I Sverige lever cirka 27 000 personer med skyddade personuppgifter, på grund av att de riskerar att utsättas för någon typ av hot eller våld. Det är därför viktigt att hantera skyddade personuppgifter extra varsamt. Vi får ofta frågor om hur man ska tänka kring skyddade personuppgifter. I GDPR är artikel 32 och 33 aktuella, men det finns också bestämmelser i andra lagar, och rent praktiska hänsyn, som är viktiga att komma ihåg. I detta blogginlägg förklarar vi vad skyddade personuppgifter är och hur ni kan hantera dem på ett säkert sätt!
Allas uppgifter finns i folkbokföringen
Folkbokföringen är ett register med uppgifter om Sveriges befolkning, som hanteras av Skatteverket. Folkbokföringen omfattar även personer med skyddade personuppgifter, som också kallas skyddad identitet. I folkbokföringen finns bland annat namn, personnummer, adress, kön, medborgarskap och civilstånd registrerat. För de flesta personer är uppgifterna som finns i folkbokföringen inte särskilt känsliga. Därför är uppgifterna som huvudregel offentliga. Det innebär att andra personer kan begära att få ta del av dem.
Folkbokföringsuppgifterna sprids också vidare via Skatteverkets system ”Navet”. Alla myndigheter, kommuner och regioner kan hämta uppgifter ur Navet. Vissa uppgifter ur folkbokföringen överförs dessutom till det statliga personadressregistret, SPAR. Företag kan via SPAR kontrollera folkbokföringsuppgifter och uppdatera sina befintliga kund- och adressregister. Det går också att köpa adresser från SPAR för bland annat direktreklam- och forskningsändamål.
Uppgifterna i folkbokföringen får alltså en relativt omfattande spridning. I de flesta fall är detta inte något problem. En person som riskerar att utsättas för hot eller förföljelse kan dock skadas om hens uppgifter lämnas ut. Därför finns möjlighet att ansöka om skyddade personuppgifter.
Vad innebär skyddade personuppgifter?
Den vanligaste anledningen till skyddade personuppgifter är våld i en nära relation.1 Begreppet skyddade personuppgifter, eller skyddad identitet som det också kallas, är ett samlingsnamn för tre olika nivåer av skydd:
- Sekretessmarkering
- Skyddad folkbokföring
- Fingerade personuppgifter
Skyddade personuppgifter skickas inte vidare från folkbokföringen till SPAR. Myndigheter, kommuner och regioner får tillgång till uppgifterna via Navet, med en varningsflagg om att de är skyddade.
Sekretessmarkering
Den lägsta skyddsnivån är sekretessmarkering. Sekretessmarkering innebär att den berörda personens faktiska uppgifter (till exempel hemadress) finns registrerade i folkbokföringen, men att de försetts med en sekretessmarkering. Den som vill ha sekretessmarkerade folkbokföringsuppgifter behöver själv ansöka om det hos Skatteverket. Sekretessmarkeringen förs vidare till Navet. Markeringen är en varningssignal, som visar att handläggare behöver göra en noggrann skadeprövning om någon begär att få ut en sekretessmarkerad uppgift. Skadeprövningen innebär att handläggaren måste bedöma om personen i fråga kan antas lida men av att uppgiften lämnas ut2
Skyddad folkbokföring
Skyddad folkbokföring är det starkaste skyddet som kan ordnas av Skatteverket. En person med skyddad folkbokföring blir folkbokförd på en annan adress än där hen faktiskt bor. Den faktiska bostadsadressen finns alltså inte registrerad i folkbokföringen, utan lagras separat och enskilt hos Skatteverket. Skyddad folkbokföring kan ges till den som av ”särskilda skäl kan antas bli utsatt för brott, förföljelser eller allvarliga trakasserier på annat sätt.”3Det kan till exempel handla om en person som har vittnat i ett allvarligt brottmål, eller som riskerar att utsättas för våld från nära familj.4
Att en person har skyddad folkbokföring markeras särskilt i folkbokföringsdatabasen. Vid skyddad folkbokföring omfattas uppgifterna i folkbokföringen av stark sekretess. Detta betyder att uppgifterna som huvudregel inte ska lämnas ut. En handläggare får lämna ut uppgifterna endast om det ”står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men”.5Sekretessen gäller för en uppgift som ensam eller tillsammans med annan uppgift kan lämna upplysning om var personen bor eller vistas. Det kan handla om personens postadress eller namn, men också exempelvis uppgifter som anger vad personen har för arbetsgivare, eller vilka personens anhöriga är. Varje myndighet gör en prövning i varje enskilt fall om vilka uppgifter som behöver skyddas.6
Fingerade personuppgifter
Beslut om fingerade personuppgifter fattas av Polismyndigheten. Fingerade personuppgifter innebär att personen får nya identitetsuppgifter. I folkbokföringen tas den gamla identiteten bort och personen registreras med nytt namn, nytt personnummer, ny adress och så vidare. Skatteverket har inte tillgång till kopplingen mellan den gamla och den nya identiteten, utan den informationen finns endast hos Polisens Nationella Operativa Avdelning (NOA).
Fingerade personuppgifter kan användas när en person är utsatt för särskilt allvarlig brottslighet som riktar sig mot hens liv, hälsa, frihet eller frid, förutsatt att det inte är tillräckligt med skyddade personuppgifter.7 Fingerade personuppgifter används enbart i undantagsfall, som en sista utväg när alla andra åtgärder är otillräckliga.
Nivån ”fingerade personuppgifter” är speciell, eftersom den innebär att personen får helt nya personuppgifter (en ny identitet). De fingerade personuppgifterna brukar inte behöva skyddas genom skyddad folkbokföring eller sekretessmarkering. Tanken är att en person med fingerade personuppgifter ska leva med sin nya identitet utåt. Så få personer som möjligt bör känna till att uppgifterna är fingerade. Personen ska därför inte upplysa om detta i sin kontakt med andra. Ni behöver därför inte ha några särskilda rutiner för att hantera just fingerade personuppgifter. När det gäller skyddad folkbokföring och sekretessmarkering är läget ett annat. Vi kommer därför att gå igenom vad som är viktigt att tänka på nedan!
Hur ska vi som företag veta om någon har skyddade personuppgifter?
En person som lever med skyddade personuppgifter ska själv upplysa om detta när hen tar kontakt med ett företag eller en myndighet. Det är ändå viktigt att ni har rutiner på plats för att hantera uppgifterna på ett säkert sätt.
Vad ska vi göra för att hantera personuppgifterna säkert?
Enligt artikel 32 GDPR krävs att ni som behandlar personuppgifter i rollen som personuppgiftsansvarig eller personuppgiftsbiträde vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för personuppgifterna. Bestämmelsen är kopplad till den grundläggande principen om integritet och konfidentialitet i artikel 5.1 f GDPR. Vilken säkerhetsnivå som är lämplig beror på hur höga risker behandlingen innebär för de registrerades friheter och rättigheter.
Att behandla skyddade personuppgifter medför alltid en relativt stor risk för personers rättigheter och friheter, eftersom det kan få allvarliga konsekvenser om uppgifterna behandlas felaktigt eller röjs. IMY har därför förklarat att skyddade personuppgifter är extra integritetskänsliga och skyddsvärda.8 Ni kan läsa mer om extra integritetskänsliga personuppgifter i vårt tidigare blogginlägg här. Detta betyder att det är viktigt att fundera på vilka åtgärder som krävs för att uppgifterna ska behandlas på ett tillräckligt säkert sätt hos er. Några viktiga faktorer att beakta:
- Erbjud säkrare alternativ för de som har skyddade personuppgifter och kommunicera tydligt hur deras uppgifter kommer hanteras. Det är bra att tillhandahålla alternativa kommunikationsvägar. Till exempel kan ett rekryterande företag informera särskilt om att den som har skyddade personuppgifter och vill söka ett jobb kan kontakta den rekryteringsansvarige direkt via telefon eller post, i stället för att fylla i en digital ansökan via ett webbaserat rekryteringsformulär. Personens uppgifter får därmed en mindre omfattande spridning, vilket minskar risken för att uppgifterna röjs. Ni kan läsa mer om säkra kommunikationsvägar i Skatteverkets vägledning för hantering av skyddade personuppgifter. Den är skriven för offentliga aktörer, men många av råden är bra och bör appliceras även av privata företag!
- Begär inte in skyddade personuppgifter i onödan. Om en person talar om att hen har skyddade personuppgifter, fundera då en extra gång på vilka uppgifter ni faktiskt behöver behandla i er verksamhet.
- Begränsa antalet personer som har möjlighet att ta del av skyddade personuppgifter i era system, till så få personer som möjligt. Se till att de som kan ta del av uppgifterna har rätt kompetens för det – det är viktigt att de är medvetna om att skyddade personuppgifter är särskilt känsliga och kräver extra skydd. Detta minskar risken för att uppgifterna röjs.
- Om ni får in skyddade personuppgifter, markera dem tydligt i era system. Det är viktigt att de som hanterar uppgifterna är medvetna om att uppgifterna är skyddade, och att de därför behöver hanteras med försiktighet.
- Se till att det finns rutiner på plats för att följa upp att skyddade personuppgifter hanteras på ett säkert sätt inom er verksamhet. Det kan vara bra att utse en eller flera personer som har ett särskilt ansvar för detta.
- Skapa rutiner för hur ni ska agera om de skyddade personuppgifterna skulle röjas. Ni bör ta kontakt med personen eller personerna som berörs, för att tillsammans avgöra vilka åtgärder som behöver vidtas. Det är också viktigt att informera Skatteverket, eftersom en sådan incident kan påverka deras beslut om de skyddade personuppgifterna.9Att skyddade personuppgifter röjs, avsiktligt eller oavsiktligt, är en personuppgiftsincident enligt GDPR, mer om det nedan.
Ovanstående gäller alla individer som har skyddade personuppgifter. Det kan exempelvis vara en kund, anställd eller en praktikant. Att föra en dialog med personen med skyddade personuppgifter är rekommenderat för att säkerställa att det skydd som personen behöver ha uppnås.
Om det inträffar en personuppgiftsincident
Begreppet personuppgiftsincident definieras i artikel 4(12) GDPR. Enkelt förklarat innebär all oplanerad eller obehörig behandling av personuppgifter en personuppgiftsincident. Om skyddade personuppgifter röjs är det en personuppgiftsincident. Det kan exempelvis vara att någon obehörig får tillgång till era system genom ett dataintrång eller om någon anställd som inte har behörighet att ta del av skyddade uppgifter ändå får det.
Enligt artikel 33 GDPR ska personuppgiftsincidenter rapporteras till tillsynsmyndigheten, om det inte är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter. Att skyddade personuppgifter ingår i incidenten påverkar den här bedömningen. Som beskrivits ovan befinner sig personer med skyddade personuppgifter under hot. Risken för att de tar skada av att deras uppgifter röjs är därför högre än för personer som inte har skyddade uppgifter. Om en personuppgiftsincident påverkar skyddade personuppgifter är det alltså viktigt att tänka ett extra varv på om incidenten behöver rapporteras till IMY.
Kom ihåg att ni alltid ska dokumentera personuppgiftsincidenter internt, oavsett om de rapporteras vidare till IMY eller inte! Ni kan läsa mer om personuppgiftsincidenter och hur de ska rapporteras i ett tidigare blogginlägg här.
Offentliga verksamheter ska göra en skadeprövning enligt OSL
Offentliga verksamheten behöver dessutom tänka på att göra en noggrann skadeprövning innan sekretessbelagda uppgifter lämnas ut. En myndighet övertar nämligen sekretessen om den får uppgifter från Skatteverket om en person som har skyddad folkbokföring (22 kap. 3 § OSL). Detta innebär att uppgifterna som utgångspunkt är sekretessbelagda även hos den mottagande myndigheten. Ni kan läsa mer om de relevanta bestämmelserna i OSL, och om hur skadeprövningen ska gå till, i Skatteverkets vägledning.
Frågor?
Om ni har fler frågor eller funderingar kring hur ni ska hantera skyddade personuppgifter är ni varmt välkomna att kontakta oss antingen via mejlen info@gdprhero.se eller via telefon 046-273 17 17.
Fotnoter
- Från information från Skatteverkets webinarium ”Skyddade personuppgifter – ett dolt kapitel i livet” 2023-09-07.
- 22 kap. 1 § OSL
- 16 § folkbokföringslagen
- Skatteverkets information om skyddade personuppgifter
- 22 kap. 2 § OSL.
- Skatteverkets vägledning för offentliga aktörers hantering av skyddade personuppgifter
- 1 § lag (1991:483) om fingerade personuppgifter
- Datainspektionens tillsyn enligt EU:s dataskyddsförordning 2016/679 mot Utbildningsnämnden i Stockholms stad, diarienummer DI-2019-7024
- Skatteverkets vägledning för offentliga aktörers hantering av skyddade personuppgifter