Personuppgifter är uppgifter som kan identifiera en fysisk levande person. Det finns dock viss dataskyddsreglering som även omfattar avlidna personer samt juridiska personer. Vissa kategorier av personuppgifter har strängare krav för behandling än andra. All hantering av personuppgifter utgör en form av behandling.
Med personuppgifter avses varje uppgift som avser en identifierad eller identifierbar fysisk, levande person (artikel 4.1 EU:s dataskyddsförordning och 1 kap. 6 § BDL). Exempel på personuppgifter är
En personuppgift kan knytas till en person antingen direkt eller indirekt. Namn och personnummer är exempel på direkta personuppgifter.
Telefonnummer, registreringsnummer på fordon, diarienummer och ip-adress är exempel på uppgifter som kan knytas till en fysisk person indirekt.
För att kunna göra det behövs ytterligare information såsom t.ex. uppgift om vem som är ägare till ett fordon med ett visst registreringsnummer. Det är alltså fråga om personuppgifter så länge någon någonstans kan knyta en uppgift till en levande fysisk person.
Uppgifter om avlidna eller ännu inte födda är inte personuppgifter i EU:s dataskyddsförordnings mening. Uppgifter om levande anhöriga till avlidna eller ännu inte födda är dock personuppgifter.
Även om uppgifter om avlidna inte omfattas av begreppet personuppgift i EU:s dataskyddsförordning kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i folkbokföringsverksamheten (1 kap. 1 § FdbL) och i beskattningsverksamheten (1 kap. 1 § SdbL).
Uppgifter om juridiska personer är inte personuppgifter i EU:s dataskyddsförordnings mening. Uppgifter om en enskild firma är dock en personuppgift eftersom det är en enda fysisk person som innehar firman.
Även om uppgifter om juridiska personer inte omfattas av begreppet personuppgift i EU:s dataskyddsförordning kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i beskattningsverksamheten (1 kap. 1 § SdbL).
Vissa personuppgifter anses vara extra känsliga ur integritetssynpunkt. De kallas i EU:s dataskyddsförordning för särskilda kategorier av personuppgifter (artikel 9 EU:s dataskyddsförordning). I den kompletterande dataskyddslagen och i BDL kallas dessa uppgifter istället för känsliga personuppgifter (3 kap. 1 § den kompletterande dataskyddslagen och 2 kap. 11 § BDL).
Känsliga personuppgifter är
Exempel på känsliga personuppgifter kan således vara uppgifter om
Utgångspunkten enligt EU:s dataskyddsförordning och BDL är att känsliga personuppgifter inte alls får behandlas. Både förordningen och BDL tillåter dock att behandling får ske enligt vissa angivna förutsättningar genom att det i sig föreskrivet i nationell rätt, antingen genom generell reglering (3 kap. 2 – 8 §§ den kompletterande dataskyddslagen eller 1 kap. 5 § BDL) eller i sektorsspecifik reglering.
Både BDL och den kompletterande dataskyddslagen har som utgångspunkt ett generellt sökförbud på känsliga personuppgifter. Undantag medges i vissa fall då syftet med sökningen är avgörande (3 kap. 3 § kompletterande dataskyddslag och 2 kap. 14 § BDL). T.ex. är Kristen ett vanligt personnamn som man får använda vid sökning om syftet är att identifiera en person, men det är inte tillåtet som sökbegrepp om syftet är att kartlägga uppgifter som avslöjar religiös övertygelse. Syftet och ändamålet med en sökning hos Skatteverket måste således vara att t.ex. utöva tillsyn, ta fram verksamhetsstatistik eller för registervård.
Till skillnad från BDL finns det i EU:s dataskyddsförordning särskilda bestämmelser för om och i så fall hur personuppgifter om lagöverträdelser får behandlas. Med uttrycket personuppgifter om lagöverträdelser menas personuppgifter som handlar om brott, domar i brottmål eller straffprocessuella tvångsmedel.
Exempel på personuppgifter om lagöverträdelser är uppgifter om
Med behandling av personuppgifter menas all hantering som görs med personuppgifter, oavsett om det sker elektroniskt eller på annat sätt. Det kan t.ex. vara att man
Även utlämnande av personuppgifter som behandlas elektroniskt är en behandling oavsett av om utlämnandet görs muntligen, på papper eller i elektronisk form (se SOU 1997:39 och SOU 2003:40).
EU-domstolen har uttalat att det är en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg” när man nämner olika personer på en webbplats, med namn eller på annat sätt, t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen (C-101/01, Bodil Lindqvist).
EU:s medlemsstater får närmare bestämma villkoren för behandling av nationella identifikationsnummer och andra vedertagna sätt för identifiering. Det krävs då att förordningens bestämmelser om de registrerades rättigheter och friheter iakttas. (artikel 87 EU:s dataskyddsförordning).
Skatteverket får behandla personnummer och samordningsnummer utan samtycke bara när det är klart motiverat med hänsyn till någon av följande förutsättningar (3 kap. 10 § den kompletterande dataskyddslagen):
I vissa av de särskilda registerförfattningar som gäller för Skatteverkets olika verksamheter finns bestämmelser som tillåter behandling av personnummer.