling av personuppgifter lagen (2015:899) om identitetskort för folkbokförda i Sverige, förordningen (2015:905) om identitetskort för folkbokförda i Sverige och PuL (18 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).
Skatteverket ska tillämpa PuL:s bestämmelser om skadestånd vid behandling av personuppgifter enligt lagen (2015:899) om identitetskort för folkbokförda i Sverige, förordningen (2015:905) om identitetskort för folkbokförda i Sverige och PuL (18 § lagen [2015:899] om identitetskort för folkbokförda i Sverige).
Följande beslut som fattas av Skatteverket får överklagas till allmän förvaltningsdomstol (52 § PuL):
Skatteverket ska tillämpa PuL:s bestämmelser om överklagande.