Juridiska grunder för SPAR
Grunden för utlämnande av uppgifter ur SPAR
Hela denna text syftar till att beskriva de juridiska grunderna för utlämnande av uppgifter ur SPAR för syftet ”kontrolländamål” (3 § 1 p Lagen (1998:527) om det statliga personadressregistret, SparL).
SPAR är avseende den del som syftar till att förse företag och andra med korrekta folkbokföringsuppgifter enligt ”kontrolländamålet” klassificerat som ett samhällsviktigt system.
Tjänsten Personsökning används av närmare 3 000 olika företag och institutioner i Sverige. Ungefär 600 företag nyttjar Aviseringstjänsterna för att hålla sina register uppdaterade med aktuella folkbokföringsadresser. Bland dessa företag återfinns de flesta stora banker, försäkringsbolag och flera av landets kreditupplysningsföretag. Under 2022 lämnade SPAR ut ca 106 miljoner adressposter via tjänsten Personsökning och ca 150 miljoner via Aviseringstjänsterna.
Grunden för utlämnande av uppgifter ur SPAR är offentlighetsprincipen. Av 2 kap. 16 § tryckfrihetsförordningen framgår att en myndighet inte är skyldig att lämna ut allmänna handlingar, t.ex. upptagningar för automatiserade behandlingar såsom SPAR, i annan form än utskrift om detta inte följer av lag. SparL är en sådan lag som ger möjlighet för en myndighet, i det här fallet Skatteverket, att efter ansökan lämna ut uppgifter i elektronisk form ur SPAR. SparL reglerar alltså formen för utlämnande. En av förutsättningarna för att få ut uppgifter i elektronisk form ur SPAR är att uppgifterna av mottagaren ska behandlas i enlighet med något av de två i lagen angivna ändamålen (3 § SparL).
De författningar som reglerar SPAR är i första hand:
- Lagen (1998:527) om det statliga personadressregistret, SparL
- EU:s dataskyddsförordning
- lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning,
- Förordningen (1998:1234) om det statliga personadressregistret, SparF
- Skatteverkets föreskrifter om utlämnande av uppgifter ur SPAR (SKVFS 2011:6).
Krav på personuppgiftsansvar för uttag av personuppgifter ur SPAR
SparL är en registerförfattning. Om det inte finns avvikande bestämmelser i SparL så gäller reglerna i EU:s dataskyddsförordning samt "kompletteringslagen" (2 § SparL). I SparL finns inga bestämmelser om personuppgiftsansvar. Det innebär att EU:s dataskyddsförordnings regler om personuppgiftsansvar är tillämpliga på behandling av uppgifter ur SPAR. En förutsättning för att få ut uppgifter ur SPAR är därför att reglerna i EU:s dataskyddsförordning följs.
Personuppgiftsbehandling var tidigare reglerad på EU-nivå genom dataskyddsdirektivet (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter). Direktivet satte en miniminivå på det skydd som varje medlemsland måste införa. Dataskyddsdirektivet implementerades i svensk rätt genom personuppgiftslagen, PuL. Från 25 maj 2018 tillämpas istället EU:s dataskyddsförordning som till stor del innehåller samma regler som vi tidigare hade i personuppgiftslagen.
För att få behandla personuppgifter är det enligt EU:s dataskyddsförordning en grundläggande förutsättning att det finns en personuppgiftsansvarig. Med personuppgiftsansvaret följer en rad skyldigheter. Det är till exempel den personuppgiftsansvariges skyldighet att se till att de grundläggande kraven på behandlingen av personuppgifter är uppfyllda, att se till att vidta de säkerhetsåtgärder som krävs för behandlingen och att se till att lämna information till de registrerade. Personuppgiftsansvaret går inte att avsäga sig eller delegera till någon annan.
Utöver det ansvar som regleras för den personuppgiftsansvarige i EU:s dataskyddsförordning, så krävs det enligt 2 § SKVFS 2011:6 att ansökan om tillgång till en SPAR-tjänst ska göras skriftligen och vara undertecknad av den personuppgiftsansvarige.
Under förutsättning att det finns ett personuppgiftsbiträdesavtal får den personuppgiftsansvarige lämna över den praktiska hanteringen av personuppgifterna till ett biträde. Ansvaret för uppgifterna, d.v.s. alla de skyldigheter som följer med en personuppgiftsbehandling, ligger kvar hos den personuppgiftsansvarige även om ett biträde används. Men enligt EU:s dataskyddsförordning kan även biträdet ha ett ansvar.
Bruttoavisering
Allmänt om bruttoavisering
I 8 a § SparF finns en bestämmelse om s.k. bruttoavisering, som är en metod för att förenkla för den som regelmässigt behandlar personuppgifter rörande en betydande del av befolkningen. Bruttoavisering är inte ett självständigt ändamål, utan en metod för att få behandla personuppgifter enligt ändamålen i 3 § p 1 SparL. Möjligheten till bruttoavisering infördes efter viss tveksamhet huruvida bruttoavisering var i överensstämmelse med dataskyddsdirektivet och personuppgiftslagen. Regeringen har i prop. 2000/01:33 s. 142 f avseende behandling av personuppgifter inom skatt, tull och exekution uttalat att metoden kan användas för att tillgodose behovet av korrekta folkbokföringsuppgifter inom förvaltningen och att metoden inte i sig strider mot direktivet.
Det är dock, enligt regeringen, inte i enlighet med skyddsdirektivet att i alla sammanhang använda sig av metoden. Det avgörande är om behandlingen är nödvändig i förhållande till ändamålet med behandlingen. Hänsyn ska tas till
- hur integritetskänsliga personuppgifterna är
- hur många personer som avses med aviseringen
- hur ofta uppgifter aviseras till en myndighet.
I promemorian ”Några frågor kring det statliga personadressregistret”, Ju 2001/5103/F, har frågan om bruttoavisering för SPAR behandlats. Med hänvisning till regeringens uttalande i prop. 2000/01:33 uttalas i promemorian följande:
”Regeringens överväganden är däremot inte direkt applicerbara när det gäller verksamhet utanför den offentliga förvaltningen. För denna verksamhet måste nödvändighetskriteriet uppfattas så att behandlingen skall vara det enda realistiska alternativet för att uppnå syftet med behandlingen”.
I promemorian görs en sammanfattande bedömning där det konstateras att de personuppgifter som behandlas i SPAR inte är integritetskänsliga med undantag för skyddade adressuppgifter. Vidare anförs att bruttoaviseringen ska avse en mycket stor mängd personer och aviseringen ska ske regelmässigt med korta tidsintervaller. En stor mängd av befolkningen ska anses föreligga när behandlingen omfattar 2 miljoner personer eller fler. Slutligen ska bruttoavisering som metod vara det enda realistiska alternativet, utifrån såväl registerförarens som den enskildes intresse, av möjliga uppdateringsmetoder för större mottagare av aviseringar.
Det krävs ett särskilt beslut av Sparnämnden (2 a § SparF) för att bruttoavisering ska kunna ske. Ett tänkbart skäl för detta är att bruttoavisering med hänsyn till skyddet för den personliga integriteten bedömts som känslig med hänsyn till den mängd uppgifter som behandlas.
Gallring vid bruttoavisering
Utöver ovanstående ska den personuppgiftsansvarige vid bruttoavisering se till att uppgifter om personer som inte har direkt samband med mottagarens, d.v.s. den personuppgiftsansvariges, verksamhet gallras i omedelbar anslutning till uppdateringen. Detta innebär att de uppgifter som erhållits för en bruttoavisering och som omedelbart ska gallras inte i rättsligt perspektiv kan användas för någon annans bruttoavisering.