Våra tjänster

Syftet med SPAR framgår av de ändamål som anges i 3 § lagen (1998:527) om det statliga personadressregistret. Där anges att personuppgifter får behandlas för att:

  1. aktualisera, komplettera och kontrollera personuppgifter (kontrolländamålet),
  2. ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsändamålet).

Utifrån dessa ändamål har följande tjänster definierats i SPAR:

  • Urval för direktreklam, marknadsundersökning etc
  • Urvalssimulering för att ge en uppskattning om storlek och kostnad på urval
  • Avisering för underhåll av eget kundregister
  • Personnummersättning för underhåll av eget kundregister
  • Personsökning i SPAR

Dessutom kan privatpersoner även:

  • Få en markering om spärr mot direktreklam införd i SPAR
  • Hämta registerutdrag med information om registrerade personuppgifter och behandling av dessa.

Personer med samordningsnummer som dessutom har styrkt sin identitet vid tilldelningen av samordningsnumret återfinns i SPAR. Läs mer om personnummer och samordningsnummer på www.skatteverket.se

Utländska företag och organisationer kan få tillgång till uppgifter från SPAR under förutsättning att de följer EU:s dataskyddsförordning eller har annat likvärdigt skydd för personuppgifter.

För att få tillstånd i SPAR krävs att den sökande är personuppgiftsansvarig enligt EU:s dataskyddsförordning.

Uppgifter om inkomst

Från SPAR får uppgift om inkomst endast lämnas ut till polisen och tullen (7 § Lagen (1998:527) om det statliga personadressregistret). Skatteverkets beskattningsverksamhet förmedlar uppgift om inkomst (”taxeringsinformation”) på fil till kreditupplysningsföretag och myndigheter. Även vissa trossamfund kan erhålla uppgifter för debitering av avgifter.

Utlämnandet är reglerat i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet (SdbL). Lagen reglerar ändamål, innehåll, utlämnanden m.m. Av 2 kap. 6 § SdbL framgår att uppgifter i databasen får lämnas ut till en enskild, dvs. till andra än myndigheter, på medium för automatiserad behandling (fil) endast om regeringen har meddelat föreskrifter om det. Regeringen har meddelat sådana föreskrifter i 9-13 §§ förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.

I korthet får Skatteverket lämna ut följande uppgifter på fil till enskilda:

  1. uppgifter som arbetsgivare och uppdragsgivare behöver för att kunna beräkna och göra avdrag för preliminär skatt,
  2. uppgifter till registrerade trossamfund som utgör underlag för beräkning av avgift till samfundet,
  3. uppgifter till den som har tillstånd enligt 3 § första stycket kreditupplysningslagen (1973:1173) att bedriva kreditupplysningsverksamhet eller bedriver kreditupplysningsverksamhet som är undantagen från tillståndsplikt enligt andra eller fjärde stycket nämnda paragraf,
  4. uppgifter om en enskild får lämnas ut till den enskilde själv.

Vid utlämnande av taxeringsuppgifter lämnas bara personnummer, inte adressuppgifter, kopplade till inkomsten.

Utgivare av taxeringskalendrar kvalificerar sig under punkt nr 3 som sådan som bedriver kreditupplysningsverksamhet som är undantagen från tillståndsplikt. 

Uppgifter via ombud

Ombud kan erbjuda tjänster och behandla information från SPAR för sina slutkunders räkning. Observera att ombudet inte kan få tillstånd för åtkomst till SPAR. Det är enbart den som enligt EU:s dataskyddsförordning är ansvarig för behandling av personuppgifterna, slutkunden, som kan erhålla detta tillstånd. För att få tillstånd krävs det att den personuppgiftsansvarige har rätt att behandla personuppgifterna enligt dataskyddsförordningen.

Tillstånd ges för varje enskilt uppdrag som slutkunden ansöker om. Det är alltid slutkunden som erhåller tillståndet och även är personuppgiftsansvarig för behandlingen av de uppgifter som lämnas ut, även om ett ombud används. Ombudet är slutkundens personuppgiftsbiträde och om man enligt artikel 28 punkt 3 EU:s dataskyddsförordning anlitar ett personuppgiftsbiträde för hela eller viss del av behandlingen av personuppgifter ska detta regleras i ett personuppgiftsbiträdesavtal (PUB-avtal) mellan ombudet och slutkunden.

Skatteverket SPAR får inte lämna ut uppgifter från SPAR om den personuppgiftsansvarige slutkunden saknar pub-avtal med de personuppgiftsbiträden man anlitar.

Slutkunden eller ombudet kan ansöka om att få uppgifter utlämnade från SPAR. Efter att slutkunden fått tillstånd kan ombudet, på uppdrag av slutkunden, hämta informationen.

Personuppgiftsbiträdesavtal med Skatteverket

Personuppgiftsbiträdesavtal (pub-avtal) ska inte tecknas mellan Skatteverket SPAR och de som fått tillstånd att få uppgifter från SPAR.

Utlämnandet av uppgifter från Skatteverket SPAR är myndighetsutövning och styrs via lagen (1998:527) om det statliga personadressregistret. Skatteverket är personuppgiftsansvarigt för denna verksamhet. Den som erhåller uppgifter från SPAR är personuppgiftsansvarig för den behandling av personuppgifter man själv har. Skatteverket sköter inte någon del av dessa kunders behandlingar av personuppgifter i den bemärkelsen som fordrar ett PUB-avtal. Företag m.fl. som har tillstånd att få uppgifter från SPAR är inte personuppgiftsbiträde åt Skatteverket.

Får man bygga en webbtjänst där man bara behöver ange ett personnummer varefter namn och adress hämtas från SPAR och visas på skärmen

Nej, det är inte tillåtet att ha ett webbformulär där en kund eller användare anger ett personnummer varefter personuppgifter (namn och adress m.fl.) hämtas från SPAR och visas för användaren på skärmen.

Vi förstår att det kan ses som en bra service, men detta strider mot reglerna i EU:s dataskyddsförordning (artikel 5) eftersom det innebär att man har möjlighet att behandla fler uppgifter än vad som behövs.

Datainspektionen (numera Integritetsskyddsmyndigheten, IMY) har i ett tillsynsärende kommit fram till att ett fackförbund handlade i strid med 9 § och 10 § personuppgiftslagen (motsvarande regler finns idag i artikel 5 och 6 i EU:s dataskyddsförordning) genom att exponera folkbokföringsuppgifter på Internet via sin webbplats. Fackförbundet hade ett formulär där man angav ett personnummer varefter namn och adress visades med automatik. Läs mer om detta här.

Det som gör lösningen otillåten är att webbtjänsten är öppen för vem som helst utan att den som är personuppgiftsansvarig har kontroll över vilka som använder den.

Det finns några tydliga sätt att göra tjänsten tillåten:

  • genom att kräva att användaren loggar in med hjälp av e-legitimation eller lösenord, eller
  • genom att använda uppgifterna från SPAR "i bakgrunden" för kontroll av de uppgifter användaren angett. Uppgifterna får alltså inte visas på skärmen.
  • genom att visa uppgifterna maskerade för användaren. Användaren kan trots maskeringen se om  uppgifterna är ens egna. Exempel för namn + adress: A** E*****, S******** 17, lgh ****, **121 E*********

Om man väljer alternativet med lösenord istället för inloggning med e-legitimation är det viktigt att man har kontroll över vem det är som loggar in med lösenord och användarnamn.

Datainspektionen har i ett tillsynsärende ålagt ett företag att sluta använda eller i något fall ändra sina olika sätt att verifiera användarens identitet (olika inloggningsmetoder). Företaget hade trots lösenord och sms inte kontroll över vilka personer det var som loggade in.

Läs datainspektionens tillsynsärende.

Företaget har olika sätt att autentisera användare, det vill säga att verifiera identiteten. Detta görs via e-post, en app eller ett sms som innehåller en länk eller en kod.

Tillsynsmyndigheten anser att vanlig, oskyddad e-post inte kan användas för att säkerställa identiteten på den som loggar in och förelägger företaget att upphöra med den inloggningsmetoden.