Områden: Dataskydd & sekretess
Datum: 2005-01-24
Dnr: 130 26909-05/111
Nytt: 2023-05-04
Detta ställningstagande ska inte längre tillämpas. Det ersätts av Skatteverkets ställningstagande 2023-02-01, dnr. 8-2178747.
I Skatteverkets beskattningsverksamhet får databaser och andra elektroniska uppgiftssamlingar om skattskyldiga i princip inte byggas upp vid sidan av beskattningsdatabasen annat än om de är av tillfällig natur. I den mån verket på eget initiativ avser att hämta in uppgifter från externa uppgiftslämnare - företag eller myndigheter - för att bearbetas eller samköras med beskattningsdatabasen krävs att hanteringen sker i överensstämmelse med skattedatabaslagens bestämmelser. Bestämmelserna innebär bl.a. att de inhämtade uppgifterna inte annat än under en begränsad tid får sparas i elektronisk form.
Inom delar av skatteverksamheten har det uppstått frågor om och i vilka situationer det är tillåtet att bygga upp "lokala" elektroniska informationssamlingar utanför de etablerade gemensamma systemen.
Vid behandling av uppgifter om enskilda i Skatteverkets beskattningsverksamhet tillämpas lag en (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet(SdbL ), nedan även benämnd skattedatabaslagen.
När det gäller den rättsliga regleringen angående informationssamlingar om enskilda är det av betydelse hur uppgifterna kommer att vara tillgängliga inom verket. Frågan är om uppgifterna kommer att ingå i det som benämns beskattningsdatabasen eller om uppgifterna i praktiken enbart kommer att vara åtkomliga för en enskild handläggare genom att de lagras på en hårddisk eller i en server. För att kunna kommentera frågorna är det viktigt att vara klar över om behandlingen sker inom eller utanför beskattningsdatabasen. Under de två följande avsnitten redogörs för de rättsregler som avgör till vilken kategori behandlingen är att hänföra.
I dokumentet förutsätts att behandlingen av uppgifter sker inom ramen för de tillåtna primära ändamål som räknas upp i 1 kap. 4 § SdbL.
Begreppet "beskattningsdatabasen" är definierat i 2 kap. 1 § SdbL. Av lagrummet framgår att beskattningsdatabasen utgörs av en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för i 1 kap. 4 och 5 §§ SdbL angivna ändamål. Det är således fråga om elektroniskt lagrade uppgifter som används gemensamt inom skatteverksamheten.
En uppgift anses gemensamt tillgänglig och därmed utgörande en del av beskattningsdatabasen om den registreras i ett datasystem på ett sådant sätt att tjänstemännen inom en myndighet har möjlighet att - med beaktande av eventuella behörighetsinskränkningar - vid behov och i olika sammanhang ta del av uppgiften direkt på automatiserad väg (jämför prop. 2000/01:33 s. 89). Uppgiften ska således kunna användas gemensamt i en verksamhet för de ändamål som styr behandlingen av uppgifter inom verksamheten. Av betydelse för bedömningen är inte hur uppgiften tekniskt lagras, utan den faktiskt åsyftade tillgängligheten(se SOU 1999:105 s. 231).
Detta innebär att uppgifter som lagras elektroniskt på hårddisken i en dator eller i en server i samband med att en tjänsteman tillfälligt behandlar uppgifterna inte kan anses gemensamt tillgängliga eftersom syftet med en sådan tillfällig behandling inte är att uppgifterna ska användas av andra än den som utför behandlingen (se nämnda SOU s. 232).
Beskattningsdatabasen består av två delar, nämligen en informationsdel och en handlingsdel (elektroniska akter).
Genom att begreppet beskattningsdatabasen har definierats är det möjligt att skilja på om sparade elektroniska uppgifter är att hänföra till en tillfällig eller tidsbegränsad behandling eller till beskattningsdatabasen (som är särskilt reglerad till sitt innehåll och där uppgifterna ska bevaras under lång tid).
När det gäller beskattningsdatabasens informationsdel får den endast innehålla sådana uppgifter som anges i lag, förordning eller i föreskrifter av Skatteverket.
Regeringen har i det underliggande lagstiftningsärendet (prop. 2000/01:33 s. 91) bl.a. uttalat att det från integritetssynpunkt är viktigt att "stora uppgiftssamlingar som hanteras av myndigheter och som ger möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer, omgärdas av särskilda skyddsregler".
I lagstiftningsärendet anförde regeringen vidare att för "behandling av uppgifter i databaser bör därför särskilda bestämmelser gälla på en rad punkter". Som exempel på det senare nämnde regeringen bl.a. frågan om vilka uppgifter som får behandlas i databaser, vilken åtkomst myndigheter och andra ska ha till uppgifterna samt vilka regler som ska gälla för bevarande och gallring. Beträffande den närmare avgränsningen av de olika uppgifterna i beskattningsdatabasen ansåg dock regeringen att det bör ankomma på Skatteverket att föreskriva om denna.
I ovan nämnda lagstiftningsärende (s. 84) har regeringen framhållit att de grundläggande principerna för att skydda den enskildes integritet bör regleras i lag medan frågor som inte är centrala från integritetssynpunkt i stället bör regleras i förordning. Det innebär således att skattedatabaslagen innehåller de yttre ramarna för vad beskattningsdatabasen får innehålla.
En förutsättning för att det ska vara fråga om en behandling inom beskattningsdatabasen är - som ovan påpekats - att det föreligger en "gemensam användning". Med detta avses att tjänstemän har möjlighet att vid behov och i olika sammanhang ta del av uppgiften direkt på automatiserad väg, givetvis med beaktande av eventuella behörighetsinskränknngar. Detta förutsätter dock att det är fråga om sådana uppgifter som beskattningsdatabasen får innehålla.
Som påpekats ovan innehåller skattedatabaslagens bestämmelser de yttre ramarna för vad beskattningsdatabasen får innehålla. I förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns mer detaljerad reglering av vilka uppgifter som får behandlas i beskattningsdatabasen . Skatteverket har dessutom med stöd av 2 kap. 3 § tredje stycket SdbL i RSFS 2002:13 meddelat föreskrifter om vilka uppgifter som får behandlas i beskattningsdatabasen.
Den rättsliga regleringen av beskattningsdatabasen innebär att det är förutsebart vilket innehåll databasen har. Regleringen ses därför som viktig från integritetsskyddssynpunkt.
Beträffande beskattningsdatabasen kan det noteras att de där lagrade uppgifterna får användas för samtliga de i 1 kap.4 och 5 §§ SdbL angivna ändamålen. När det däremot gäller inhämtade och tillfälligt elektroniskt lagrade uppgifter (utanför beskattningsdatabasen) får dessa som regel inte behandlas (användas) för andra ändamål än för de som uppgifterna enligt 1 kap. 4 § SdbL samlades in (t.ex. för det eller de ändamål som bestämts för ett kontrollprojekt), se även 1 kap.3 § SdbL jämförd med 9 § första stycket d PuL. Beträffande behandlingar utanför beskattningsdatabasen hänvisas till avsnitt 3.3.
När uppgifter behandlas utanför beskattningsdatabasen är inte 2 kap. SdbL tillämpligt på behandlingen. I stället gäller 1 kap. samma lag.
Att en behandling förekommer utanför beskattningsdatabasen kan enklast beskrivas som att det då är fråga om personuppgifter som lagras elektroniskt utanför beskattningsdatabasen. Insamling av omfattande uppgifter från tredje man kan exempelvis ske i urvals- och kontrollprojekt. Sådana uppgifter kan också bli föremål för sambearbetning av uppgifter i beskattningsdatabasen.
Elektroniskt lagrade uppgifter utanför beskattningsdatabasen måste enligt huvudregeln i 1 kap. 8 § SdbL gallras senast ett år efter det att ärendet avslutats.
Informationen får dock bevaras även efter ettårsfristen som en del av ett nytt ärende (jfr SOU 1999:105 s. 226).
Regeringen eller Riksarkivet kan meddela föreskrifter om andra gallringsfrister. Som exempel på föreskrifter från Riksarkivet kan nämnas RA-MS 2003:58. De nämnda föreskrifterna avser bl.a. uppgifter angående kontrollprojekt vid tred jemansrevision eller vid tredjemansföreläggande. Sådana uppgifter hos Skatteverket ska gallras när uppgifterna inte längre behövs för verksamheten, dock senast när projektet avslutats.
Beträffande skattedatabaslagens bestämmelser hänvisas till kommentarerna i avsnitt 10.5.2 i Offentligt eller hemligt (SKV 148 utgåva 3).
I princip saknas det rättsliga förutsättningar för Skatteverket att lokalt, vid sidan av beskattningsdatabasen, bygga upp elektroniska uppgiftssamlingar med information om skattskyldiga.
Grunden till det nämnda konstaterandet är bestämmelserna i 2 kap. 1-4 §§ SdbL som innehåller de yttre ramarna för vad beskattningsdatabasen får innehålla. Skatteverket måste i sin egenskap av personuppgiftsansvarig säkerställa så att den nämnda regleringen iakttas. Detta är i praktiken inte möjligt - eller i vart fall mycket svårt - om lokala databaser byggs upp.
Ett ytterligare skäl, som enligt Skatteverkets bedömning hindrar en uppbyggnad av lokala komplement till beskattningsdatabasen, är de gallringsbestämmelser som gäller för denna (2 kap. 11-13 §§ SdbL). För databaser som innehåller integritetskänsliga uppgifter har det i lag uppställts huvudregler för när gallring ska ske. Det åligger således Skatteverket att säkerställa att de olika uppställda gallringstiderna för beskattningsdatabasens uppgifter iakttas. På grund härav och av tekniska skäl försvåras detta om olika lokala system byggs upp.
Det kan vidare nämnas att Skatteverkets hantering av information till den registrerade som ska lämnas enligt 26 § PuL (tidigare benämnt registerutdrag)jämförd med 3 kap. 1-2 §§ SdbL i hög grad förutsätter ett centralt system.
Även säkerhetsskäl (se bl.a. 1 kap. 3 § 4 SdbL jämförd med 31 § PuL) får anses förutsätta att uppgifter i beskattningsdatabasen finns i ett centralt system.
I sammanhanget erinras om den dokumentationsplikt som åvilar Skatteverket enligt 1 kap.3 § 7 SdbL jämförd med 42 § PuL.
Slutsatsen av det anförda blir - enligt Skatteverkets bedömning - följande.
I samband med bl.a. förberedelser av kontrollprojekt (enligt t.ex. riksplanen eller andra projekt) och under hanteringen av pågående ärenden kan det finnas behov av att under en viss tid elektroniskt sammanställa inhämtade uppgifter eller samköra inhämtade elektroniska uppgifter med uppgifter i beskattningsdatabasen. En sådan typ av behandlingar sker i formell mening utanför beskattningsdatabasen. Det innebär att bestämmelserna i 1 kap. SdbL ska tillämpas.
Vissa typer av inhämtade uppgifter kan behöva lagras under en längre tid. Så är exempelvis fallet när Skatteverket inför urvals- eller kontrollprojekt inhämtar uppgifter genom tredjemansförelägganden och tredjemansrevisioner. Uppgifter från tredje man - dvs. någon annan än den som kontrollen avser - kan vara mycket omfattande och kan behöva bearbetas t.ex. genom samkörning av uppgifter i beskattningsdatabasen. Som nämnts under avsnitt 3.3 har Riksarkivet föreskrivit - med undantag från den annars gällande ettårsregeln - att uppgifterna i dessa fall måste gallras senast när projektet avslutats.
När det gäller uppgifter som behandlas automatiserat i ett ärende - inte i en databas - är huvudregeln att uppgifterna ska gallras senast ett år efter att ärendet har avslutats. Som exempel på elektroniska uppgifter i ett ärende kan nämnas sparade Word-dokument och Excel-dokument.