Skatteverket har en databas med uppgifter om identitetskort för folkbokförda i Sverige. För behandling av personuppgifter i id-kortsverksamheten gäller de kompletterade bestämmelserna i lagen om identitetskort för folkbokförda i Sverige, förordningen om identitetskort för folkbokförda i Sverige och de allmänna dataskyddsbestämmelserna.
Det finns även bestämmelser om sekretess för uppgifter i id-kortsverksamheten.
Skatteverket ska ha en databas med uppgifter om identitetskort för folkbokförda i Sverige: id-kortsdatabasen. Databasen ska föras med hjälp av automatiserad behandling. När Skatteverket behandlar personuppgifter automatiserat för id-kortsverksamheten ska Skatteverket tillämpa
I EU:s dataskyddsförordning finns allmänna dataskyddsbestämmelser för när och hur man får behandla personuppgifter, och de bestämmelserna kan i vissa fall kompletteras av nationella författningar. I Sverige har vi den kompletterande dataskyddslagen med tillhörande förordning och IdL med tillhörande förordning. Det innebär att Skatteverket alltid ska tillämpa EU:s dataskyddsförordning och i tillämpliga fall kompletterande nationella dataskyddsbestämmelser.
Den kompletterande dataskyddslagen är subsidiär. Det innebär att om det finns en avvikande bestämmelse i en annan lag eller förordning så gäller de i stället. Om det finns någon avvikande bestämmelse i IdL eller IdF ska alltså de tillämpas och inte den kompletterande dataskyddslagen med tillhörande förordning (10 § andra stycket IdL och 1 kap. 6 § kompletterande dataskyddslag).
Utgångspunkten är att EU:s dataskyddsförordning alltid ska tillämpas eftersom nationella författningar kompletterar EU-förordningen. I vissa fall kan dock en medlemsstat begränsa den registrerades rättigheter genom författning med stöd av artikel 23 i EU:s dataskyddsförordning.
Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket gör i id-kortsverksamheten (11 § IdL och 2 § IdF).
Hur Skatteverket får behandla personuppgifter i id-kortsverksamheten styrs av IdL och IdF.
Skatteverket får bara behandla personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b i EU:s dataskyddsförordning).
Ändamålen för behandling av personuppgifter i Skatteverkets idkortsverksamhet anges i IdL. Skatteverket får enligt 12 § IdL behandla personuppgifter i id-kortsdatabasen om det behövs
Ett exempel på när uppgifter kan lämnas ut är när det finns en uppgiftsskyldighet enligt 7 och 9 § lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet. Skyldigheten innebär att id-kortverksamheten under vissa förutsättningar ska lämna uppgifter till Skatteverkets brottsbekämpande verksamhet, det vill säga Skattebrottsenheten.
Skatteverket får också behandla personuppgifter i id-kortsdatabasen för historiska, statistiska eller vetenskapliga ändamål.
Skatteverket får inte behandla personuppgifter i id-kortsdatabasen för något ändamål som är oförenligt med det ursprungliga ändamålet. Det kallas finalitetsprincipen. EU:s dataskyddsförordning benämner det ändamålsbegränsning.
Id-kortsdatabasen består av en uppgiftsdel och en handlingsdel.
Uppgiftsdelen innehåller uppgifter om bland annat
Skatteverket får hämta de uppgifterna från folkbokföringsdatabasen (11 § första stycket och 12 § IdF).
Handlingsdelen innehåller handlingar som har kommit in till Skatteverket och handlingar som Skatteverket har upprättat i ett ärende (11 § andra stycket IdF).
Skatteverket får bara behandla känsliga personuppgifter i id-kortsdatabasen antingen om (13 § IdL):
Skatteverket får i id-kortsdatabasen behandla en kopia av den ansiktsbild som finns på ett identitetskort (14 § IdL).
Vid en elektronisk sökning i id-kortsdatabasen får Skatteverket inte använda följande för att göra sökningen:
I övrigt finns det ingen begränsning av vilka sökbegrepp som Skatteverket får använda vid en elektronisk sökning i id-kortsdatabasen (17 § IdL).
Det finns inte några särskilda bestämmelser om t.ex. grundläggande krav på behandlingen, säkerheten vid behandlingen eller överföring till tredje land i IdL eller IdF. Skatteverket ska därför vid behandling av personuppgifter i id-kortsverksamheten tillämpa de allmänna dataskyddsbestämmelserna om bland annat
Att lämna ut personuppgifter som behandlas elektroniskt innebär i sig en behandling av uppgifterna. Skatteverket kan lämna ut uppgifter på olika sätt:
När man ska lämna ut uppgifterna i elektronisk form måste man ta särskild hänsyn till kravet på säkerhet och om det finns särskilda bestämmelser om hur det får göras. Läs även om förutsättningarna för att lämna ut personuppgifter som behandlas elektroniskt.
Skatteverket får lämna ut uppgift om ett identitetskorts giltighetstid genom direktåtkomst (16 § IdL), men inga andra uppgifter från id-kortsverksamheten. I övrigt saknas bestämmelser om att Skatteverket får lämna ut uppgifter i elektronisk form. Det finns alltså inte några begränsningar i IdL som innebär att det inte är tillåtet att lämna ut personuppgifter från id-kortsdatabasen på medium för automatiserad behandling. Det kan dock finnas andra bestämmelser som hindrar ett sådant utlämnande, t.ex. kravet på säker hantering av personuppgifter eller sekretessbestämmelser. En prövning måste göras i varje enskilt fall.
Innan Skatteverket lämnar ut några uppgifter ska Skatteverket göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte. I offentlighets- och sekretesslagen (2009:400) finns sekretessbestämmelser för id-kortsverksamheten.
Om uppgifterna innehåller personuppgifter måste Skatteverket även ta ställning till om mottagarens behandling av uppgifterna är förenlig med tillämplig dataskyddsreglering. Sekretess gäller för uppgifterna om det kan antas att ett utlämnande skulle medföra att personuppgifterna behandlas i strid med dataskyddsregleringen, se 21 kap. 7 § OSL.
När och hur Skatteverket ska ta ut en avgift för att lämna ut uppgifter beskrivs på sidan om att lämna ut en allmän handling.
Skatteverket är ansvarigt för den personuppgiftsbehandling som görs inom myndigheten. Skatteverket ska i vissa fall lämna information om sina behandlingar.
Det finns inte några bestämmelser i IdL eller IdF om att Skatteverket ska lämna information om den behandling av personuppgifter som görs. Skatteverket ska därför tillämpa de allmänna dataskyddsbestämmelserna om att informera om behandling av personuppgifter.
Uppgifter och handlingar i id-kortsdatabasen ska gallras senast ett år efter det att giltighetstiden för ett identitetskort har gått ut. Om ansökan om identitetskort har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har fått laga kraft (13 § första stycket IdF).
Riksarkivet har meddelat föreskrifter om bevarande och gallring hos Skatteverket för ärenden om identitetskort (RA-MS 2011:33 ändrad genom RA-MS 2018:29). I bilagor till föreskriften ges detaljerade bestämmelser för bevarande och gallring av pappershandlingar och elektroniska handlingar i id-kortsdatabasen.
Det finns särskilda bestämmelser om den registrerades rättigheter i kapitel III i EU:s dataskyddsförordning. Bestämmelserna avser bl.a. den skyldighet som en personuppgiftsansvarig har att rätta felaktigt behandlade personuppgifter och det skadeståndsansvar som den personuppgiftsansvariga har. Vissa beslut som Skatteverket fattar i egenskap av personuppgiftsansvarig får överklagas.
Skatteverket ska tillämpa bestämmelserna om registrerades rättigheter i EU:s dataskyddsförordning vid behandling av personuppgifter enligt IdL, IdF och de allmänna dataskyddsbestämmelserna.
En behandling av personuppgifter som är tillåten enligt IdL får göras även om den registrerade gör en invändning enligt artikel 21.1 EU:s dataskyddsförordning (18 § IdL).
Om Skatteverket behandlar personuppgifter felaktigt i id-kortsverksamheten kan verket behöva betala skadestånd enligt EU:s dataskyddsförordning (7 kap. 1 § kompletterande dataskyddslag).
Beslut om den registrerades rättigheter enligt artiklarna 12.5 och 15–21 i EU:s dataskyddsförordning som har meddelats av Skatteverket i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol (7 kap. 2 § kompletterande dataskyddslag).