Regeringskansliets rättsdatabaser

/Träder i kraft I:2026-12-01/ 1 kap. Allmänna bestämmelser Lagens innehåll och förhållande till annan reglering 1 § Denna lag innehåller bestämmelser om en statlig e- legitimation och krav på erkännande av vissa medel för elektronisk identifiering. Bestämmelser om medel för elektronisk identifiering finns i Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG, här benämnd EU:s förordning om elektronisk identifiering, och i lagen (2016:561) med kompletterande bestämmelser till EU:s förord- ning om elektronisk identifiering. 2 § Denna lag kompletterar, i den del den avser behandling av personuppgifter, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till denna lag. Ord och uttryck 3 § Med autentisering, elektronisk identifiering, medel för elektronisk identifiering och nättjänst avses i denna lag detsamma som i EU:s förordning om elektronisk identifiering. 4 § Med en offentlig aktör avses i denna lag 1. en statlig eller kommunal myndighet, eller en beslutande församling i en kommun eller region, 2. en sammanslutning som inrättats särskilt för att tillgodose behov i det allmännas intresse, under förutsättning att behovet inte är av industriell eller kommersiell karaktär, och som består av en eller flera myndigheter eller församlingar som anges i 1, 3. en privat aktör som yrkesmässigt bedriver verksamhet som till någon del är offentligt finansierad och som a) aktören bedriver i egenskap av enskild huvudman inom skolväsendet eller huvudman för en sådan internationell skola som avses i 24 kap. skollagen (2010:800), b) utgör hälso- och sjukvård enligt hälso- och sjukvårdslagen (2017:30) eller tandvård enligt tandvårdslagen (1985:125), c) bedrivs enligt socialtjänstlagen (2025:400), lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1993:387) om stöd och service till vissa funk- tionshindrade, eller d) utgör personlig assistans som utförs med assistansersättning enligt 51 kap. socialförsäkringsbalken, eller 4. en enskild utbildningsanordnare med tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, och som till största delen har statsbidrag som finansiering av högskoleutbildning på grundnivå eller avancerad nivå eller av utbildning på forskarnivå. En statlig e-legitimation 5 § Den statliga e-legitimationen är ett medel för elektronisk identifiering. Utfärdande myndighet 6 § Den statliga e-legitimationen utfärdas av utfärdande myndighet. Polismyndigheten är utfärdande myndighet inom riket. Utom riket fullgör beskickningar och karriärkonsulat uppgifter som utfärdande myndighet i den utsträckning som beslutas av regeringen eller den myndighet som regeringen bestämmer. 7 § Utfärdande myndighet ska fullgöra de uppgifter som anges i denna lag och i föreskrifter som har meddelats i anslutning till lagen. Vem som kan få en statlig e-legitimation 8 § En statlig e-legitimation får utfärdas till en svensk medborgare som har fyllt eller som innevarande kalenderår ska fylla nio år. 9 § En statlig e-legitimation får utfärdas till en utlänning som har fyllt eller som innevarande kalenderår ska fylla nio år och som 1. är folkbokförd i Sverige enligt folkbokföringslagen (1991:481), eller 2. har tilldelats ett personnummer enligt 18 b § samma lag och som omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall. Giltighetstiden 10 § En e-legitimation ska utfärdas med en giltighetstid om fem år. Om sökanden inte har fyllt tolv år ska giltighetstiden vara tre år. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att den statliga e-legitimationen i särskilt angivna fall ska ha en kortare giltighetstid. Villkor för användningen av den statliga e-legitimationen 11 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om villkor för användningen av den statliga e-legitimationen. 2 kap. Ansökan, utfärdande och återkallelse En ansökan krävs 1 § Den statliga e-legitimationen utfärdas efter ansökan. Om sökanden är under arton år krävs det vårdnadshavares medgivande, om det inte finns synnerliga skäl för utfärdandet. Personlig inställelse 2 § Den som ansöker om en statlig e-legitimation ska lämna ansökan vid personlig inställelse. Styrkande av identitet 3 § Sökanden ska vid ansökan styrka sin identitet och övriga personuppgifter som krävs för att en statlig e-legitimation ska utfärdas. Ansiktsbild och fingeravtryck 4 § Sökanden ska låta den utfärdande myndigheten ta sökandens ansiktsbild och fingeravtryck i samband med ansökan om statlig e-legitimation. Sökanden ska även låta den utfärdande myndigheten ta sökandens ansiktsbild och fingeravtryck vid utlämnande av den statliga e-legitimationen, om den utfärdande myndigheten begär det. 5 § Ansiktsbilden som tas i samband med ansökan enligt 4 § första stycket ska sparas i ett lagringsmedium i bäraren av den statliga e-legitimationen. Om fingeravtryck har tagits ska även dessa sparas i lagringsmediet. 6 § Om sökanden styrker sin identitet med en identitetshandling som är försedd med en ansiktsbild eller innehåller ett lagringsmedium där ansiktsbild eller fingeravtryck är sparade, får den utfärdande myndigheten kon- trollera att dessa motsvarar den ansiktsbild och de fingeravtryck som tas enligt 4 §. Den utfärdande myndigheten får även kontrollera att ansiktsbild och fingeravtryck som tas i samband med utlämnande enligt 4 § andra stycket motsvarar de som finns lagrade i den statliga e-legitimationen. 7 § De fingeravtryck som tas enligt 4 § första stycket och de biometriska uppgifter som tas fram ur dessa ska omedelbart förstöras när den statliga e-legitimationen har lämnats ut eller, om e-legitimationen inte har lämnats ut, när det har gått 90 dagar från den dag då den utfärdades. Om ett ansökningsärende har avslutats på något annat sätt ska uppgifterna också förstöras omedelbart. Den ansiktsbild och de fingeravtryck som tas enligt 4 § andra stycket och de biometriska uppgifter som tas fram ur ansiktsbilden och fingeravtrycken ska omedelbart förstöras när kontrollen enligt 6 § andra stycket har genomförts. Den ansiktsbild och de fingeravtryck som vid kontroll enligt 6 § tas fram ur ett lagringsmedium och de biometriska uppgifter som tas fram ur ansiktsbilden och fingeravtrycken ska omedelbart förstöras när kontrollen har genomförts. Avslag av ansökan och utfärdande av statlig e-legitimation 8 § En ansökan om en statlig e-legitimation ska avslås om de krav som framgår av denna lag eller de föreskrifter som har meddelats i anslutning till lagen inte är uppfyllda och sökanden inte har följt en uppmaning att rätta till bristen. I annat fall ska den statliga e-legitimationen utfärdas och skyndsamt vara tillgänglig för utlämnande. Återkallelse och spärr av statlig e-legitimation 9 § En statlig e-legitimation ska återkallas och spärras om 1. det fanns hinder mot att utfärda en e-legitimation vid tiden för utfärdandet och hindret fortfarande består, 2. någon väsentlig uppgift som en e-legitimation innehåller är felaktig, 3. det är nödvändigt av säkerhetsskäl, 4. den är utfärdad på en fysisk identitetshandling som därefter har upphört att gälla, eller 5. innehavaren har avlidit. En statlig e-legitimation får även återkallas och spärras på begäran av innehavaren. Om begäran avser ett barn under arton år krävs det vårdnadshavares medgivande, om det inte finns synnerliga skäl för återkallelsen och spärren. 10 § En statlig e-legitimation ska, utöver i de fall som anges i 9 §, spärras 1. i samband med att en ny e-legitimation lämnas ut till sökanden, eller 2. när giltighetstiden har löpt ut. Avgifter 11 § Utfärdande myndighet får ta ut avgifter för ansökan om statlig e-legitimation. Rätt att meddela föreskrifter 12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om förfarandet vid 1. ansökan, 2. utfärdande, 3. utlämnande, och 4. återkallelse och spärr. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen även meddela föreskrifter om den statliga e-legitimationens 1. innehåll, bärare och utformning i övrigt, och 2. aktivering. Regeringen eller den myndighet som regeringen bestämmer får vidare meddela föreskrifter om 1. avgifter för ansökan om statlig e-legitimation, och 2. undantag från skyldigheten att lämna fingeravtryck enligt 4 §. 3 kap. Behandling av personuppgifter Ändamålen med behandlingen 1 § Personuppgifter får behandlas av utfärdande myndighet om det är nödvändigt för att 1. handlägga ärenden om statlig e-legitimation, 2. föra ett register över ärenden om statlig e-legitimation, och 3. vidta åtgärder för en säker användning av statliga e- legitimationer. 2 § Personuppgifter som behandlas enligt 1 § får också behandlas av utfärdande myndighet 1. om det är nödvändigt för att tillhandahålla information som behövs i Polismyndighetens verksamhet för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet, och 2. om det är nödvändigt för att lämna ut uppgifter i enlighet med lag eller förordning. Personuppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Begränsning av rätten att göra invändningar 3 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Säkerhetsåtgärder 4 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter i verksamheten med den statliga e-legitimationen. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om 1. begränsningen av tillgången till personuppgifter enligt första stycket, och 2. säkerhetsåtgärder till skydd för personuppgifter. Register över ärenden om statlig e-legitimation 5 § Polismyndigheten ska med hjälp av automatiserad behandling föra ett register över ärenden om statlig e-legitimation. 6 § Registret över ärenden om statlig e-legitimation får endast innehålla 1. namn, personnummer, samordningsnummer, medborgarskap, födelsedatum och kontaktuppgifter till sökanden, 2. ansiktsbilder som har tagits vid ansökan enligt 2 kap. 4 § första stycket och biometriska uppgifter som har tagits fram ur sådana bilder, 3. handlingar eller uppgifter från handlingar som har kommit in eller upprättats i ärenden om statlig e-legitimation, 4. uppgifter som rör handläggningen av ärenden om statlig e- legitimation, och 5. uppgifter om utfärdade statliga e-legitimationer. Längsta tid som personuppgifter i registret får behandlas 7 § Personuppgifter i registret över ärenden om statlig e- legitimation får inte behandlas längre än tio år från utgången av det kalenderår som det ärende som uppgifterna hänför sig till avslutades. Förbud mot vissa sökningar 8 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller sådana personuppgifter om lagöverträdelser som avses i artikel 10 i EU:s dataskyddsförordning. 9 § Det är förbjudet att som sökbegrepp använda 1. ansiktsbilder, biometriska uppgifter som har tagits fram ur ansiktsbilder och andra känsliga personuppgifter som avses i 10 §, och 2. uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Trots förbuden i första stycket får den ansiktsbild som tas enligt 2 kap. 4 § första stycket och de biometriska uppgifter som tas fram ur ansiktsbilden användas vid sökning i registret över ärenden om statlig e-legitimation i ett ärende om statlig e-legitimation. Sökning är då tillåten endast för att kontrollera sökandens identitet och innehav av en e-legiti- mation i samband med ansökan. Behandling av känsliga personuppgifter 10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas endast om det är absolut nödvändigt för ändamålet med behandlingen. Känsliga personuppgifter får dock behandlas 1. i registret när det är tillåtet enligt 6 § 2, 2. vid kontroller som är tillåtna enligt 2 kap. 6 §, och 3. vid sökningar som är tillåtna enligt 9 § andra stycket. Personuppgiftsansvar 11 § Varje utfärdande myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten själv utför. Polismyndigheten är personuppgiftsansvarig för behandling av personuppgifter i registret över ärenden om statlig e- legitimation. Rätt att meddela föreskrifter 12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om 1. att personuppgifter som avses i 7 § får fortsätta att behandlas under en viss tid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, och 2. avskiljande och begränsningar av åtkomsten till personuppgifter som behandlas enligt 1. 4 kap. Erkännande av medel för elektronisk identifiering Krav på erkännande av medel för elektronisk identifiering 1 § När medel för elektronisk identifiering krävs för att få tillgång till en nättjänst som tillhandahålls av en offentlig aktör, och tjänsten helt eller delvis riktar sig till enskilda, ska medel erkännas för autentisering för tjänsten om 1. medlet för elektronisk identifiering tillhandahålls inom ramen för ett auktorisationssystem i enlighet med lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post, och 2. tillitsnivån för medlet motsvarar en tillitsnivå som är lika hög eller högre än den tillitsnivå som den offentliga aktören kräver för åtkomst till nättjänsten. Bemyndiganden 2 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om 1. undantag från kravet i 1 §, och 2. hur kravet i 1 § ska fullgöras. 5 kap. Överklagande och verkställighet 1 § Beslut enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. 2 § Beslut enligt denna lag gäller omedelbart, om inte annat anges i beslutet.