OBS: Detta är utgåva 2019.5. Sidan är avslutad 2016.

För elektronisk behandling av personuppgifter gäller särskilda bestämmelser. Dessa bestämmelser innehåller några speciella begrepp som är viktiga att känna till som t.ex. personuppgift, behandling, personuppgiftsansvarig och personuppgiftsbiträdesavtal.

Personuppgifter

Med personuppgift menas all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet (3 § PuL). Det avgörande är om en person på något sätt kan identifieras av någon annan.

Exempel på personuppgifter är

  • namn
  • personnummer
  • fotografi
  • ljudinspelning
  • telefonnummer
  • registreringsnummer på fordon
  • diarienummer
  • IP-adress.

Namn och personnummer är exempel på direkta personuppgifter. Telefonnummer, registreringsnummer på fordon, diarienummer och IP-adress är exempel på så kallade indirekta personuppgifter. För att veta vilken person som en indirekt personuppgift avser behöver man ytterligare information såsom t.ex. uppgift om vem som är ägare till ett fordon med ett visst registreringsnummer.

Ibland kan uppgifter vara så detaljerade att det går att förstå vilken person som avses utan att någon direkt eller indirekt personuppgift anges, t.ex. ”kyrkvaktmästaren i Salems församling”. En sådan uppgift är också en personuppgift. Även uppgifter som är krypterade och olika slags elektroniska identiteter som t.ex. e-postadresser eller IP-adresser är personuppgifter om de kan knytas till en person.

Uppgifter som inte är personuppgifter

Det finns vissa typer av uppgifter som inte är personuppgifter i PuL:s mening.

Avlidna och ännu inte födda

Uppgifter om avlidna eller ännu inte födda är inte personuppgifter i PuL:s mening. Uppgifter om levande anhöriga till avlidna eller ännu inte födda är personuppgifter. Även om uppgifter om avlidna inte omfattas av PuL:s begrepp personuppgift kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i folkbokföringsverksamheten (1 kap 1 § FdbL) och i beskattningsverksamheten (1 kap. 1 § SdbL).

Juridiska personer

Uppgifter om juridiska personer är inte personuppgifter i PuL:s mening. Uppgift om en enskild firma är dock en personuppgift eftersom det är en enda fysisk person som innehar firman. Även om uppgifter om juridiska personer inte omfattas av PuL:s begrepp personuppgift kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av personuppgifter i beskattningsverksamheten (1 kap. 1 § SdbL).

Känsliga personuppgifter

Vissa personuppgifter anses vara extra känsliga ur integritetssynpunkt. De kallas i PuL för känsliga personuppgifter (13 § PuL). Med detta uttryck menas personuppgifter som

  • avslöjar ras eller etniskt ursprung
  • avslöjar politiska åsikter
  • avslöjar religiös eller filosofisk övertygelse
  • avslöjar medlemskap i fackförening
  • rör hälsa eller sexualliv.

Det finns särskilda bestämmelser för om och i så fall hur känsliga personuppgifter får behandlas.

Exempel på känsliga personuppgifter är

  • uppgift om en persons medlemskap i ett trossamfund
  • uppgift om att en person har lämnat bidrag till ett politiskt parti
  • uppgift om att en person har skadat sin fot
  • uppgift om att en person är sjukskriven.

Personuppgifter om lagöverträdelser

Med uttrycket personuppgifter om lagöverträdelser menas personuppgifter som handlar om brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § PuL).

Det finns särskilda bestämmelser för om och i så fall hur uppgifter om lagöverträdelser får behandlas.

Exempel på personuppgifter om lagöverträdelser är

  • uppgift om att egendom har tagits i beslag från en person
  • uppgift om att en person har dömts för brott
  • uppgift om att en person har eller kan ha begått ett brott, även om det inte finns någon dom om brottet
  • uppgift om att en person har varit föremål för tvångsvård enligt lagen (1988:870) om vård av missbrukare i vissa fall.

Behandling av personuppgifter

Med behandling av personuppgifter menas allt som görs med personuppgifter oavsett om det sker elektronisk eller på annat sätt (3 § PuL).

Exempel på behandling av personuppgifter är

  • insamling
  • registrering
  • användning
  • lagring
  • bearbetning
  • sammanställning
  • samkörning
  • utskrift
  • spridning
  • förstöring.

Även utlämnande av personuppgifter som behandlas elektroniskt är en behandling oavsett av om utlämnandet görs muntligen, på papper eller i elektronisk form (SOU 1997:39 och SOU 2003:40).

Rättsfall

EU-domstolen har uttalat att när man nämner olika personer - med namn eller på annat sätt t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen - på en webbplats utgör det en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg” (C-101/01, Bodil Lindqvist).

Personuppgiftsansvarig

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter är personuppgiftsansvarig (3 § PuL). Det är alltså den som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till som har ansvaret för behandlingen.

En myndighet är personuppgiftsansvarig för de behandlingar som görs i myndigheten. När den som är anställd hos Skatteverket behandlar personuppgifter för att utföra sina arbetsuppgifter är inte den anställde personuppgiftsansvarig för behandlingarna. Det är Skatteverket som är personuppgiftsansvarigt för de behandlingarna. En anställd ska behandla personuppgifter i enlighet med de instruktioner Skatteverket ger (30 § första stycket PuL).

Vissa registerförfattningar innehåller bestämmelser om att en utpekad myndighet ska vara personuppgiftsansvarig. Det står till exempel i SdbL respektive FdbL att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket ska utföra (1 kap. 6 § SdbL och 1 kap. 5 § FdbL). Det står vidare i LPB att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför med stöd av den lagen (3 § LPB).

Det är inte alltid enkelt att avgöra vem som är personuppgiftsansvarig för en behandling. Det anges inte i dataskyddsdirektivet, PuL eller förarbetena till PuL hur en avgränsning av personuppgiftsansvaret ska göras. Det kan finnas mer än en personuppgiftsansvarig för en behandling, t.ex. om flera myndigheter har en gemensam databas.

Rättsfall

Högsta förvaltningsdomstolen ansåg att Försäkringskassan var personuppgiftsansvarig för alla delar av två e-tjänster. Försäkringskassan tillhandahöll elektroniska självbetjäningstjänster i form av anmälan av tillfällig föräldrapenning via sms och arbetsgivares anmälan av sjukfall via en s.k. Infratjänst. Här kunde enskilda personer lämna uppgifter genom elektroniska informationskanaler. Uppgifterna var tillgängliga för Försäkringskassan först när de nådde kassans elektroniska mottagningsställen. Eftersom Försäkringskassan bestämde ändamålet med behandlingen – att anmäla olika typer av sjukfall – och medlen för behandlingen av personuppgifterna – anvisade kommunikationsvägar - ansåg domstolen att Försäkringskassan var ansvarig för hela behandlingen. Domstolen ansåg att de åtgärder som gjordes med personuppgifterna var led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Detta gällde trots att Försäkringskassan saknade möjlighet att påverka hur uppgifterna hanterades innan de blev tillgängliga för kassan. Det gällde också oberoende av om någon eller några av åtgärderna skulle utgöra behandling av personuppgifter även hos någon annan (HFD 2012 ref. 21).

Personuppgiftsbiträde

Den som är personuppgiftsansvarig kan antingen själv göra behandlingen av personuppgifterna eller låta någon annan göra behandlingen. Den som behandlar personuppgifter för den personuppgiftsansvariges räkning är personuppgiftsbiträde (3 § PuL). Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation, t.ex. ett externt företag. Den som är anställd hos den personuppgiftsansvarige är inte personuppgiftsbiträde.

En förutsättning för att Skatteverket ska kunna anlita ett personuppgiftsbiträde är att sekretess inte hindrar att Skatteverket lämnar ut uppgifterna. En annan förutsättning är att behandlingen av personuppgifterna har stöd i lag eller annan författning. Skatteverket bör dokumentera sitt ställningstagande i dessa rättsliga frågor innan Skatteverket anlitar ett personuppgiftsbiträde för behandling av Skatteverkets uppgifter.

Det är bara själva behandlingen av uppgifterna som kan överlåtas till ett personuppgiftsbiträde. Den personuppgiftsansvarige kan inte överlåta ansvaret för behandlingen på någon annan.

Exempel på personuppgiftsbiträde är Statens servicecenter som Skatteverket anlitar. Statens servicecenter behandlar personuppgifter om Skatteverkets anställda på uppdrag av Skatteverket.

Personuppgiftsbiträdesavtal

Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska parterna skriva ett avtal om personuppgiftsbiträdets behandling av personuppgifterna för den personuppgiftsansvariges räkning, ett s.k. personuppgiftsbiträdesavtal (30 § PuL).

Syftet med personuppgiftsbiträdesavtalet är bland annat att garantera att säkerhet och sekretess för personuppgifterna inte påverkas negativt på grund av att den personuppgiftsansvarige anlitar ett personuppgiftsbiträde i stället för att utföra personuppgiftsbehandlingen själv.

I ett personuppgiftsbiträdesavtal ska bland annat följande anges (30 § andra stycket PuL).

  • Personuppgiftsbiträdet, och den som arbetar under biträdets ledning, får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige.
  • Personuppgiftsbiträdet är skyldigt att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

Skatteverket ska skriva instruktioner för personuppgiftsbehandlingen till personuppgiftsbiträdet. Dessa instruktioner kan ingå i personuppgiftsbiträdesavtalet eller utgöra ett separat dokument. Vilka instruktioner som behövs för personuppgiftsbehandlingen får avgöras i det enskilda fallet. Instruktionerna ska bland annat innehålla krav på de säkerhetsåtgärder som personuppgiftsbiträdet ska vidta för att skydda personuppgifterna. För att ta ställning till vilka säkerhetsåtgärder som behövs är det ofta nödvändigt att göra en risk- och sårbarhetsanalys inför den planerade personuppgiftsbehandlingen.

Det är Skatteverket som har ansvar för att ett personuppgiftsbiträdesavtal upprättas. Ett sådant avtal ska skrivas innan personuppgiftsbiträdet påbörjar behandlingen av personuppgifterna. De instruktioner som Skatteverket skriver ska vara så tydliga att otillåten behandling inte kommer att utföras. Skatteverket ska även följa upp att avtalet och instruktionerna följs.

Personuppgiftsombud

Ett personuppgiftsombud är en fysisk person som självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt (3 § PuL). Det är den personuppgiftsansvarige som utser och förordnar ett personuppgiftsombud.

Skatteverket har inget personuppgiftsombud. Det finns ingen lagstiftning som föreskriver att Skatteverket måste ha ett personuppgiftsombud. På Skatteverkets rättsavdelning finns en arbetsgrupp med rättsliga experter och rättsliga specialister inom området sekretess, it-rätt och PuL. Frågor om databaser, register och annan personuppgiftsbehandling vid huvudkontoret och i regionerna hanteras av denna grupp.

Kompletterande information

Referenser på sidan

Domar & beslut

  • EU-dom C-101/01 [1]
  • HFD 2012 ref. 21 [1]

Lagar & förordningar

  • Lag (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar [1]
  • Lag (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet [1] [2] [3]
  • Lag (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet [1] [2]
  • Personuppgiftslag (1998:204) [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]

Propositioner

  • Proposition 1997/98:44 Personuppgiftslag [1]

Övrigt

  • SOU 1997:39 Integritet Offentlighet Informationsteknik [1]
  • SOU 2003:40 Utlänningsdatalag [1]