OBS: Detta är utgåva 2024.3. Visa senaste utgåvan.

Skatteverket har en databas med uppgifter om identitetskort för folkbokförda i Sverige. För behandling av personuppgifter i id-kortsverksamheten gäller de kompletterade bestämmelserna i lagen om identitetskort för folkbokförda i Sverige, förordningen om identitetskort för folkbokförda i Sverige och de allmänna dataskyddsbestämmelserna.

Det finns även bestämmelser om sekretess för uppgifter i id-kortsverksamheten.

Lagen om identitetskort för folkbokförda i Sverige

Skatteverket ska ha en databas med uppgifter om identitetskort för folkbokförda i Sverige: id-kortsdatabasen. Databasen ska föras med hjälp av automatiserad behandling. När Skatteverket behandlar personuppgifter automatiserat för id-kortsverksamheten ska Skatteverket tillämpa

  • EU:s dataskydds­förordning samt den kompletterande dataskyddslagen och den kompletterande dataskydds­förordningen
  • lagen (2015:899) om identitetskort för folkbokförda i Sverige (IdL)
  • förordningen (2015:904) om identitetskort för folkbokförda i Sverige (IdF).

Detta framgår av 10 § IdL och 1 § IdF.

Hur förhåller sig IdL till de allmänna dataskyddsbestämmelserna?

I EU:s dataskydds­förordning finns allmänna dataskydds­bestämmelser för när och hur man får behandla personuppgifter, och de bestämmelserna kan i vissa fall kompletteras av nationella författningar. I Sverige har vi den kompletterande dataskyddslagen med tillhörande förordning och IdL med tillhörande förordning. Det innebär att Skatteverket alltid ska tillämpa EU:s dataskyddsförordning och i tillämpliga fall kompletterande nationella dataskyddsbestämmelser.

Den kompletterande dataskyddslagen är subsidiär. Det innebär att om det finns en avvikande bestämmelse i en annan lag eller förordning så gäller de i stället. Om det finns någon avvikande bestämmelse i IdL eller IdF ska alltså de tillämpas och inte den kompletterande dataskyddslagen med tillhörande förordning (10 § andra stycket IdL och 1 kap. 6 § kompletterande dataskyddslag).

Utgångspunkten är att EU:s dataskyddsförordning alltid ska tillämpas eftersom nationella författningar kompletterar EU-förordningen. I vissa fall kan dock en medlemsstat begränsa den registrerades rättigheter genom författning med stöd av artikel 23 i EU:s dataskyddsförordning.

Personuppgiftsansvarig för behandlingen

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket gör i id-kortsverksamheten (11 § IdL och 2 § IdF).

Tillåten behandling av personuppgifter

Hur Skatteverket får behandla personuppgifter i id-kortsverksamheten styrs av IdL och IdF.

Skatteverket får bara behandla personuppgifter för vissa ändamål

Skatteverket får bara behandla personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5.1 b i EU:s dataskyddsförordning).

Ändamålen för behandling av personuppgifter i Skatteverkets idkortsverksamhet anges i IdL. Skatteverket får enligt 12 § IdL behandla personuppgifter i id-kortsdatabasen om det behövs

  • i Skatteverkets verksamhet att utfärda identitetskort
  • för att lämna ut uppgifter i enlighet med bestämmelser i lag eller förordning.

Ett exempel på när uppgifter kan lämnas ut är när det finns en uppgiftsskyldighet enligt 7 och 9 § lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet. Skyldigheten innebär att id-kortverksamheten under vissa förutsättningar ska lämna uppgifter till Skatteverkets brottsbekämpande verksamhet, det vill säga Skattebrottsenheten.

Skatteverket får också behandla personuppgifter i id-kortsdatabasen för historiska, statistiska eller vetenskapliga ändamål.

Ändamålsbegränsning

Skatteverket får inte behandla personuppgifter i id-kortsdatabasen för något ändamål som är oförenligt med det ursprungliga ändamålet. Det kallas finalitetsprincipen. EU:s dataskyddsförordning benämner det ändamålsbegränsning.

Bestämmelser för att behandla personuppgifter i id-kortsdatabasen

Id-kortsdatabasen består av en uppgiftsdel och en handlingsdel.

Uppgiftsdelen innehåller uppgifter om bland annat

  • sökandens namn, personnummer och identitetskortsnummer
  • id-kortets giltighetstid
  • en kopia av den ansiktsbild som finns på id-kortet
  • sökandens namnteckning.

Skatteverket får hämta de uppgifterna från folkbokföringsdatabasen (11 § första stycket och 12 § IdF).

Handlingsdelen innehåller handlingar som har kommit in till Skatteverket och handlingar som Skatteverket har upprättat i ett ärende (11 § andra stycket IdF).

Begränsning av möjligheten att behandla känsliga personuppgifter

Skatteverket får bara behandla känsliga personuppgifter i id-kortsdatabasen antingen om (13 § IdL):

  • uppgifterna finns i en handling som har lämnats i ett ärende, eller
  • om uppgifterna är nödvändiga för handläggningen av ärendet och därför har tillförts en handling som har upprättats i ärendet.

Rättsligt stöd för att behandla ansiktsbilden

Skatteverket får i id-kortsdatabasen behandla en kopia av den ansiktsbild som finns på ett identitetskort (14 § IdL).

Begränsning av vilka sökbegrepp som får användas

Vid en elektronisk sökning i id-kortsdatabasen får Skatteverket inte använda följande för att göra sökningen:

  • ansiktsbilden som finns på ett identitetskort
  • känsliga personuppgifter
  • uppgifter om lagöverträdelser.

I övrigt finns det ingen begränsning av vilka sökbegrepp som Skatteverket får använda vid en elektronisk sökning i id-kortsdatabasen (17 § IdL).

Grundläggande krav på behandlingen av personuppgifter

Det finns inte några särskilda bestämmelser om t.ex. grundläggande krav på behandlingen, säkerheten vid behandlingen eller överföring till tredje land i IdL eller IdF. Skatteverket ska därför vid behandling av personuppgifter i id-kortsverksamheten tillämpa de allmänna dataskyddsbestämmelserna om bland annat

  • principer för behandling av personuppgifter
  • laglig behandling av personuppgifter
  • registrerades rättigheter
  • säkerhet för personuppgifter
  • överföring av personuppgifter till tredjeländer eller internationella organisationer.

Lämna ut personuppgifter

Att lämna ut personuppgifter som behandlas elektroniskt innebär i sig en behandling av uppgifterna. Skatteverket kan lämna ut uppgifter på olika sätt:

  • muntligt
  • skriftligt på papper
  • på medium för automatiserad behandling eller direktåtkomst (elektroniskt utlämnande).

När man ska lämna ut uppgifterna i elektronisk form måste man ta särskild hänsyn till kravet på säkerhet och om det finns särskilda bestämmelser om hur det får göras.

Får Skatteverket lämna ut personuppgifter i elektronisk form?

Skatteverket får lämna ut uppgift om ett identitetskorts giltighetstid genom direktåtkomst (16 § IdL), men inga andra uppgifter från id-kortsverksamheten. I övrigt saknas bestämmelser om att Skatteverket får lämna ut uppgifter i elektronisk form. Det finns alltså inte några begränsningar i IdL som innebär att det inte är tillåtet att lämna ut personuppgifter från id-kortsdatabasen på medium för automatiserad behandling. Det kan dock finnas andra bestämmelser som hindrar ett sådant utlämnande, t.ex. kravet på säker hantering av personuppgifter eller sekretessbestämmelser. En prövning måste göras i varje enskilt fall.

Sekretessprövning av om Skatteverket kan lämna ut uppgifterna

Innan Skatteverket lämnar ut några uppgifter ska Skatteverket göra en sekretessprövning för att ta ställning till om uppgifterna kan lämnas ut eller inte. I offentlighets- och sekretesslagen (2009:400) finns sekretessbestämmelser för id-kortsverksamheten.

Om uppgifterna innehåller personuppgifter måste Skatteverket även ta ställning till om mottagarens behandling av uppgifterna är förenlig med tillämplig dataskyddsreglering. Sekretess gäller för uppgifterna om det kan antas att ett utlämnande skulle medföra att personuppgifterna behandlas i strid med dataskyddsregleringen, se 21 kap. 7 § OSL.

Avgifter för att lämna ut uppgifter

När och hur Skatteverket ska ta ut en avgift för att lämna ut uppgifter beskrivs på sidan om att lämna ut en allmän handling.

Informera om behandling av personuppgifter

Skatteverket är ansvarigt för den personuppgiftsbehandling som görs inom myndigheten. Skatteverket ska i vissa fall lämna information om sina behandlingar.

Det finns inte några bestämmelser i IdL eller IdF om att Skatteverket ska lämna information om den behandling av personuppgifter som görs. Skatteverket ska därför tillämpa de allmänna dataskyddsbestämmelserna om att informera om behandling av personuppgifter.

Gallring av personuppgifter

Uppgifter och handlingar i id-kortsdatabasen ska gallras senast ett år efter det att giltighetstiden för ett identitetskort har gått ut. Om ansökan om identitetskort har avslagits ska uppgifterna och handlingarna i databasen gallras senast ett år efter det att avslagsbeslutet har fått laga kraft (13 § första stycket IdF).

Riksarkivet har meddelat föreskrifter om bevarande och gallring hos Skatteverket för ärenden om identitetskort (RA-MS 2011:33 ändrad genom RA-MS 2018:29). I bilagor till föreskriften ges detaljerade bestämmelser för bevarande och gallring av pappershandlingar och elektroniska handlingar i id-kortsdatabasen.

Registrerades rättigheter, skadestånd och överklagande

Det finns särskilda bestämmelser om den registrerades rättigheter i kapitel III i EU:s dataskyddsförordning. Bestämmelserna avser bl.a. den skyldighet som en personuppgiftsansvarig har att rätta felaktigt behandlade personuppgifter och det skadeståndsansvar som den personuppgiftsansvariga har. Vissa beslut som Skatteverket fattar i egenskap av personuppgiftsansvarig får överklagas.

Registrerades rättigheter vid behandling av personuppgifter

Skatteverket ska tillämpa bestämmelserna om registrerades rättigheter i EU:s dataskyddsförordning vid behandling av personuppgifter enligt IdL, IdF och de allmänna dataskyddsbestämmelserna.

En behandling av personuppgifter som är tillåten enligt IdL får göras även om den registrerade gör en invändning enligt artikel 21.1 EU:s dataskyddsförordning (18 § IdL).

Skadestånd för felaktigt behandlade personuppgifter

Om Skatteverket behandlar personuppgifter felaktigt i id-kortsverksamheten kan verket behöva betala skadestånd enligt EU:s dataskyddsförordning (7 kap. 1 § kompletterande dataskyddslag).

Överklaga Skatteverkets beslut om den registrerades rättigheter i EU:s dataskyddsförordning

Beslut om den registrerades rättigheter enligt artiklarna 12.5 och 15–21 i EU:s dataskyddsförordning som har meddelats av Skatteverket i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol (7 kap. 2 § kompletterande dataskyddslag).

Kompletterande information

  • Förutsättningarna för att lämna ut personuppgifter som behandlas elektroniskt.

Referenser på sidan

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3] [4] [5]

Lagar & förordningar

  • Förordning (2015:904) om identitetskort för folkbokförda i Sverige [1] [2] [3] [4] [5]
  • Lag (1997:1024) om Skatteverkets brottsbekämpande verksamhet [1]
  • Lag (2015:899) om identitetskort för folkbokförda i Sverige [1] [2] [3] [4] [5] [6] [7] [8] [9]
  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2] [3]
  • Offentlighets- och sekretesslag (2009:400) [1]

Övrigt

  • RA-MS 2011:33 Riksarkivets föreskrifter om bevarande och gallring hos Skatteverket [1]
  • RA-MS 2018:29 Föreskrifter om ändring av Riksarkivets föreskrifter (RA-MS 2011:33) om bevarande och gallring hos Skatteverket [1]