Områden: Dataskydd & sekretess
Datum: 2005-02-21
Dnr: 130 108331-05/111
Nytt: 2023-01-31
Detta ställningstagande har upphört att gälla. Det ersätts av Skatteverkets ställningstagande 2022-11-07, dnr 8-1996082.
I skatteverksamheten är det tillåtet att behandla personuppgifter avseende personalen under förutsättning att det kan ske helt och hållet inom ramen för de ändamål som anges i skattedatabaslagen. Det betyder i praktiken att personuppgifter om tjänstemän kan behandlas i syfte att följa upp skatteverksamheten och planera för de åtgärder som kan behöva vidtas i framtiden. Det finns inga rättsliga hinder för att en sådan behandling sker tillfälligt i lokala system. Däremot måste myndigheten då
I den personaladministrativa verksamheten är det tillåtet att inom ramen för personuppgiftslagens bestämmelser behandla personuppgifter avseende personalen. Skatteverket måste då klart och tydligt ha bestämt ändamålet med behandlingen och tillse att
Det är inte tillåtet att behandla uppgifter ur beskattningsdatabasen för personaladministrativa ändamål.
Frågor har ställts om det från rättslig synvinkel är tillåtet att behandla personuppgifter avseende såväl skatteverksamheten som den personaladministrativa verksamheten och om det i så fall även kan ske i lokala personal- och planeringsdatabaser.
Ändamålen med behandlingen av personuppgifter kan beskrivas som såväl uppföljning av effektivitet och kvalitet i beskattningsverksamheten som uppföljning av effektivitet och kvalitet i enskilda handläggares arbete.
Frågeställningen kan sägas resa tre huvudfrågor nämligen
Personuppgiftslagen (1998:204), PuL, omfattar främst all behandling av personuppgifter som är helt eller delvis automatiserad.
Personuppgiftslagen är generellt tillämplig. Om det i annan lag eller i en förordning finns särskilda bestämmelser som avviker från personuppgiftslagen, ska de bestämmelserna gälla (2 § PuL).
För Skatteverkets del finns för vissa av verkets verksamheter särregler i s.k. registerförfattningar.
Vid behandling av uppgifter om enskilda i Skatteverkets beskattningsverksamhet tillämpas lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet (SdbL), nedan även benämnd skattedatabaslagen.
När uppgifter behandlas enligt skattedatabaslagen ska ändamålsbestämmelserna i 1 kap. SdbL tillämpas. I 4 § anges ändamålet för användningen av uppgifter i beskattningsverksamheten. I sammanhanget är punkt 9 i paragrafen av intresse. Där framgår att uppgifter får behandlas för tillhandahållande av information som behövs för tillsyn, kontroll, uppföljning och planering av beskattningsverksamheten.
För den personaladministrativa verksamheten hos Skatteverket saknas registerlagsbestämmelser innebärande att personuppgiftslagen ska tillämpas när personuppgifter behandlas.
De grundläggande kraven på behandling av personuppgifter i 9 § PuL gäller oavsett om behandlingen sker i beskattningsverksamheten eller i den personaladministrativa verksamheten (1 kap. 3 § 3 SdbL). Här märks särskilt att personuppgifter får samlas in bara för särskilda uttryckligt angivna och berättigade ändamål (9 § c PuL).
När behandlingen av personuppgifter sker i den personaladministrativa verksamheten måste den – för att vara tillåten – kunna hänföras till något av de fall som anges i 10 § PuL. Paragrafen innehåller en uttömmande uppräkning av i vilka fall behandling av personuppgifter är tillåten.
Oavsett om behandlingen av personuppgifter sker i den personaladministrativa verksamheten eller i skatteverksamheten ska vissa i sammanhanget viktiga bestämmelser i personuppgiftslagen tillämpas. Som exempel kan nämnas personuppgiftslagens bestämmelser om säkerheten vid behandling (2 kap. 3 § 4 SdbL jämförd med 30-32 §§ PuL). Ytterligare exempel är personuppgiftslagens bestämmelser om information till den registrerade (3 kap. 1 § SdbL jämförd 23 och 25-27 §§ PuL).
När det gäller behandling av uppgifter i beskattningsverksamheten ska skattedatabaslagen tillämpas. Det innebär att ändamålsbestämmelserna i 1 kap. 4 § SdbL måste beaktas. Punkt 9 i lagrummet tar sikte på den interna kontrollen av och tillsyn över den löpande verksamheten. Det innebär att det är tillåtet för Skatteverket att behandla uppgifter för att följa upp verksamheten och planera för åtgärder som kan behöva att vidtas i framtiden.
Det är således tillåtet att behandla uppgifter som redan finns registrerade i beskattningsdatabasen inklusive där förekommande uppgifter om handläggare. En förutsättning för detta är givetvis att det sker i beskattningsverksamheten och att det görs inom ramen för i föregående stycke omnämnda ändamål.
Det ska dock observeras att det finns en begränsning beträffande den personkrets som får förekomma i beskattningsdatabasen. I 2 kap. 2 § SdbL anges nämligen att i databasen får uppgifter behandlas om personer som omfattas av verksamhet enligt 1 kap. 4 § 1–8 SdbL. Uppgifter om handläggare får således inte registreras i beskattningsdatabasen enbart i syfte att användas för tillsyn, kontroll, uppföljning och planering av verksamheten.
För att undvika missförstånd ska det dock framhållas att när beskattningsdatabasen innehåller uppgifter om vem som handlägger ett ärende är dessa att se som administrativa uppgifter i beskattningsverksamheten. Ett sådant synsätt förutsätter dock att uppgifterna behandlas i enlighet med de ändamål som gäller för beskattningsdatabasen (prop. 2000/01:33 s. 103).
Det är vidare tillåtet att i en lokal databas behandla uppgifter som hämtas ur beskattningsdatabasen. Det är även tillåtet att sambearbeta uppgifter med uppgifter som tillförs den lokala databasen - t.ex.uppgifter om handläggare - men givetvis under förutsättning att behandlingen sker i beskattningsverksamheten för tillåtna ändamål. Behandlingen i den lokala databasen anses inte ske inom beskattningsdatabasen om uppgifterna inte används gemensamt i verksamheten (2 kap. 1 § SdbL). Det innebär att uppgifterna får vara åtkomliga för endast en mycket begränsad krets personer, t.ex. närmast ansvariga chefer.
Under den i föregående stycke nämnda förutsättningen är bestämmelserna i 1 kap. SdbL tillämpliga på behandlingen vilket samtidigt ger ett visst utrymme för att tillfälligt registrera uppgifter som normalt inte finns tillgängliga i beskattningsdatabasen. Som exempel på det senare kan nämnas uppgifter om vilka specialkunskaper en handläggare besitter.
När en behandling sker utanför beskattningsdatabasen måste gallringsbestämmelsen i 1 kap 8 § SdbL tillämpas. Huvudregeln är då att personuppgifterna måste gallras senast ett år efter att ”ärendet har avslutats”, dvs. i uppföljningsfallen senast ett år efter avslutad uppföljning.
Det är viktigt att personuppgiftslagens bestämmelser angående säkerhet och information till den registrerade beaktas (se avsnitt 3).
När uppgifter om handläggare – dvs. personuppgifter – behandlas för personaladministrativa ändamål ska personuppgiftslagens bestämmelser tillämpas. Som exempel på personaladministrativa ändamål kan nämnas bedömning av handläggares effektivitet och kompetens.
En grundläggande förutsättning för att behandling av personuppgifter ska få ske i den personaladministrativa verksamheten är att behandlingen kan hänföras till något av de fall som anges i 10 § PuL.
Till att börja med kan konstateras att behandlingen är tillåten om den registrerade lämnat sitt samtycke (10 § PuL). Nedan bortses fortsättningsvis från behandlingar där samtycke finns.
Utan samtycke får uppgifterna bara behandlas när behandlingen är nödvändig för vissa i 10 § PuL angivna syften. Behandlingen kan exempelvis ha sin grund i ett avtal mellan arbetsgivaren och arbetstagaren och är då tillåten (punkt a). Vidare kan behandlingen vara tillåten för att arbetsgivaren ska kunna fullgöra en rättslig skyldighet (punkt b). Behandlingen kan också vara tillåten efter en intresseavvägning (punkt f) i paragrafen.
När det gäller uppföljning av handläggares effektivitet av rent personaladministrativa skäl är det främst den senast nämnda punkten i personuppgiftslagen som är tillämplig vid bedömningen av om behandlingen är tillåten. Innebörden av bestämmelsen är att Skatteverket efter en intresseavvägning kan komma fram till att det finns lagligt stöd för behandlingen. Av det aktuella lagrummet framgår nämligen att behandlingen är tillåten om den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige ska kunna tillgodoses om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Det är omständigheterna i varje enskilt fall som avgör om myndighetens - dvs. arbetsgivarens intresse - väger över de anställdas intresse av att deras personuppgifter inte ska behandlas.
Av verksamhetsskäl är det nödvändigt med viss uppföljning av personalen. Mot den bakgrunden är det rimligt att verkets uppföljningsintresse i stor utsträckning får anses väga tyngre än de anställdas skydd mot den kränkning av den personliga integriteten som en behandling skulle kunna tänkas innebära
I sammanhanget kan det nämnas att Datainspektionen i en rapport (Datainspektionens rapport 2003:3 s. 16) påpekat att fackliga överenskommelser som rör behandling av personuppgifter i personalkontrollsyfte kan väga tungt vid en intresseavvägning. Detta påpekande innebär dock inte – enligt den nämnda rapporten – att en arbetstagarorganisation kan samtycka för medlemmars räkning.
I detta sammanhang är det viktigt att påpeka att innan personuppgifter samlas in om anställda måste det tydligt ha bestämts för vilka ändamål som uppgifterna ska användas (9 § första stycket c PuL). Det är inte tillräckligt att som ändamål bestämma att uppgifterna kan komma att användas för personalkontroll. Syftet med personalkontrollen måste alltså framgå.
Det är inte tillåtet att använda de registrerade uppgifterna för ändamål och syften som är oförenliga med de ursprungligen fastställda (9 § första stycket d PuL).
Vid behandling av personuppgifter avseende personalen måste personuppgiftslagens bestämmelser angående kraven på information (23 och 24 §§), gallringsrutiner ( 9 § första stycket i) samt skydd mot obehörig åtkomst (31 §) beaktas.
Avsikten med de nu aktuella databaserna är uppföljning av det som skulle kunna uppfattas som såväl beskattningsverksamheten som den personaladministrativa verksamheten. Som framgår av det nedanstående har dock det fastställda ändamålet för behandlingen betydelse för möjligheten att behandla uppgifter gemensamt.
Det ligger i sakens natur att uppgifter om den handläggande personalen (personuppgifter) måste behandlas i skatteverksamheten inom ramen för tillåtna ändamål enligt skattedatabaslagen om uppgifterna har en naturlig anknytning till den materiella beskattningsverksamheten. I Registerförfattningsutredningen betänkande SOU 1999:105 s. 242 påpekas exempelvis att det inte finns några hinder för att administrativa uppgifter behandlas i samma datasystem som de uppgifter vilka används gemensamt för den materiella verksamheten
Med administrativa uppgifter i beskattningsverksamheten avses enligt det ovan nämnda betänkandet bland annat uppgifter om vem som handlägger ett ärende eller uppgifter om vilka specialkunskaper en handläggare besitter. Uppgifter om en handläggare utgör visserligen personuppgift om handläggaren själv men bör ändå kunna behandlas tillsammans med andra uppgifter i beskattningsverksamheten.
För att det ska vara möjligt att behandla personuppgifter avseende personalen tillsammans med uppgifter i beskattningsverksamheten krävs dock att personuppgifterna har anknytning till den materiella verksamheten.
Som framhållits ovan måste dock behandlingen kunna hänföras till något av de ändamål som uppställs i 1 kap. 4 § SdbL. I uppföljningssammanhang aktualiseras ändamålet enligt punkt 9 i det nämnda lagrummet. Ändamålet tar sikte på den interna kontrollen av och tillsyn över den löpande verksamheten. Det är således fråga om en uppföljning av verksamheten med planering av åtgärder som ska vidtas i framtiden.
Konsekvensen av det anförda är att i beskattningsverksamheten är det tillåtet att behandla uppgifter om personalen endast om det kan ske inom ramen för de ändamål som anges i skattedatabaslagen.
Det ovanstående gör det möjligt att hämta uppgifter ur beskattningsdatabasen och sambearbeta uppgifterna i en lokal databas med relevanta personuppgifter om handläggare. En sådan behandling sker i formell mening utanför beskattningsdatabasen om uppgifterna endast är tillgängliga för en snäv krets personer t.ex. ansvariga chefer.
Det som sagts i detta delavsnitt avser endast behandlingar som har sin grund i tillåten behandling i beskattningsverksamheten. Se vidare under avsnitt 4.1.
En förutsättning för att behandling av personuppgifter angående personalen definitionsmässigt ska kunna hänföras till beskattningsverksamheten är att behandlingen kan ske inom ramen för de ändamål som anges i skattedatabaslagen.
Om ändamålet med en uppföljning av personalen inte överensstämmer med tillåtna ändamål enligt beskattningsdatabaslagen måste uppföljningen sägas ske i den personaladministrativa verksamheten. Vid en sådan uppföljning ska personuppgiftslagens bestämmelser tillämpas vid behandlingen av personuppgifter. Det innebär bl.a. att behandlingen måste kunna hänföras till något av de fall som anges i 10 § PuL (se vidare avsnitt 4.2).
En konsekvens av det ovanstående är att det inte är tillåtet att för personaladministrativa ändamål sambearbeta uppgifter ur beskattningsdatabasen med personuppgifter i den personaladministrativa verksamheten. Det är en följd av att uppgifterna i beskattningsdatabasen endast får behandlas för de ändamål som anges i skattedatabaslagen (se vidare avsnitt 4.1).