Din webbläsare Internet Explorer är för gammal. För att vår webbplats ska fungera rekommenderar vi att du byter webbläsare.
Rekommenderade webbläsare
Stäng
- Vägledning »
- 2018 »
- Dataskydd & sekretess »
- Dataskydd »
- Id-kortsverksamheten
Id-kortsverksamheten
Skatteverket har en databas med uppgifter om identitetskort för folkbokförda i Sverige. För behandling av personuppgifter i id-kortsverksamheten gäller de kompletterade bestämmelserna i lagen om identitetskort för folkbokförda i Sverige, förordningen om identitetskort för folkbokförda i Sverige och de allmänna dataskyddsbestämmelserna.
Det finns även bestämmelser om sekretess för uppgifter i id-kortsverksamheten.
- Lagen om identitetskort för folkbokförda i Sverige
- Personuppgiftsansvarig för behandlingen
- Tillåten behandling av personuppgifter
- Allmänna krav på behandlingen av personuppgifter
- Lämna ut personuppgifter
- Informera om behandling av personuppgifter
- Gallring av personuppgifter
- Registerdes rättigheter, skadestånd och överklagande
- Referenser
Lagen om identitetskort för folkbokförda i Sverige
Skatteverket ska ha en databas med uppgifter om identitetskort för folkbokförda i Sverige: id-kortsdatabasen. Databasen ska föras med hjälp av automatiserad behandling. När Skatteverket behandlar personuppgifter automatiserat för id-kortsverksamheten ska Skatteverket tillämpa
- de allmänna dataskyddsbestämmelserna i EU:s dataskyddsförordning.
- lagen (2015:899) om identitetskort för folkbokförda i Sverige (IdL)
- förordningen (2015:904) om identitetskort för folkbokförda i Sverige
- de allmänna dataskyddsbestämmelserna i EU:s dataskyddsförordning.
Se 10 § IdL och 1 § förordningen (2015:904) om identitetskort för folkbokförda i Sverige.
Hur förhåller sig IdL till de allmänna dataskyddsbestämmelserna?
I EU:s dataskyddsförordning finns allmänna dataskyddbestämmelser för när och hur man får behandla personuppgifter och dessa bestämmelser kan i vissa fall kompletteras av nationella författningar. I Sverige har vi den kompletterande dataskyddslagen med tillhörande förordning och IdL med tillhörande förordning. Det innebär att Skatteverket alltid ska tillämpa EU:s dataskyddsförordning och i tillämpliga fall kompletterande nationella dataskyddsbestämmelser.
Om det i en annan lag eller förordning finns dataskyddsbestämmelser som avviker från den kompletterande dataskyddslagen ska man tillämpa dessa bestämmelser i stället (1 kap. 6 § kompletterande dataskyddslag). Om det finns någon avvikande bestämmelse i IdL eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige ska de tillämpas och inte den kompletterande dataskyddslagen med tillhörande förordning eftersom de är subsidiära.
Utgångspunkten är att EU:s dataskyddsförordning alltid ska tillämpas eftersom nationella författningar kompletterar EU-förordningen. I vissa fall kan dock en medlemsstat begränsa den registrerades rättigheter genom författning med stöd av artikel 23 i EU:s dataskyddsförordning.
Personuppgiftsansvarig för behandlingen
Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket gör i id-kortsverksamheten (11 § IdL och 2 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Tillåten behandling av personuppgifter
Hur Skatteverket får behandla personuppgifter i id-kortsverksamheten styrs av IdL och förordningen (2015:904) om identitetskort för folkbokförda i Sverige.
En behandling av personuppgifter som är tillåten enligt IdL får göras även om den registrerade gör en invändning enligt artikel 21.1 EU:s dataskyddsförordning (18 § IdL).
Skatteverket får bara behandla personuppgifter för vissa ändamål
Skatteverket får bara behandla personuppgifter elektroniskt för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b i EU:s dataskyddsförordning).
Ändamålen för behandling av personuppgifter i Skatteverkets idkortsverksamhet anges i IdL. Skatteverket får enligt 12 § IdL behandla personuppgifter i id-kortsdatabasen
- om det behövs i Skatteverkets verksamhet att utfärda identitetskort
- om det behövs för att lämna ut uppgifter i enlighet med bestämmelser i lag eller förordning.
Skatteverket får behandla personuppgifter i id-kortsdatabasen för historiska, statistiska eller vetenskapliga ändamål.
Finalitetsprincipen
Skatteverket får inte behandla personuppgifter i id-kortsdatabasen för något ändamål som är oförenligt med det ursprungliga ändamålet. Detta kallas finalitetsprincipen.
Bestämmelser för att behandla personuppgifter i id-kortsdatabasen
Id-kortsdatabasen består av en uppgiftsdel och en handlingsdel.
Uppgiftsdelen innehåller uppgifter om bland annat
- sökandens namn, personnummer och identitetskortsnummer
- id-kortets giltighetstid
- en kopia av den ansiktsbild som finns på id-kortet
- sökandens namnteckning.
Skatteverket får hämta dessa uppgifter från folkbokföringsdatabasen (11 § första stycket och 12 § förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Handlingsdelen innehåller handlingar som har kommit in till Skatteverket och handlingar som Skatteverket har upprättat i ett ärende (11 § andra stycket förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Begränsning av möjligheten att behandla känsliga personuppgifter
Skatteverket får behandla känsliga personuppgifter i id-kortsdatabasen enbart om någon av följande förutsättningar är uppfyllda (13 § IdL):
- uppgifterna finns i en handling som har lämnats i ett ärende
- uppgifterna finns i en handling som Skatteverket har upprättat i ett ärende och uppgifterna är nödvändiga för handläggningen av ärendet.
Rättsligt stöd för att behandla ansiktsbilden
Skatteverket får i id-kortsdatabasen behandla en kopia av den ansiktsbild som finns på ett identitetskort (14 § IdL).
Begränsning av vilka sökbegrepp som får användas
Vid en elektronisk sökning i id-kortsdatabasen får Skatteverket inte använda följande som sökbegrepp:
- ansiktsbilden som finns på ett identitetskort
- känsliga personuppgifter
- uppgifter om lagöverträdelser.
I övrigt finns det ingen begränsning av vilka sökbegrepp som Skatteverket får använda vid en elektronisk sökning i id-kortsdatabasen (17 § IdL).
Allmänna krav på behandlingen av personuppgifter
Det finns inte några särskilda bestämmelser om t.ex. allmänna krav på behandlingen, säkerheten vid behandlingen eller överföring till tredje land i IdL eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige. Skatteverket ska därför tillämpa de allmänna dataskyddsbestämmelserna om bland annat principer för behandling av personuppgifter, laglig behandling av personuppgifter, registrerades rättigheter, säkerhet för personuppgifter och överföring av personuppgifter till tredjeländer eller internationella organisationer vid behandling av personuppgifter i id-kortsverksamheten.
Lämna ut personuppgifter
Att lämna ut personuppgifter som behandlas elektroniskt innebär i sig en behandling av uppgifterna. Skatteverket kan lämna ut uppgifter på olika sätt, exempelvis
- muntligt
- skriftligt på papper
- i elektronisk form.
Vid utlämnade i elektronisk form måste särskilt krav på säkerhet beaktas samt om det finns särskilda bestämmelser som reglerar hur ett utlämnande får ske.
Får Skatteverket lämna ut personuppgifter i elektronisk form från id-kortsverksamheten?
Skatteverket får lämna ut uppgift om ett identitetskorts giltighetstid genom direktåtkomst (16 § IdL). Skatteverket får inte lämna ut några andra uppgifter från id-kortsverksamheten genom direktåtkomst. I övrigt saknas bestämmelser om att Skatteverket får lämna ut uppgifter i elektronisk form. Skatteverket får därför inte lämna ut personuppgifter från id-kortsdatabasen på medium för automatiserad behandling.
Sekretessprövning av om Skatteverket kan lämna ut uppgifterna
Innan Skatteverket lämnar ut några uppgifter ska Skatteverket göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte. I OSL finns sekretessbestämmelser för id-kortsverksamheten.
Om uppgifterna innehåller personuppgifter måste Skatteverket även ta ställning till om mottagarens behandling av uppgifterna är förenlig med tillämplig dataskyddsreglering. Sekretess gäller för uppgifterna om det kan antas att ett utlämnande skulle medföra att personuppgifterna behandlas i strid med dataskyddsregleringen, se 21 kap. 7 § OSL.
Avgifter för att lämna ut uppgifter
När och hur Skatteverket ska ta ut en avgift för att lämna ut uppgifter beskrivs på sidan om att lämna ut en allmän handling.
Informera om behandling av personuppgifter
Skatteverket är ansvarigt för den personuppgiftsbehandling som görs inom myndigheten. Skatteverket ska i vissa fall lämna information om sina behandlingar.
Det finns inte några bestämmelser i IdL eller förordningen (2015:904) om identitetskort för folkbokförda i Sverige om att Skatteverket ska lämna information om den behandling av personuppgifter som görs. Skatteverket ska därför tillämpa de allmänna dataskyddsbestämmelserna om att informera om behandling av personuppgifter.
Gallring av personuppgifter
Uppgifter och handlingar i id-kortsdatabasen ska gallras senast ett år efter det att giltighetstiden för ett identitetskort har gått ut. Om ansökan om identitetskort har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har fått laga kraft (13 § första stycket förordningen [2015:904] om identitetskort för folkbokförda i Sverige).
Riksarkivet har meddelat föreskrifter om bevarande och gallring hos Skatteverket för ärenden om identitetskort (RA-MS 2011:33). I bilagor till föreskriften ges detaljerade bestämmelser för bevarande och gallring av pappershandlingar och elektroniska handlingar i idkortsdatabasen.
Registerdes rättigheter, skadestånd och överklagande
Det finns särskilda bestämmelser om den registrerades rättigheter i kapitel III i EU:s dataskyddsförordning för den skyldighet som en personuppgiftsansvarig exempelvis har att rätta felaktigt behandlade personuppgifter och för det skadeståndsansvar som den personuppgiftsansvariga har. Vissa beslut som Skatteverket fattar i egenskap av personuppgiftansvarig får överklagas.
Registrerades rättigheter vid behandling av personuppgifter
Skatteverket ska tillämpa bestämmelserna om registrerades rättigheter i EU:s dataskyddsförordning vid behandling av personuppgifter enligt IdL, förordningen (2015:905) om identitetskort för folkbokförda i Sverige och de allmänna dataskyddsbestämmelserna.
En behandling av personuppgifter som är tillåten enligt IdL får göras även om den registrerade gör en invändning enligt artikel 21.1 EU:s dataskyddsförordning (18 § IdL).
Skadestånd för felaktigt behandlade personuppgifter
Om Skatteverket behandlar personuppgifter felaktigt i id-kortsverksamheten kan verket behöva betala skadestånd enligt EU:s dataskyddsförordning (7 kap. 1 § kompletterande dataskyddslag).
Överklaga Skatteverkets beslut om den registrerades rättigheter i EU:s dataskyddsförordning
Beslut om den registrerades rättigheter enligt artiklarna 12.5 och 15–21 i EU:s dataskyddsförordning som har meddelats av Skatteverket i egenskap av personuppgiftansvarig får överklagas till allmän förvaltningsdomstol.
Skatteverket ska tillämpa den kompletterande dataskyddslagens bestämmelser om överklagande (7 kap. 2 § kompletterande dataskyddslag).
Referenser på sidan
EU-författningar
- Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3] [4] [5]
Lagar & förordningar
- Förordning (2015:904) om identitetskort för folkbokförda i Sverige [1] [2] [3] [4] [5]
- Lag (2015:899) om identitetskort för folkbokförda i Sverige [1] [2] [3] [4] [5] [6] [7] [8] [9]
- Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2] [3]
Övrigt
- Riksarkivets föreskrifter om bevarande och gallring hos Skatteverket (RA-MS 2011:33) [1]
Referenser inom dataskydd & sekretess
Tillsammans gör vi samhället möjligt