OBS: Detta är utgåva 2021.5. Visa senaste utgåvan.

Personuppgifter är uppgifter som kan identifiera en fysisk levande person. Det finns dock viss dataskyddsreglering som även omfattar avlidna personer samt juridiska personer. Vissa kategorier av personuppgifter har strängare krav för behandling än andra. All hantering av personuppgifter utgör en form av behandling.

Personuppgifter är uppgifter som kan identifiera en fysisk levande person

Med personuppgifter avses varje uppgift som avser en identifierad eller identifierbar fysisk, levande person (artikel 4.1 EU:s dataskyddsförordning och 1 kap. 6 § BDL). Exempel på personuppgifter är

  • namn
  • personnummer
  • fotografi
  • ljudinspelning
  • telefonnummer
  • registreringsnummer på fordon
  • diarienummer
  • ip-adress
  • kakor (cookies).

En personuppgift kan knytas till en person antingen direkt eller indirekt. Namn och personnummer är exempel på direkta personuppgifter.

Telefonnummer, registreringsnummer på fordon, diarienummer och ip-adress är exempel på uppgifter som kan knytas till en fysisk person indirekt.

För att kunna göra det behövs ytterligare information såsom t.ex. uppgift om vem som är ägare till ett fordon med ett visst registreringsnummer. Det är alltså fråga om personuppgifter så länge någon någonstans kan knyta en uppgift till en levande fysisk person.

Uppgifter om avlidna och ännu inte födda

Uppgifter om avlidna eller ännu inte födda är inte personuppgifter i EU:s dataskyddsförordnings mening. Uppgifter om levande anhöriga till avlidna eller ännu inte födda är dock personuppgifter.

Även om uppgifter om avlidna inte omfattas av begreppet personuppgift i EU:s dataskyddsförordning kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i folkbokföringsverksamheten (1 kap. 1 § FdbL) och i beskattningsverksamheten (1 kap. 1 § SdbL).

Uppgifter om juridiska personer

Uppgifter om juridiska personer är inte personuppgifter i EU:s dataskyddsförordnings mening. Uppgifter om en enskild firma är dock en personuppgift eftersom det är en enda fysisk person som innehar firman.

Även om uppgifter om juridiska personer inte omfattas av begreppet personuppgift i EU:s dataskyddsförordning kan det i särskilda registerförfattningar finnas bestämmelser om hur sådana uppgifter får behandlas. Sådana bestämmelser finns t.ex. för behandling av uppgifter i beskattningsverksamheten (1 kap. 1 § SdbL).

Känsliga personuppgifter

Vissa personuppgifter anses vara extra känsliga ur integritetssynpunkt. De kallas i EU:s dataskyddsförordning för särskilda kategorier av personuppgifter (artikel 9 EU:s dataskyddsförordning). I den kompletterande dataskyddslagen och i BDL kallas dessa uppgifter istället för känsliga personuppgifter (3 kap. 1 § den kompletterande dataskyddslagen och 2 kap. 11 § BDL).

Känsliga personuppgifter är

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • genetiska uppgifter
  • biometriska uppgifter
  • uppgifter om hälsa
  • uppgifter om en fysisk persons sexualliv och sexuell läggning.

Exempel på känsliga personuppgifter kan således vara uppgifter om

  • en persons medlemskap i ett trossamfund
  • att en person har lämnat bidrag till ett politiskt parti
  • att en person har skadat sin fot
  • att en person är sjukskriven.

Utgångspunkten enligt EU:s dataskyddsförordning och BDL är att känsliga personuppgifter inte alls får behandlas. Både förordningen och BDL tillåter dock att behandling får ske enligt vissa angivna förutsättningar genom att det i sig föreskrivet i nationell rätt, antingen genom generell reglering (3 kap. 2 – 8 §§ den kompletterande dataskyddslagen eller 1 kap. 5 § BDL) eller i sektorsspecifik reglering.

Sökförbud på känsliga uppgifter

Både BDL och den kompletterande dataskyddslagen har som utgångspunkt ett generellt sökförbud på känsliga personuppgifter. Undantag medges i vissa fall då syftet med sökningen är avgörande (3 kap. 3 § kompletterande dataskyddslag och 2 kap. 14 § BDL). T.ex. är Kristen ett vanligt personnamn som man får använda vid sökning om syftet är att identifiera en person, men det är inte tillåtet som sökbegrepp om syftet är att kartlägga uppgifter som avslöjar religiös övertygelse. Syftet och ändamålet med en sökning hos Skatteverket måste således vara att t.ex. utöva tillsyn, ta fram verksamhetsstatistik eller för registervård.

Personuppgifter om lagöverträdelser i EU:s dataskyddsförordning

Till skillnad från BDL finns det i EU:s dataskyddsförordning särskilda bestämmelser för om och i så fall hur personuppgifter om lagöverträdelser får behandlas. Med uttrycket personuppgifter om lagöverträdelser menas personuppgifter som handlar om brott, domar i brottmål eller straffprocessuella tvångsmedel.

Exempel på personuppgifter om lagöverträdelser är uppgifter om

  • att egendom har tagits i beslag från en person
  • att en person har dömts för brott
  • att en person har eller kan ha begått ett brott, även om det inte finns någon dom om brottet

Behandling av personuppgifter

Med behandling av personuppgifter menas all hantering som görs med personuppgifter, oavsett om det sker elektroniskt eller på annat sätt. Det kan t.ex. vara att man

  • samlar in personuppgifter
  • registrerar personuppgifter
  • använder personuppgifter
  • lagrar personuppgifter
  • bearbetar personuppgifter
  • sammanställer personuppgifter
  • samkör personuppgifter
  • skriver ut personuppgifter
  • sprider personuppgifter
  • förstör personuppgifter.

Även utlämnande av personuppgifter som behandlas elektroniskt är en behandling oavsett av om utlämnandet görs muntligen, på papper eller i elektronisk form (se SOU 1997:39 och SOU 2003:40).

Rättsfall: behandling av personuppgifter på en webbplats

EU-domstolen har uttalat att det är en ”behandling av personuppgifter som helt eller delvis företas på automatisk väg” när man nämner olika personer på en webbplats, med namn eller på annat sätt, t.ex. med telefonnummer eller med uppgifter om deras arbetsförhållanden och fritidsintressen (C-101/01, Bodil Lindqvist).

Personnummer och samordningsnummer

EU:s medlemsstater får närmare bestämma villkoren för behandling av nationella identifikationsnummer och andra vedertagna sätt för identifiering. Det krävs då att förordningens bestämmelser om de registrerades rättigheter och friheter iakttas. (artikel 87 EU:s dataskyddsförordning).

Skatteverket får behandla personnummer och samordningsnummer utan samtycke bara när det är klart motiverat med hänsyn till någon av följande förutsättningar (3 kap. 10 § den kompletterande dataskyddslagen):

  • ändamålet med behandlingen
  • vikten av en säker identifiering
  • något annat beaktansvärt skäl.

I vissa av de särskilda registerförfattningar som gäller för Skatteverkets olika verksamheter finns bestämmelser som tillåter behandling av personnummer.

Referenser på sidan

Domar & beslut

  • EU-dom C-101/01 [1]

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3]

Lagar & förordningar

  • Brottsdatalag (2018:1177) [1] [2] [3] [4]
  • Lag (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet [1] [2]
  • Lag (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet [1]
  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2] [3] [4]