E-legitimationsnämndens verksamhet är nu en del av DIGG - Myndigheten för digital förvaltning

Logotyp Myndigheten för digital förvaltning
Sök på E-legitimationsnämnden

Så här behandlar vi dina personuppgifter i eIDAS

Här beskriver vi hur DIGG samt den som tillhandahåller den e-tjänst där du legitimerar dig behandlar dina personuppgifter i samband med processen att ansluta till Sweden Connect.

Om e-tjänsteleverantören behandlar dina personuppgifter ytterligare, utöver vad som sker inom processen att ansluta sig till Sweden Connect, är det e-tjänsteleverantörens ansvar att informera dig om det.

Information lämnas i ett sammanhang både för den e-tjänsteleverantör som du besöker och för DIGG så att du som användare ska kunna överblicka vem du ska vända dig till för att få information om en viss personuppgiftsbehandling.

Dataskyddsombud

Om du som registrerad vill utöva dina rättigheter eller har frågor som rör DIGG:s behandling av dina personuppgifter kan du vända dig till myndighetens dataskyddsombud Petra Kanon, 010‑484 73 38 eller dataskyddsombud@digg.se.

Om du som registrerad vill utöva dina rättigheter eller har frågor som rör e-tjänsteleverantörens behandling av dina personuppgifter kan du vända dig till den myndighetens dataskyddsombud. Du hittar kontaktuppgifter till e-tjänsteleverantörens dataskyddsombud på dennes webbplats.

Personuppgiftsansvaret inom processen för att använda Sweden Connect

I samband med din användning av den svenska eIDAS-noden behandlas dina personuppgifter av

  1. DIGG
  2. den myndighet som tillhandahåller den e-tjänst där du legitimerar dig (”e-tjänsteleverantören”).

Processen när du legitimerar dig med en utländsk e-legitimation i en svensk e-tjänst består, om inte annat särskilt anges, av tre led:

  1. Först behandlas dina personuppgifter av e-tjänsteleverantören. I e-tjänsten väljer du ”Foreign ID” och styrs därefter till den svenska eIDAS-noden.
  2. Därefter behandlar DIGG dina personuppgifter i den svenska eIDAS-noden. Där anger du det land där den e-legitimation som du ska använda är utfärdad. Du styrs sedan till det landets eIDAS-nod. Efter behandlingar i utlandet mottar den svenska eIDAS-noden ett identitetsintyg för dig, kontrollerar att intyget är äkta och översänder det i rätt format till leverantören av den e-tjänst du besöker.
  3. Slutligen mottar e-tjänsteleverantören ett identitetsintyg med dina personuppgifter. Mottagaren kontrollerar intyget och använder det t.ex. för att släppa in dig eller i en underskriftstjänst.

E-tjänsteleverantören är personuppgiftsansvarig för de behandlingar av dina personuppgifter som utförs i e-tjänsten.

DIGG är personuppgiftsansvarig för de behandlingar av dina personuppgifter som utförs i den svenska eIDAS-noden. DIGG är även personuppgiftsansvarig för behandlingen i aktörsregistret, men där behandlas inte dina personuppgifter. De enda personuppgifter som förekommer där är vissa kontaktuppgifter till anslutna myndigheter.

Vad för slags personuppgifter behandlas?

Dina personuppgifter lämnas av e-tjänsteleverantören till DIGG när du vill använda en utländsk e-legitimation. I detta led behandlas endast din IP-adress.

DIGG lämnar därefter dina personuppgifter till berörd utländsk eIDAS-nod. När DIGG mottagit ett identitetsintyg för dig från mottagarlandets nod, lämnar DIGG dina personuppgifter till e-tjänsteleverantören av den e-tjänst du besöker. De personuppgifter som behandlas i detta led utöver IP-adress, är de som framgår av identitetsintyget (t.ex. namn, födelsedatum och identitetsbeteckning) eller uppkommer till följd av säkerhetskontroller. Dina personuppgifter kan också lämnas till en leverantör av en underskriftstjänst eller till en annan förlitande part för identitetskontroll eller äkthetskontroll av en elektroniskt underskriven handling.

Varför och med vilken rätt behandlar DIGG och e-tjänsteleverantören dina personuppgifter?

I de tjänster som beskrivs ovan behandlas dina personuppgifter för följande ändamål:

  • För kommunikation och för hantering av identitetsintyg och anknytande funktioner.
  • För identitetskontroll och för elektronisk underskrift.
    För att säkerställa att en e-tjänst eller Sweden Connect inte missbrukas eller används i strid mot regler i författning eller avtalsvillkor.
  • För att möjliggöra support när Användare eller leverantör av e-tjänst behöver hjälp, t.ex. för att utreda en misstanke om fel i dessa funktioner eller missbruk av dem.
  • Om det krävs för incidentrapportering, internationellt samarbete mellan medlemsstater eller annars enligt de regler som gäller enligt EU-förordning eller Europeiska kommissionens genomförandebeslut.

Den rättsliga grunden för dessa behandlingar är att de nödvändiga för att utföra en rättslig förpliktelse, en uppgift av allmänt intresse eller som ett led i myndighetsutövning eller för att uppfylla fullgöra ett avtal där du är part.

Vem tar del av personuppgifterna?

De medarbetare på DIGG som behöver ta del av personuppgifterna för att utföra sitt arbete kommer att ta del av uppgifterna i den omfattning som är nödvändig. Dina personuppgifter kan också lämnas till en leverantör av en underskriftstjänst eller till en annan förlitande part för identitetskontroll eller äkthetskontroll av en elektroniskt underskriven handling.

DIGG och E-tjänsteleverantören är myndigheter och har en skyldighet att bl.a. följa reglerna för allmänna handlingar, serviceskyldighet mellan myndigheter, myndigheters arkiv och statistik. DIGG och E-tjänsteleverantören kommer därför att behandla personuppgifterna på de sätt som krävs för att följa gällande lagstiftning. Detta innebär t.ex. att om någon begär ut en allmän handling som innehåller personuppgifter kan DIGG eller E-tjänsteleverantören komma att lämna ut dessa i enlighet med offentlighetsprincipen till enskilda eller till andra myndigheter om det följer av serviceskyldighet eller bestämmelser i lag eller förordning.

För det fall DIGG eller e-tjänstleverantören lämnar ut personuppgifter till tredje part för att denne ska behandla personuppgifter för vår räkning ingår DIGG eller e-tjänstleverantören ett personuppgiftsbiträdesavtal med den parten för att säkerställa att personuppgifterna behandlas i enlighet med gällande dataskyddslagstiftning. Om personuppgifterna överförs till en tredje part eller leverantör utanför EU så säkerställer DIGG eller e-tjänstleverantören att mottagaren behandlar personuppgifterna på en säkerhetsnivå som motsvarar kraven i dataskyddsförordningen genom avtal eller andra förbindelser från den som mottar personuppgifterna.

Hur länge sparas personuppgifterna?

DIGG lagrar dina personuppgifter i den svenska eIDAS-noden endast så att det vid en incident går att rekonstruera ordningsföljden i utbytet av meddelanden. Denna lagring sker under en kortare tid för omedelbart felsökningsbehov.

E-tjänsteleverantören lagrar dina personuppgifter så länge det krävs E-tjänsteleverantören ska kunna visa vem som legitimerat sig eller vem som skrivit under en handling.

Dina rättigheter

Dataskyddsförordning ger dig som registrerad flera rättigheter. Vissa av rättigheterna gäller obegränsade för personuppgiftsbehandling hos myndigheter. Andra gäller i begränsad omfattning för personuppgiftsbehandling i myndigheters verksamhet.

Nedan följer en uppräkning av vilka rättigheter du har enligt dataskyddsförordning. Du får också veta om rättigheten gäller utan begränsning.

Om du som registrerade vill utöva dina rättigheter eller har frågor om hur DIGG behandlar dina personuppgifter kan du kontakta dataskyddsombudet enligt kontaktuppgifterna ovan.

Rätt till registerutdrag

Du har rätt att få bekräftat om DIGG behandlar personuppgifter om dig och i så fall har du också rätt att få tillgång till dem och viss information om behandlingen.

Rätt till rättelse

Du har rätt att få felaktiga personuppgifter rättade utan onödigt dröjsmål.

Rätt till radering

Du har rätt att få dina personuppgifter raderade under vissa förutsättningar, bland annat om personuppgifterna inte längre är nödvändiga för ändamålen eller har behandlats på ett olagligt sätt. Om förutsättningar är uppfyllda ska den personuppgiftsansvarige radera uppgifterna utan onödigt dröjsmål.

Rätten till radering är begränsad när det gäller personuppgiftsbehandling inom en myndighet eftersom myndigheten i de allra flesta fall behandlar uppgifter med stöd av bestämmelser i lag eller förordning. Myndigheten behandlar med andra ord personuppgifterna för att utföra en uppgift av allmänt intresse eller för att uppfylla en rättslig förpliktelse. Under dessa omständigheter har du inte rätt att få dina uppgifter raderade.

Rätt till begränsning av behandling

Du har rätt att kräva att personuppgiftsansvarig myndighet begränsar personuppgiftsbehandlingen under vissa förutsättningar, bland annat om personuppgifterna inte längre är nödvändiga för ändamålen personuppgifterna, inte är korrekta eller behandlas olagligt.

Den här rättigheten skiljer sig från rätten att bli raderad eftersom det inte handlar om att radera uppgifter, utan istället om att begränsa användningen av dem. Med begränsning menas att uppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.

Rätt till dataportabilitet

Du har rätt att flytta personuppgifter som behandlas automatiskt från en personuppgiftsansvarig till en annan. Det gäller personuppgifter som du själv har lämnat till den personuppgiftsansvariga med stöd av samtycke eller avtal. Om det är tekniskt möjligt har du rätt att få uppgifterna överförda direkt.

Rätten till dataportabilitet är begränsad när det gäller personuppgiftsbehandling inom en myndighet eftersom behandling av personuppgifter oftast sker med stöd av andra rättsliga grunder än samtycke och avtal.

Rätt att göra invändningar

I vissa fall har du rätt att invända mot en personuppgiftsbehandling. Rätten att invända gäller bland annat när personuppgifter behandlas för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Om du invänder mot en behandling får den personuppgiftsansvarige endast fortsätta att behandla uppgifterna om det går att visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.

Rätt att återkalla samtycke

Om DIGG har fått ditt samtycke att behandla dina personuppgifter har du när som helst rätt att återkalla samtycket. Du återkallar lättast ditt samtycke genom att skicka e-post till dataskyddsombudet

Om du återkallar ditt samtycke så innebär det att DIGG inte kan behandla dina personuppgifter ytterligare. Lagligheten av den personuppgiftsbehandling som skedde innan samtycket återkallades påverkas inte. Det innebär att DIGG har haft en rättslig grund att behandla personuppgifterna fram till att samtycket återkallades.

Rätt att lämna in klagomål till tillsynsmyndigheten

Du har rätt att lämna in klagomål till Datainspektionen om du anser att DIGG behandlar dina personuppgifter på ett sätt som strider mot dataskyddsförordningen.

Nyhetsbrev

Sociala medier