OBS: Detta är utgåva 2018.5. Visa senaste utgåvan.

Skatteverket har en databas med uppgifter om identitetskort för folkbokförda i Sverige. För behandling av personuppgifter i id-kortsverksamheten gäller de kompletterade bestämmelserna i lagen om identitetskort för folkbokförda i Sverige, förordningen om identitetskort för folkbokförda i Sverige och de allmänna dataskyddsbestämmelserna.

Det finns även bestämmelser om sekretess för uppgifter i id-kortsverksamheten.

Lagen om identitetskort för folkbokförda i Sverige

Skatteverket ska ha en databas med uppgifter om identitetskort för folkbokförda i Sverige: id-kortsdatabasen. Databasen ska föras med hjälp av automatiserad behandling. När Skatteverket behandlar personuppgifter automatiserat för id-kortsverksamheten ska Skatteverket tillämpa

  • de allmänna dataskyddsbestämmelserna i EU:s dataskyddsförordning.
  • lagen (2015:899) om identitetskort för folkbokförda i Sverige (IdL)
  • förordningen (2015:904) om identitetskort för folkbokförda i Sverige
  • de allmänna dataskyddsbestämmelserna i EU:s dataskyddsförordning.

Se 10 § IdL och 1 § förordningen (2015:904) om identitetskort för folkbokförda i Sverige.

Hur förhåller sig IdL till de allmänna dataskyddsbestämmelserna?

I EU:s dataskyddsförordning finns allmänna dataskyddbestämmelser för när och hur man får behandla personuppgifter och dessa bestämmelser kan i vissa fall kompletteras av nationella författningar. I Sverige har vi den kompletterande dataskyddslagen med tillhörande förordning och IdL med tillhörande förordning. Det innebär att Skatteverket alltid ska tillämpa EU:s dataskyddsförordning och i tillämpliga fall kompletterande nationella dataskyddsbestämmelser.

Om det i en annan lag eller förordning finns dataskyddsbestämmelser som avviker från den kompletterande dataskyddslagen ska man tillämpa dessa bestämmelser i stället (1 kap. 6 § kompletterande dataskyddslag). Om det finns någon avvikande bestämmelse i IdL eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige ska de tillämpas och inte den kompletterande dataskyddslagen med tillhörande förordning eftersom de är subsidiära.

Utgångspunkten är att EU:s dataskyddsförordning alltid ska tillämpas eftersom nationella författningar kompletterar EU-förordningen. I vissa fall kan dock en medlemsstat begränsa den registrerades rättigheter genom författning med stöd av artikel 23 i EU:s dataskyddsförordning.

Personuppgiftsansvarig för behandlingen

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket gör i id-kortsverksamheten (11 § IdL och 2 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).

Tillåten behandling av personuppgifter

Hur Skatteverket får behandla personuppgifter i id-kortsverksamheten styrs av IdL och förordningen (2015:904) om identitetskort för folkbokförda i Sverige.

En behandling av personuppgifter som är tillåten enligt IdL får göras även om den registrerade gör en invändning enligt artikel 21.1 EU:s dataskyddsförordning (18 § IdL).

Skatteverket får bara behandla personuppgifter för vissa ändamål

Skatteverket får bara behandla personuppgifter elektroniskt för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b i EU:s dataskyddsförordning).

Ändamålen för behandling av personuppgifter i Skatteverkets idkortsverksamhet anges i IdL. Skatteverket får enligt 12 § IdL behandla personuppgifter i id-kortsdatabasen

  • om det behövs i Skatteverkets verksamhet att utfärda identitetskort
  • om det behövs för att lämna ut uppgifter i enlighet med bestämmelser i lag eller förordning.

Skatteverket får behandla personuppgifter i id-kortsdatabasen för historiska, statistiska eller vetenskapliga ändamål.

Finalitetsprincipen

Skatteverket får inte behandla personuppgifter i id-kortsdatabasen för något ändamål som är oförenligt med det ursprungliga ändamålet. Detta kallas finalitetsprincipen.

Bestämmelser för att behandla personuppgifter i id-kortsdatabasen

Id-kortsdatabasen består av en uppgiftsdel och en handlingsdel.

Uppgiftsdelen innehåller uppgifter om bland annat

  • sökandens namn, personnummer och identitetskortsnummer
  • id-kortets giltighetstid
  • en kopia av den ansiktsbild som finns på id-kortet
  • sökandens namnteckning.

Skatteverket får hämta dessa uppgifter från folkbokföringsdatabasen (11 § första stycket och 12 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).

Handlingsdelen innehåller handlingar som har kommit in till Skatteverket och handlingar som Skatteverket har upprättat i ett ärende (11 § andra stycket förordningen [2015:904] om identitetskort för folkbokförda i Sverige).

Begränsning av möjligheten att behandla känsliga personuppgifter

Skatteverket får behandla känsliga personuppgifter i id-kortsdatabasen enbart om någon av följande förutsättningar är uppfyllda (13 § IdL):

  • uppgifterna finns i en handling som har lämnats i ett ärende
  • uppgifterna finns i en handling som Skatteverket har upprättat i ett ärende och uppgifterna är nödvändiga för handläggningen av ärendet.

Rättsligt stöd för att behandla ansiktsbilden

Skatteverket får i id-kortsdatabasen behandla en kopia av den ansiktsbild som finns på ett identitetskort (14 § IdL).

Begränsning av vilka sökbegrepp som får användas

Vid en elektronisk sökning i id-kortsdatabasen får Skatteverket inte använda följande som sökbegrepp:

  • ansiktsbilden som finns på ett identitetskort
  • känsliga personuppgifter
  • uppgifter om lagöverträdelser.

I övrigt finns det ingen begränsning av vilka sökbegrepp som Skatteverket får använda vid en elektronisk sökning i id-kortsdatabasen (17 § IdL).

Allmänna krav på behandlingen av personuppgifter

Det finns inte några särskilda bestämmelser om t.ex. allmänna krav på behandlingen, säkerheten vid behandlingen eller överföring till tredje land i IdL eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige. Skatteverket ska därför tillämpa de allmänna dataskyddsbestämmelserna om bland annat principer för behandling av personuppgifter, laglig behandling av personuppgifter, registrerades rättigheter, säkerhet för personuppgifter och överföring av personuppgifter till tredjeländer eller internationella organisationer vid behandling av personuppgifter i id-kortsverksamheten.

Lämna ut personuppgifter

Att lämna ut personuppgifter som behandlas elektroniskt innebär i sig en behandling av uppgifterna. Skatteverket kan lämna ut uppgifter på olika sätt, exempelvis

  • muntligt
  • skriftligt på papper
  • i elektronisk form.

Vid utlämnade i elektronisk form måste särskilt krav på säkerhet beaktas samt om det finns särskilda bestämmelser som reglerar hur ett utlämnande får ske.

Får Skatteverket lämna ut personuppgifter i elektronisk form från id-kortsverksamheten?

Skatteverket får lämna ut uppgift om ett identitetskorts giltighetstid genom direktåtkomst (16 § IdL). Skatteverket får inte lämna ut några andra uppgifter från id-kortsverksamheten genom direktåtkomst. I övrigt saknas bestämmelser om att Skatteverket får lämna ut uppgifter i elektronisk form. Skatteverket får därför inte lämna ut personuppgifter från id-kortsdatabasen på medium för automatiserad behandling.

Sekretessprövning av om Skatteverket kan lämna ut uppgifterna

Innan Skatteverket lämnar ut några uppgifter ska Skatteverket göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte. I OSL finns sekretessbestämmelser för id-kortsverksamheten.

Om uppgifterna innehåller personuppgifter måste Skatteverket även ta ställning till om mottagarens behandling av uppgifterna är förenlig med tillämplig dataskyddsreglering. Sekretess gäller för uppgifterna om det kan antas att ett utlämnande skulle medföra att personuppgifterna behandlas i strid med dataskyddsregleringen, se 21 kap. 7 § OSL.

Avgifter för att lämna ut uppgifter

När och hur Skatteverket ska ta ut en avgift för att lämna ut uppgifter beskrivs på sidan om att lämna ut en allmän handling.

Informera om behandling av personuppgifter

Skatteverket är ansvarigt för den personuppgiftsbehandling som görs inom myndigheten. Skatteverket ska i vissa fall lämna information om sina behandlingar.

Det finns inte några bestämmelser i IdL eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige om att Skatteverket ska lämna information om den behandling av personuppgifter som görs. Skatteverket ska därför tillämpa de allmänna dataskyddsbestämmelserna om att informera om behandling av personuppgifter.

Gallring av personuppgifter

Uppgifter och handlingar i id-kortsdatabasen ska gallras senast ett år efter det att giltighetstiden för ett identitetskort har gått ut. Om ansökan om identitetskort har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har fått laga kraft (13 § första stycket förordningen [2015:904] om identitetskort för folkbokförda i Sverige).

Riksarkivet har meddelat föreskrifter om bevarande och gallring hos Skatteverket för ärenden om identitetskort (RA-MS 2011:33). I bilagor till föreskriften ges detaljerade bestämmelser för bevarande och gallring av pappershandlingar och elektroniska handlingar i idkortsdatabasen.

Registerdes rättigheter, skadestånd och överklagande

Det finns särskilda bestämmelser om den registrerades rättigheter i kapitel III i EU:s dataskyddsförordning för den skyldighet som en personuppgiftsansvarig exempelvis har att rätta felaktigt behandlade personuppgifter och för det skadeståndsansvar som den personuppgiftsansvariga har. Vissa beslut som Skatteverket fattar i egenskap av personuppgiftansvarig får överklagas.

Registrerades rättigheter vid behandling av personuppgifter

Skatteverket ska tillämpa bestämmelserna om registrerades rättigheter i EU:s dataskyddsförordning vid behandling av personuppgifter enligt IdL, förordningen (2015:905) om identitetskort för folkbokförda i Sverige och de allmänna dataskyddsbestämmelserna.

En behandling av personuppgifter som är tillåten enligt IdL får göras även om den registrerade gör en invändning enligt artikel 21.1 EU:s dataskyddsförordning (18 § IdL).

Skadestånd för felaktigt behandlade personuppgifter

Om Skatteverket behandlar personuppgifter felaktigt i id-kortsverksamheten kan verket behöva betala skadestånd enligt EU:s dataskyddsförordning (7 kap. 1 § kompletterande dataskyddslag).

Överklaga Skatteverkets beslut om den registrerades rättigheter i EU:s dataskyddsförordning

Beslut om den registrerades rättigheter enligt artiklarna 12.5 och 15–21 i EU:s dataskyddsförordning som har meddelats av Skatteverket i egenskap av personuppgiftansvarig får överklagas till allmän förvaltningsdomstol.

Skatteverket ska tillämpa den kompletterande dataskyddslagens bestämmelser om överklagande (7 kap. 2 § kompletterande dataskyddslag).

Referenser på sidan

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3] [4] [5]

Lagar & förordningar

  • Förordning (2015:904) om identitetskort för folkbokförda i Sverige [1] [2] [3] [4] [5]
  • Lag (2015:899) om identitetskort för folkbokförda i Sverige [1] [2] [3] [4] [5] [6] [7] [8] [9]
  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2] [3]

Övrigt

  • Riksarkivets föreskrifter om bevarande och gallring hos Skatteverket (RA-MS 2011:33) [1]