Lämna ut personuppgifter elektroniskt

När lämnar Skatteverket ut personuppgifter?

Att lämna ut personuppgifter och andra uppgifter kan bli aktuellt i olika situationer, t.ex. för att

• kommunicera uppgifter med en part i ett ärende
• lämna ut uppgifter med anledning av en begäran om att ta del av en allmän handling
• lämna information till en annan myndighet.

Förutsättningar för att lämna ut personuppgifter elektroniskt

Att lämna ut personuppgifter elektroniskt innebär i sig ytterligare en behandling av uppgifterna. Skatteverket får bara lämna ut personuppgifter elektroniskt om följande förutsättningar är uppfyllda

• det finns stöd för den behandling som utlämnandet innebär
• utlämnandet hindras inte av sekretess eller användarbegränsning
• utlämnandet kan ske på ett säkert sätt.

I de fall en särskild registerförfattning är tillämplig på utlämnandet så behöver Skatteverket beakta förekommande bestämmelser om hur uppgifterna får lämnas ut.

De grundläggande principerna i EU:s dataskyddsförordning ska tillämpas vid ett utlämnade

Skatteverket måste alltid ha minst en rättslig grund för varje behandling av personuppgifter (artikel 6 i EU:s dataskyddsförordning). Det gäller även för den behandling som sker för att lämna ut uppgifter från Skatteverket till en extern part eller mellan olika verksamhetsgrenar inom verket. Om det inte finns någon rättslig grund för utlämnandet är behandlingen inte laglig och ett utlämnande är därmed inte tillåtet.

Ett exempel på en bestämmelse som kan vara en rättslig grund vid ett utlämnande är 6 kap. 5 § OSL. Bestämmelsen medför en rättslig förpliktelse att lämna ut uppgifter på begäran, om uppgifterna inte är sekretessbelagda eller det skulle hindra arbetets behöriga gång.

Vid elektroniskt utlämnande av personuppgifter ska Skatteverket även beakta de grundläggande principerna, t.ex. principen om ändamålsbegränsning. Det innebär bl.a. att ett utlämnande av uppgifter måste vara förenligt med det eller de ändamål som Skatteverket självt har för behandlingen av personuppgifterna.

Om det i lag eller förordning är reglerat att Skatteverket ska eller får lämna ut personuppgifter behöver inte Skatteverket pröva om utlämnandet är förenligt med det ursprungliga ändamålet. I sådana fall är det tillräckligt att pröva ett utlämnande enligt dessa bestämmelser i sig (HFD 2021 ref. 10).

Ett utlämnande av personuppgifter ska även ske på ett tillräckligt säkert sätt för att det ska vara förenligt med EU:s dataskyddsförordning. Det innebär att Skatteverket ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som myndigheten lämnar ut. Som exempel på säkerhetsåtgärder kan nämnas olika säkra former för utlämnande, t.ex. via Mina meddelanden och krypterade förbindelser.

Lämna ut personuppgifter för att informera om behandlingen

Skatteverket får lämna ut personuppgifter för att uppfylla sin skyldighet att lämna information när den registrerade begär ett s.k. registerutdrag. Innan Skatteverket lämnar ut uppgifterna ska verket även göra en sekretessprövning.

Lämna ut känsliga personuppgifter inom arbetsrätten

Som arbetsgivare behandlar Skatteverket känsliga personuppgifter. Dessa personuppgifter får bara lämnas ut till tredje man om det inom arbetsrätten finns en skyldighet för Skatteverket att göra det eller om den registrerade uttryckligen samtycker till att uppgifterna lämnas ut (3 kap. 2 § kompletterande dataskyddslag). Innan Skatteverket lämnar ut uppgifterna ska verket även göra en sekretessprövning.

Lämna ut personuppgifter enligt offentlighetsprincipen

Tryckfrihetsförordningen och yttrandefrihetsgrundlagen har företräde framför EU:s dataskyddsförordning och dataskyddslagens bestämmelser. Skatteverket får därför behandla personuppgifter för att lämna ut dem i enlighet med offentlighetsprincipen (artikel 86 i EU:s dataskyddsförordning och 1 kap. 7 § kompletterande dataskyddslag).

Elektroniskt utlämnande till enskilda vid begäran

Om ett utlämnande av uppgifter kan ske med stöd av en bestämmelse om uppgiftsskyldighet eller en bestämmelse enligt vilken Skatteverket får lämna ut uppgifter så kan det även finnas särskilda bestämmelser för elektroniskt utlämnande i Skatteverkets olika registerförfattningar som måste beaktas. Det finns särskilda bestämmelser som gäller för att lämna ut personuppgifter från beskattningsverksamheten, folkbokföringsverksamheten, id-kortsverksamheten, äktenskapsregister- och bouppteckningsverksamheterna samt SPAR-verksamheten.

Begränsningsregeln

När Skatteverket ska lämna ut sammanställningar av personuppgifter ur elektroniska informationssamlingar (potentiella handlingar) finns det en viktig begränsning. Om det finns en begränsning av vilka sökbegrepp som Skatteverket får använda för sökningar i informationssamlingen gäller denna begränsning även vid en begäran om att ta del av en allmän handling (2 kap. 7 § TF). Om Skatteverket inte får göra en viss sammanställning för sin egen verksamhet, får verket inte heller göra en sådan sammanställning för att lämna ut personuppgifter i enlighet med offentlighetsprincipen.

Utlämnande till annan myndighet eller verksamhetsgren

Utlämnande av uppgifter på begäran av andra myndigheter kan ske med stöd av 6 kap. 5 § OSL om inte sekretess utgör ett hinder. Det kan också ske med stöd av en bestämmelse om uppgiftsskyldighet eller en bestämmelse enligt vilken Skatteverket får lämna ut uppgifter.

Om en myndighet får eller ska lämna ut uppgifter till annan myndighet eller annan verksamhetsgren, t.ex. med stöd av offentlighets- och sekretesslagen eller andra författningar, är det upp till myndigheten att avgöra på vilket sätt det ska göras om det inte är särskilt föreskrivet (prop. 2000/01:33 s. 111 f).

Utlämnande på eget initiativ

Om Skatteverket vill lämna ut uppgifter på eget initiativ, d.v.s. utan att en enskild, en annan myndighet eller verksamhetsgren har begärt att få ta del av handlingar eller uppgifter måste det finnas rättsligt stöd för utlämnandet. Om det inte finns ett rättsligt stöd är den behandling som utlämnandet innebär inte tillåten.

Utlämnande får bara ske när det inte hindras av sekretess

Förutom att Skatteverket måste ha rättsligt stöd för utlämnandet så får ett utlämnande bara ske om det är tillåtet enligt tillämpliga bestämmelser om sekretess. Detta gäller oavsett om utlämnande sker till enskilda, andra myndigheter eller verksamhetsgrenar. Innan Skatteverket lämnar ut uppgifter som är sekretessreglerade ska verket alltid göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut. I OSL finns sekretessbestämmelser som gäller för Skatteverkets olika verksamhetsgrenar. OSL innehåller också bestämmelser som kan bryta sekretess. Sekretessbrytande bestämmelser kan även finnas i andra författningar.

Uppgifter som omfattas av användarbegränsningar

I vissa fall omfattas uppgifter hos Skatteverket av s.k. användarbegränsningar. För det fall ett utlämnande skulle stå i strid med villkor som begränsar användningen, får ett utlämnande inte ske, jfr. exv. 9 kap. 2 § OSL.

Mottagarens behandling av uppgifterna måste vara förenlig med EU:s dataskyddsförordning eller någon kompletterande författning

Om den handling eller de uppgifter som Skatteverket ska lämna ut innehåller personuppgifter, måste Skatteverket ta ställning till om mottagarens behandling av uppgifterna är förenlig med EU:s dataskyddsförordning eller med någon författning som kompletterar EU:s dataskyddsförordning. Sekretess gäller för uppgifterna om utlämnandet kan medföra att personuppgifterna kommer att behandlas i strid med EU:s dataskyddsförordning eller den kompletterande dataskyddslagen (21 kap. 7 § OSL).

Den behandling som avses är behandlingen av personuppgifterna hos mottagaren efter att uppgifterna har lämnats ut. Detta betyder att Skatteverket kan behöva fråga mottagaren hur de behandlade personuppgifterna ska användas innan Skatteverket lämnar ut några uppgifter. Denna bestämmelse ska tillämpas oavsett i vilken form personuppgifterna lämnas ut.

Skatteverket ska normalt inte lämna ut sekretessbelagda uppgifter via e-post

Huvudregeln är att Skatteverket inte kan skicka uppgifter som omfattas av sekretess till en extern mottagare via e-post. Sekretessbelagda uppgifter får inte skickas via e-post ens till den som uppgifterna berör. Detta beror på att säkerheten vid överföringen via okrypterad e-post inte är tillräcklig för den typen av uppgifter.

JO har kritiserat Skatteverket för att i ett enskilt fall ha skickat sekretessbelagda uppgifter via e-post. JO konstaterade att sekretessbelagda uppgifter ska behandlas med stor omsorg och noggrannhet. När uppgifter som omfattas av sekretess skickas via e-post ställs därför som regel mycket höga krav på säkerhet (JO 2015-12-03, dnr 1193-2014).

Skatteverket kan lämna ut enstaka offentliga personuppgifter via e-post

Skatteverket kan skicka enstaka offentliga personuppgifter via e-post till en extern mottagare. Med enstaka menar Skatteverket högst tre stycken. Säkerheten vid överföringen via e-post är inte tillräckligt hög för en större mängd personuppgifter. Det är dock möjligt att skicka fler offentliga uppgifter till en extern mottagare via en e-brevlåda genom Mina meddelanden. Denna infrastruktur är mer säker än vanlig e-post.

Personnummer och samordningsnummer är personuppgifter som är extra skyddsvärda. Det innebär att sådana uppgifter inte får skickas via vanlig e-post. Sådana uppgifter får endast skickas elektroniskt om det kan ske på ett tillräckligt säkert sätt, t.ex. genom Mina meddelanden.

Information som är offentlig och som inte innehåller några personuppgifter kan skickas till en extern mottagare via e-post.