OBS: Detta är utgåva 2023.16. Visa senaste utgåvan.

När Skatteverket behandlar personuppgifter i folkbokföringsverksamheten måste verket följa principerna i EU:s dataskyddsförordning om bland annat laglighet, ändamålsbegränsning och säkerhet. De vanligaste rättsliga grunderna i folkbokföringsverksamheten är allmänt intresse och myndighetsutövning samt rättslig förpliktelse.

Dessutom finns det bestämmelser om sekretess för uppgifter i folkbokföringsverksamheten.

Principer för behandling av personuppgifter

När Skatteverket behandlar personuppgifter inom folkbokföringsverksamheten ska artikel 5 i EU:s dataskyddsförordning om principer för behandling av personuppgifter tillämpas. Dessa principer är

  • laglighet, korrekthet och öppenhet
  • ändamålsbegränsning
  • uppgiftsminimering
  • riktighet
  • lagringsminimering
  • integritet och konfidentialitet.

Laglig behandling av personuppgifter

Skatteverket måste alltid ha minst en rättslig grund för varje behandling av personuppgifter i folkbokföringsverksamheten, annars är behandlingen inte laglig och därmed inte tillåten (artikel 6 i EU:s dataskyddsförordning). I folkbokföringsverksamheten är de rättsliga grunderna vanligtvis allmänt intresse, myndighetsutövning och rättslig förpliktelse. Dessa rättsliga grunder, som anges i artikel 6, ska fastställas i enlighet med antingen unionsrätten eller svensk rätt. Det innebär att rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning måste vara rättsligt förankrade i unionsrätten eller svensk rätt. Kraven kan jämföras med regleringen i 5 § FL om att myndigheter endast får vidta åtgärder som har stöd i rättsordningen.

I folkbokföringsverksamheten är folkbokföringslagen, föräldrabalken, äktenskapsbalken och lagen om personnamn exempel på nationella författningar varigenom den rättsliga grunden fastställs. Genom bestämmelser i de lagarna ges Skatteverket en skyldighet att vidta åtgärder som innefattar behandling av personuppgifter. Regleringen bildar då behandlingens rättsliga grund. En registerlag, t.ex. FdbL, utgör normalt inte i sig själv en rättslig grund för behandling av personuppgifter i folkbokföringsverksamhetens kärnverksamhet.

Ändamål för behandling av personuppgifter

Kärnverksamheten för folkbokföringsverksamheten är att föra och tillhandahålla uppdaterade uppgifter i folkbokföringsdatabasen till andra myndigheter och till samhället i stort. Skatteverket får bara behandla insamlade uppgifter i folkbokföringsverksamheten för särskilda, i förväg uttryckligt bestämda och berättigade ändamål. FdbL räknar upp för vilka ändamål Skatteverket får behandla uppgifter i folkbokföringsverksamheten (1 kap. 4 § FdbL). Dessa ändamål anger den yttersta ramen för när personuppgifterna får behandlas. De angivna ändamålen gäller för behandling av uppgifter både i och utanför folkbokföringsdatabasen. Bestämmelserna om ändamål gäller även vid behandling av uppgifter om avlidna (1 kap. 1 § andra stycket FdbL).

Behandling för primära ändamål

Skatteverket får behandla personuppgifter för att tillhandahålla information som behövs för följande ändamål (1 kap. 4 § första stycket FdbL):

  • Behandla, kontrollera och analysera identifieringsuppgifter för fysiska personer och andra folkbokföringsuppgifter. Detta innefattar att fullgöra vissa kvalitetskontroller när uppgifter ska registreras i databasen samt att göra kontroller och analyser av riktigheten av registrerade uppgifter. Arbetet förutsätter att bl.a. urvalskontroller görs, det vill säga analyser av vilka personer som ska granskas.
  • Handlägga folkbokföringsärenden, d.v.s. samtliga ärenden som Skatteverket handlägger i folkbokföringsverksamheten, ärenden enligt folkbokföringslagen men även t.ex. ärenden enligt ÄktB, FB och lag (2016:1013) om personnamn (prop. 2000/01:33 s. 205).
  • Fullgöra underrättelseskyldighet enligt lag eller förordning t.ex. skyldigheten att underrätta SCB om att myndigheten registrerat adoption, invandring eller utvandring.
  • Framställa personbevis och andra registerutdrag, t.ex. via Skatteverkets e-tjänst.
  • Aktualisera, komplettera och kontrollera personuppgifter, t.ex. via aviseringssystemet Navet.
  • Göra urval av personuppgifter, t.ex. via aviseringssystemet Navet.
  • Utöva intern tillsyn, kontrollera, följa upp och planera folkbokföringsverksamheten, d.v.s. kartlägga verksamheten för åtgärder som ska vidtas i framtiden.

Behandling för sekundära ändamål

Uppgifter som Skatteverket behandlar för något av de primära ändamålen får även behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning (1 kap. 4 § andra stycket första meningen FdbL). Uppgifter får behandlas för att tillhandahålla information inte bara i de fall det finns en skyldighet att lämna ut uppgifter, utan även i andra fall då det finns en bestämmelse i lag eller förordning som tillåter uppgiftsutlämnande (prop. 2017/18:95 s. 107). Ändamålet för behandlingen är därmed tillåtet, men utlämnandet måste även basera sig på en bestämmelse i lag eller förordning som då kommer att utgöra den rättsliga grunden. En sådan kan vara 6 kap. 5 § OSL eller offentlighetsprincipen (2 kap. TF).

Behandling för andra ändamål enligt finalitetsprincipen

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna från början samlades in (1 kap. 4 § andra stycket sista meningen FdbL). Detta brukar kallas finalitetsprincipen och innebär att uppgifter som har samlats in för ett ändamål senare får användas för ett annat ändamål så länge det är förenligt med det ursprungliga ändamålet. Vad som är ett förenligt ändamål får bedömas från fall till fall. Vid den prövningen bör man utgå från vad en registrerad person rimligen kan förvänta sig för ny behandling mot bakgrund av det ursprungliga ändamålet.

I EU:s dataskyddsförordning benämns finalitetsprincipen som ändamålsbegränsning.

Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 EU:s dataskyddsförordning ska inte anses vara oförenlig med insamlingsändamålen (prop. 2017/18:95 s. 54 f.).

Säkerhet vid behandling av personuppgifter

När Skatteverket behandlar uppgifter i folkbokföringsverksamheten måste myndigheten säkerställa att det finns en lämplig nivå på säkerheten, både tekniskt och organisatoriskt.

Referenser på sidan

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2]

Lagar & förordningar

  • Förvaltningslag (2017:900) [1]
  • Föräldrabalk (1949:381) [1]
  • Lag (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet [1] [2] [3] [4] [5]
  • Lag (2016:1013) om personnamn [1]
  • Offentlighets- och sekretesslag (2009:400) [1]
  • Tryckfrihetsförordning (1949:105) [1]
  • Äktenskapsbalk (1987:230) [1]

Propositioner

  • Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning [1] [2]
  • Proposition 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution [1]