Ansvar och krav vid behandling av personuppgifter

Skatteverkets personuppgiftsansvar

Personuppgiftsansvar är ett centralt begrepp i brottsdatalagen. Utgångspunkten är att det alltid ska finnas någon som bär ansvaret för att dataskyddsreglerna följs vid behandling av personuppgifter och som den registrerade kan vända sig till för att göra sina rättigheter gällande.

Den som ensam eller tillsammans med andra bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till har ansvaret för behandlingen och är personuppgiftsansvarig (1 kap. 6 § BDL). Skatteverket är personuppgiftsansvarig för den personuppgiftsbehandling som görs inom Skatteverket. Ansvaret omfattar både personuppgiftsbehandling som förekommer vid Skatteverket och den behandling som personuppgiftsbiträden gör på Skatteverkets vägnar. Helhetsansvaret har betydelse för det skadeståndsrättsliga ansvaret och för eventuella sanktionsavgifter.

När en anställd hos Skatteverket behandlar personuppgifter för att utföra sina arbetsuppgifter, är det inte den anställda som är personuppgiftsansvarig för behandlingarna utan Skatteverket. En anställd ska behandla personuppgifter i enlighet med de instruktioner som Skatteverket ger.

För att kunna vara personuppgiftsansvarig för behandling enligt brottsdatalagen måste myndigheten också vara behörig myndighet. I SBDL utpekas Skatteverket som personuppgiftsansvarigt för den behandling som verket ska utföra i sin brottsbekämpande verksamhet (1 kap. 2 § SBDL).

Det kan även finnas mer än en personuppgiftsansvarig för en behandling, t.ex. om flera myndigheter har en gemensam databas. 3 kap. 20 § BDL innehåller bestämmelser om gemensamt personuppgiftsansvar. De ansvariga myndigheterna ska i så fall reglera sina respektive förpliktelser i en skriftlig överenskommelse (3 kap. 22 § BDF). Den europeiska dataskyddsstyrelsen har gett ut vägledning i hur detta kan bestämmas.

Regelverken som är tillämpliga för Skatteverkets brottsbekämpande verksamhet och övriga behöriga myndigheter innebär i regel att ansvaret är väl avgränsat mellan myndigheterna vilket i sin tur medför att gemensamt personuppgiftsansvar sällan borde förekomma i dessa fall.

Vad personuppgiftsansvaret innefattar

Skatteverket ansvarar för att principerna om personuppgiftsbehandling följs. Som personuppgiftsansvarig måste Skatteverket kunna visa att behandlingen av personuppgifter är författningsenlig och att den registrerades rättigheter skyddas genom att vidta lämpliga tekniska och organisatoriska åtgärder (3 kap. 2 § BDL). Åtgärderna ska ses över och uppdateras vid behov. Skatteverket måste kunna visa på vilket sätt man följer dem, t.ex. genom att

• dokumentera de behandlingar av personuppgifter som Skatteverket ansvarar för
• dokumentera de överväganden som Skatteverket har gjort inför en behandling
• ha tydlig information till de registrerade
• ha dokumenterade interna riktlinjer för dataskyddet.

Register över behandlingar

Skatteverket är skyldigt att föra ett register över alla personuppgiftsbehandlingar som verket är personuppgiftsansvarigt för. Registret ska vara skriftligt, vara tillgängligt i elektroniskt format och hållas uppdaterat (3 kap. 3 § BDF). Registret ska innehålla:

• namn och kontaktuppgifter för den personuppgiftsansvariga, gemensamt personuppgiftsansvariga samt dataskyddsombudet
• den rättsliga grunden för behandlingen
• ändamålen med behandlingen
• de kategorier av tjänstemän som har tillgång till de personuppgifter som behandlas
• en beskrivning av kategorierna av registrerade och kategorierna av personuppgifter
• de kategorier av mottagare som personuppgifterna har lämnats ut till eller kan lämnas ut till
• i tillämpliga fall, överföringar av personuppgifter till ett tredje land eller en internationell organisation
• användning av profilering
• om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter
• om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Även personuppgiftsbiträden har en skyldighet att upprätta förteckningar (3 kap. 19 § BDF).

Konsekvensbedömning

Skatteverket måste alltid göra en konsekvensbedömning om en behandling av personuppgifter kan antas medföra en särskild risk för intrång i de registrerades personliga integritet (3 kap. 7 § BDL). En konsekvensbedömning kan öka förståelsen för integritetsrisker. Bedömningen kan också ge stöd vid val av säkerhetsåtgärder och tekniska lösningar. En konsekvensbedömning kan vara nödvändig för behandling av personuppgifter i övriga fall även om det i formell mening inte krävs enligt lagen. Det kan exempelvis vara nödvändigt för att man ska kunna bedöma vilka säkerhets- och skyddsåtgärder som krävs. Dataskyddsregleringen förutsätter i allmänhet att den som ansvarar för behandlingen säkerställer att bestämmelserna följs med utgångspunkt i ett riskbaserat arbetssätt och är också ett sätt att visa de registrerade och Integritetsskyddsmyndigheten att Skatteverket följer EU:s dataskyddsreglering. En konsekvensbedömning ska inte vara en engångsföreteelse. Bedömningen bör omprövas och uppdateras löpande.

Förhandssamråd

Vid en konsekvensbedömning ska Skatteverket bl.a. dokumentera vilka säkerhetsåtgärder som kommer att vidtas. Om det skulle visa sig att det finns en hög risk med personuppgiftsbehandlingen trots säkerhetsåtgärderna ska Skatteverket samråda med Integritetsskyddsmyndigheten innan verket påbörjar behandlingen (3 kap. 7 § BDL). Ett sådant exempel är om riskerna inte kan begränsas tillräckligt genom de åtgärder som är rimliga med tanke på tillgänglig teknik och kostnader för att åtgärda riskerna. Av 3 kap. 8 § BDF framgår vilka slags uppgifter Skatteverket ska lämna till Integritetsskyddsmyndigheten vid ett förhandssamråd.

Krav på säkerhet

Brottsdatalagen innehåller bestämmelser om krav på säkerhet vid behandling av personuppgifter för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan avsiktlig skada (3 kap. 2 och 8 §§ BDL och 3 kap. 11 § BDF).

Syftet med bestämmelserna om säkerhetsåtgärder är att skydda de registrerade personernas personliga integritet.

Risk- och sårbarhetsanalyser

Innan en personuppgiftsbehandling påbörjas ska Skatteverket göra en bedömning av vad som är en lämplig säkerhetsnivå för behandlingen. I denna bedömning ska Skatteverket ta hänsyn till samtliga omständigheter kring behandlingen. För att göra det på ett strukturerat sätt bör Skatteverket göra en risk- och sårbarhetsanalys innan en tänkt behandling av personuppgifter påbörjas. En sådan analys kan användas som underlag för att bedöma vilken säkerhetsnivå som är lämplig och vilka säkerhetsåtgärder som behöver vidtas.

Inbyggt dataskydd

I dataskyddsregleringen finns det särskilt uttryckt att integritetsaspekterna ska ha arbetats in och beaktats från förstudie och kravställning via design och utveckling, till användning och avveckling av it-systemen. Som personuppgiftsansvarig ska Skatteverket ha ett inbyggt dataskydd. Genom att integritetsfrågorna ska beaktas under hela den period som personuppgifter behandlas i systemen kan säkerheten höjas och på så sätt medföra att behandlingen blir korrekt och författningsenlig (3 kap. 3 § BDL, 3 kap. 1 § BDF och prop. 2017/18:232 s. 174).

Dataskydd som standard

Det ska som huvudregel inte vara möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen i ett it-system. Det kan i mer praktisk mening beskrivas som att ett system ska styra användaren så att behandlingen utförs i enlighet med dataskyddsregleringen. Exempelvis kan grundinställningarna i ett system medföra att information inte visas mer än nödvändigt eller på annat sätt behandlas (3 kap. 4 § BDL, jfr prop. 2017/18:232 s. 175).

Loggning i automatiserade system

Brottsdatalagen innehåller bestämmelser om krav på säkerhet vid behandling av personuppgifter. I säkerhetsarbetet ingår att föra loggar. I brottsdatalagen regleras detta uttryckligen genom att särskilt anges att det ska föras loggar över personuppgiftsbehandlingen i den utsträckning som det är särskilt föreskrivet (3 kap 5 § BDL). Vilka typer av behandlingar som ska loggas i Skatteverkets brottsbekämpande verksamhet framgår av 3 kap. 4 § BDF.

Loggning är en säkerhetsåtgärd där behandlingshistorik sparas och möjliggör efterkontroll av den behandling som sker i systemet. Det skapar också förutsättningar för att få information om externa och interna angrepp mot ett system. Loggning är en viktig åtgärd för det interna säkerhetsarbetet.

Det särskilda kravet på loggning avser sådana system som är särskilt utformade eller anpassade där personuppgifter behandlas mer eller mindre strukturerat. Som exempel nämns verksamhetsstöd i form av dokument- eller ärendehanteringssystem och olika typer av register och databaser. Däremot omfattas inte standardprogram som Word eller Outlook av kravet på loggning (jfr prop. 2017/18:232 s. 177).

Tillgången till personuppgifter

Eftersom Skatteverket har stora mängder uppgifter samlade så att integritetskänsliga uppgifter enkelt är sökbara, finns det en uppenbar risk för intrång i den personliga integriteten. Att tillgången till personuppgifter i så stor utsträckning som möjligt begränsas till vad var och en behöver för att utföra sitt arbete i verksamheten är en viktig åtgärd för att värna om den registrerades integritet (prop. 2017/18:232 s. 180).

Skatteverket ska som personuppgiftsansvarig också se till att tillgången till personuppgifter begränsas till vad de anställda behöver för att kunna fullgöra sina arbetsuppgifter (3 kap. 6 § BDL och 3 kap. 5–7 §§ BDF).

Behovet av säkerhetsåtgärder ska löpande ses över och vid behov uppdateras ( prop. 2017/18:232 s. 453).

Det kan finnas bestämmelser om säkerhetsåtgärder även i andra lagar och förordningar, t.ex. ArkivL. När så är fallet ska Skatteverket tillämpa även de bestämmelserna på den personuppgiftsbehandling som görs i Skatteverkets verksamhet. Kravet på informationssäkerhet finns också i bl.a. säkerhetsskyddslagen (2018:585) och förordningen (2015:1052) om krisberedskap och bevakningsansvarigas myndigheters åtgärder vid höjd beredskap.

Personuppgiftsbiträden

Skatteverket kan under vissa förutsättningar överlåta behandlingen av personuppgifter till någon annan. Den som behandlingen överlåts till kallas personuppgiftsbiträde (3 kap. 16 § BDL). Ett personuppgiftsbiträde finns alltid utanför Skatteverkets organisation, t.ex. ett externt företag. Den som är anställd hos Skatteverket är inte personuppgiftsbiträde.

Det är bara själva behandlingen av personuppgifterna som kan överlåtas till ett personuppgiftsbiträde, ansvaret för behandlingen kan inte överlåtas till någon annan.

Exempel på personuppgiftsbiträde som Skatteverket anlitar är Statens servicecenter. Statens servicecenter behandlar personuppgifter om Skatteverkets anställda på uppdrag av Skatteverket.

När kan Skatteverket anlita ett personuppgiftsbiträde?

En förutsättning för att Skatteverket ska kunna anlita ett personuppgiftsbiträde är att sekretess inte hindrar att Skatteverket lämnar ut uppgifterna. En annan förutsättning är att Skatteverket har en rättslig grund för behandlingen av personuppgifterna. Skatteverket ska dokumentera sitt ställningstagande i dessa rättsliga frågor innan Skatteverket anlitar ett personuppgiftsbiträde för behandling av Skatteverkets personuppgifter.

Innan ett personuppgiftsbiträde anlitas ska Skatteverket säkerställa att personuppgiftsbiträdet kan vidta nödvändiga säkerhetsåtgärder och att biträdet verkligen vidtar dessa säkerhetsåtgärder (3 kap. 16 § första stycket BDL). Om Skatteverket anlitar ett personuppgiftsbiträde ska parterna skriva ett avtal om personuppgiftsbiträdets behandling av personuppgifter för Skatteverkets räkning, ett s.k. personuppgiftsbiträdesavtal (3 kap. 16 § andra stycket BDL).

Personuppgiftsbiträdesavtal

Skatteverket ska skriva ett personuppgiftsbiträdesavtal med personuppgiftsbiträdet (3 kap. 16 § BDL). Syftet med avtalet är bland annat att garantera att säkerhet och sekretess för personuppgifterna inte påverkas negativt på grund av att den personuppgiftsansvariga anlitar ett personuppgiftsbiträde i stället för att utföra personuppgiftsbehandlingen själv.

I ett personuppgiftsbiträdesavtal ska bland annat följande anges (3 kap. 18 § BDL och 3 kap. 17 § BDF):

• Personuppgiftsbiträdet, och den som arbetar under biträdets ledning, får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvariga.
• Personuppgiftsbiträdet ska säkerställa att personer som behandlar uppgifterna har tystnadsplikt.

Det är Skatteverket som personuppgiftsansvarig som har ansvar för att ett personuppgiftsbiträdesavtal upprättas. Ett sådant avtal ska skrivas innan personuppgiftsbiträdet påbörjar behandlingen av personuppgifterna. Personuppgiftsbiträdesavtalet ska även innehålla instruktioner för personuppgiftsbehandlingen.

Personuppgiftsincidenter

Skatteverket måste ha rutiner för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. En personuppgiftsincident är en säkerhetsincident som kan innebära ett otillbörligt intrång i den registrerades personliga integritet (1 kap. 6 § BDL).

En personuppgiftsincident har inträffat t.ex. om uppgifter om en eller flera registrerade personer har

• blivit förstörda
• gått förlorade på annat sätt
• kommit i orätta händer.

Allmänhetens förtroende för Skatteverket kan påverkas om en personuppgiftsincident inte skulle hanteras på ett lämpligt sätt. En personuppgiftsincident kan även leda till sanktionsavgifter.

Anmälan om personuppgiftsincident

Skatteverket måste anmäla vissa typer av personuppgiftsincidenter till Integritetsskyddsmyndigheten. Anmälan ska göras inom 72 timmar efter det att överträdelsen har upptäckts. Anmälan ska innehålla (3 kap. 9 § BDL och 3 kap. 12 § BDF):

• en beskrivning av personuppgiftsincidentens art och när den inträffade, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs
• en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten
• en beskrivning av de åtgärder som den personuppgiftsansvariga har vidtagit eller föreslagit för att åtgärda eller mildra konsekvenserna av personuppgiftsincidenten
• genomförda eller planerade underrättelser till registrerade
• namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas.

Information om personuppgiftsincident

Om det har skett en personuppgiftsincident som medfört eller som kan antas medföra en särskild risk för otillbörligt intrång i den registrerades personliga integritet ska Skatteverket utan onödigt dröjsmål informera de registrerade (3 kap. 10 § BDL och 3 kap. 13 § BDF).

Informationen ska innehålla:

• en tydlig beskrivning av orsaken till personuppgiftsincidenten och när den inträffade
• troliga följder av personuppgiftsincidenten
• en beskrivning av hur Skatteverket hanterar personuppgiftsincidenten och vad myndigheten gör för att mildra följderna av personuppgiftsincidenten
• åtgärder som den registrerade kan vidta för att begränsa skadan
• namn och kontaktuppgifter till dataskyddsombudet.

Syftet med informationen är att de registrerade ska kunna få hjälp med att mildra följderna av en personuppgiftsincident. Om den personuppgiftsansvarige tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av incidenten eller säkerställt att det inte längre finns en särskild risk för otillbörligt intrång i registrerades personliga integritet gäller inte underrättelseskyldigheten. Om det skulle krävas en oproportionerlig ansträngning att informera de registrerade kan informationen i stället ges till allmänheten.

Den personuppgiftsansvariga får i vissa situationer underlåta att informera den registrerade (3 kap. 11 § BDL). Den personuppgiftsansvarige får avstå från att lämna information om personuppgiftsincidenter i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifterna inte får lämnas ut. Det är främst sekretess och tystnadsplikt enligt OSL som avses. I första hand bör informationen senareläggas eller begränsas. Bara om det är absolut nödvändigt med hänsyn till de intressen som anges i paragrafen bör den personuppgiftsansvarige helt underlåta att informera den registrerade (prop. 2017/18:232 s. 459).