OBS: Detta är utgåva 2017.6. Sidan är avslutad 2018.
Bestämmelser för hur Skatteverket får behandla personuppgifter och andra uppgifter elektroniskt i Skatteverkets beskattningsverksamhet finns i SdbL, SdbF och PuL. Författningarna innehåller bestämmelser om ändamål för behandlingen, vilka uppgifter som får behandlas och hur uppgifterna får behandlas.
Dessutom finns det bestämmelser om sekretess för uppgifter i beskattningsverksamheten.
SdbL anger ramarna för hur Skatteverket får behandla personuppgifter i beskattningsverksamheten.
Skatteverket får behandla personuppgifter med stöd av SdbL, även om den registrerade personen inte har lämnat sitt samtycke till behandlingen. En registrerad person har inte rätt att motsätta sig en sådan behandling av uppgifter som är tillåten enligt SdbL (1 kap. 2 § andra stycket SdbL).
Det finns ytterligare bestämmelser om elektronisk behandling av uppgifter i Skatteverkets beskattningsverksamhet i SdbF och i Riksskatteverkets föreskrifter om vilka uppgifter som får behandlas enligt 2 kap. 3 § SdbL (RFSF 2002:13). Därutöver ska Skatteverket tillämpa vissa bestämmelser i PuL (1 kap. 3 § SdbL).
Personuppgifter får behandlas elektroniskt bara för särskilda, uttryckligt angivna och berättigade ändamål. I SdbL står det för vilka ändamål Skatteverket får behandla uppgifter elektroniskt i de verksamheter där SdbL ska tillämpas. Ändamålsbestämmelserna finns i 1 kap. 4–5 §§ SdbL. De angivna ändamålen gäller för behandling av uppgifter både i och utanför beskattningsdatabasen.
Ändamålen delas in i primära ändamål och sekundära ändamål. De primära ändamålen är ändamål som är direkt anpassade till Skatteverkets verksamhet, t.ex. bestämmande av skatt eller genomförande av en revision. De sekundära ändamålen är ändamål som avser andra myndigheters eller enskildas verksamhet, t.ex. Kronofogdemyndighetens indrivningsverksamhet eller tillsynsmyndigheters tillståndsprövning enligt AL.
Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna från början samlades in. Detta kallas finalitetsprincipen.
Skatteverket får behandla uppgifter som Skatteverket behöver för något av följande ändamål (1 kap. 4 § första stycket SdbL och prop. 2000/01:33 s. 198):
Bestämmelsen om de primära ändamålen omfattar praktiskt taget all verksamhet inom beskattningsområdet som Skatteverket ska utföra. Den omfattar även en viss annan verksamhet som inte utgör en del av beskattningsförfarandet, men som Skatteverket ändå ansvarar för (prop. 2000/01:33 s. 197).
En grundläggande förutsättning för att Skatteverket över huvud taget ska få behandla en uppgift är att uppgiften behövs i beskattningsverksamheten. Beskattningsdatabasen får inte innehålla några uppgifter som inte behövs för de primära ändamålen, utan endast är till nytta för de sekundära ändamålen, t.ex. för Kronofogdemyndighetens verksamhet (prop. 2000/01:33 s. 128).
Uppgifter som Skatteverket redan behandlar för något av de primära ändamålen får under vissa förutsättningar behandlas även för andra ändamål, s.k. sekundära ändamål. I SdbL anges under vilka förutsättningar detta får ske.
Uppgifter som Skatteverket redan behandlar för något av de primära ändamålen får behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för följande ändamål (1 kap. 5 § SdbL och prop. 2000/01:33 s. 198 f.):
Uppgifter som Skatteverket redan behandlar för något av de primära ändamålen får behandlas även för att tillhandahålla information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar (1 kap. 4 § andra stycket SdbL). Det är emellertid viktigt att det inte råder något tvivel om att beskattningsverksamheten och den brottsbekämpande verksamheten inom Skatteverket bedrivs åtskilda (prop. 2000/01:33 s. 126). Eventuell sekretess gäller även mellan Skatteverkets olika verksamhetsgrenar.
Uppräkningen av de sekundära ändamålen i SdbL är inte uttömmande. Skatteverket får behandla uppgifter för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning (1 kap. 5 § andra stycket SdbL). En sådan lagreglerad uppgiftsskyldighet finns bl.a. i 2 § lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Det finns bestämmelser om att använda och lämna ut uppgifter från Skatteverkets beskattningsverksamhet även i andra författningar, t.ex. SparL, SparF och kreditupplysningslagen (1973:1173). Sådana bestämmelser kan tillåta både att uppgifter som omfattas av SdbL används och lämnas ut på ett elektroniskt medium.
Bestämmelser i SdbL och andra författningar som medger att Skatteverket får behandla uppgifter för att lämna ut information till angivna mottagare, innebär bara att den elektroniska behandlingen av uppgifterna är tillåten. Dessa bestämmelser anger vanligtvis inte något om vad som gäller angående eventuell sekretess. En vanlig sekretessprövning måste därför göras innan några uppgifter eventuellt lämnas ut.
När Skatteverket behandlar personuppgifter inom beskattningsverksamheten ska PuL:s bestämmelser om bland annat grundläggande krav på behandling av personuppgifter, säkerhet vid behandling av uppgifter och överföring av personuppgifter till utlandet tillämpas (1 kap. 3 § SdbL). Det innebär i korthet att följande krav ställs på behandlingen.
Skatteverket kan behandla personuppgifter och andra uppgifter elektroniskt i beskattningsverksamheten, både i och utanför den s.k. beskattningsdatabasen. Det är viktigt att veta var en uppgift behandlas, eftersom olika bestämmelser gäller för behandling av uppgifter i respektive utanför beskattningsdatabasen.
Beskattningsdatabasen är en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom verksamheten för de ändamål (se ovan) som anges i 1 kap. 4–5 §§ SdbL (2 kap. 1 § SdbL). Begreppet databas är en juridisk beteckning. Begreppet är inte knutet till hur en samling av uppgifter är uppbyggd eller hur den lagras rent tekniskt. En databas kan innehålla flera register och flera andra uppgiftssamlingar.
För att en uppgift ska anses ingå i beskattningsdatabasen ska den användas gemensamt inom verksamheten. Med detta menas att uppgiften behandlas på ett sätt som medför att den utgör ”allmän egendom” i verksamheten (SOU 1999:105 s. 231).
En uppgift anses vara gemensamt använd om den registreras och lagras i ett datasystem på ett sådant sätt att anställda inom en myndighet har möjlighet att vid behov och i olika sammanhang ta del av uppgiften direkt på automatiserad väg. Att olika personalkategorier har olika behörighet och att vissa uppgifter därför i praktiken är åtkomliga endast för ett begränsat antal personer, förtar i sig inte uppgifternas egenskap som gemensamt använda (prop. 2000/01:33 s. 89 f.).
En uppgift anses inte vara gemensamt använd om den lagras elektroniskt på hårddisken i en dator eller på en server hos en myndighet när en anställd arbetar med ordbehandling. Uppgiften är i sådana situationer vanligtvis tillgänglig bara för den anställda själv och exempelvis systemadministratören (prop. 2000/01:33 s. 89 f.).
Med behandling utanför beskattningsdatabasen menas all elektronisk behandling av uppgifter inom beskattningsverksamheten som görs utanför beskattningsdatabasen. Exempel på behandlingar utanför databasen är
För behandling av uppgifter i beskattningsdatabasen gäller särskilda bestämmelser. Det är från integritetssynpunkt viktigt att det finns särskilda skyddsregler för stora uppgiftssamlingar som ger möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer (prop. 2000/01:33 s. 91).
Skatteverket ska tillämpa både de särskilda bestämmelserna i 2 kap. SdbL och de allmänna bestämmelserna i 1 kap. och 3 kap. SdbL vid behandling uppgifter i beskattningsdatabasen. Dessutom ska PuL:s bestämmelser om grundläggande krav på behandling av personuppgifter tillämpas.
Beskattningsdatabasen består teoretiskt sett av en uppgiftsdel och en handlingsdel. Det är noggrant reglerat vilka uppgifter Skatteverket får behandla i uppgiftsdelen. Denna del innehåller uppgiftssamlingar som t.ex. identitetsuppgifter, beloppsuppgifter från deklarationer, slutskatteuppgifter. Handlingsdelen innehåller handlingar i ärenden som handläggs elektroniskt. Det kan både vara handlingar som har kommit in till Skatteverket och handlingar som har upprättats inom Skatteverket. Exempel på sådana handlingar är inkomstdeklaration, svar på förfrågningar, kommunikation efter överväganden och beslut.
Samma uppgifter kan förekomma i både uppgiftsdelen och handlingsdelen i beskattningsdatabasen. Ett exempel på detta är uppgifter i en elektronisk inkomstdeklaration som är ingiven i form av ett elektroniskt dokument. Deklarationen lagras i handlingsdelen i den fixerade form som den lämnades in i. Dessutom förs de enskilda uppgifterna från deklarationen in i uppgiftsdelen i beskattningsdatabasen. I uppgiftsdelen kan Skatteverket göra beräkningar, kontroller m.m., exempelvis jämförelser med kontrolluppgifter. Nästan alla uppgifter som förekommer på en inkomstdeklaration får föras in i uppgiftsdelen. Det kan dock finnas uppgifter som den skattskyldiga har antecknat som ”övriga upplysningar” som Skatteverket endast får behandla i handlingsdelen.
I beskattningsdatabasen får Skatteverket behandla uppgifter om personer som omfattas av de verksamheter som anges i 1 kap. 4 § 1–9 SdbL (2 kap. 2 § SdbL). Skatteverket får behandla uppgifter om andra personer bara om det behövs för att handlägga ett ärende. De personer som avses är både fysiska och juridiska personer. Exempelvis får uppgifter om en make eller ett hemmavarande barn behandlas, liksom uppgifter om en företrädare för en juridisk person eller en revisor (prop. 2000/01:33 s. 200).
I beskattningsdatabasens uppgiftsdel får Skatteverket enbart behandla vissa förutbestämda uppgifter. Uppgifterna ska behövas för de ändamål som anges i 1 kap. 4 § SdbL.
Bestämmelser om vilka uppgifter som får behandlas finns i SdbL, SdbF och Riksskatteverkets föreskrifter om vilka uppgifter som får behandlas enligt 2 kap. 3 § SdbL (RFSF 2002:13).
Skatteverket får behandla nedanstående uppgifter i beskattningsdatabasen, under förutsättning att uppgifterna behövs för något av de ändamål som anges i SdbL (2 kap. 3 § SdbL och prop. 2000/01:33 s. 200 f.).
I databasen får Skatteverket även behandla andra uppgifter som behövs för att fullgöra en skyldighet som följer av ett bindande internationellt åtagande för Sverige (2 kap. 3 § andra stycket SdbL).
Uppgifter om förflyttningar och kontroller av punktskattepliktiga varor som ingår i EMCS-systemet får behandlas i beskattningsdatabasen (2 kap. 4 a § SdbL och 3 § SdbF). Vilka uppgifter som ska ingå i det datoriserade systemet har bestämts på EU-nivå och är samma i alla medlemsstater (prop. 2011/12:155 s. 108).
Vilka uppgifter som får behandlas i beskattningsdatabasen beskrivs närmare i 2 § SdbF. Där står det att Skatteverket i databasen får behandla uppgifter
Skatteverket har närmare preciserat vilka uppgifter som Skatteverket får behandla i beskattningsdatabasen i Riksskatteverkets föreskrifter om vilka uppgifter som får behandlas enligt 2 kap. 3 § SdbL (RFSF 2002:13).
Skatteverket får behandla följande handlingar i beskattningsdatabasens handlingsdel:
De handlingar som finns i handlingsdelen i beskattningsdatabasen kallas elektroniska handlingar. De elektroniska handlingarna kan jämställas med pappershandlingar. De har ett bestämt, fixerat innehåll och de går att återskapa gång på gång.
En elektronisk inkomstdeklaration som lämnas in i form av ett elektroniskt dokument är ett exempel på en elektronisk handling som behandlas i beskattningsdatabasen. En sådan handling är försedd med den skattskyldigas elektroniska underskrift och betraktas rättsligt på samma sätt som en underskriven pappersdeklaration.
Skatteverket får endast i undantagsfall behandla känsliga personuppgifter och uppgifter om lagöverträdelser i beskattningsdatabasen. Det finns särskilda bestämmelser för när sådana uppgifter får behandlas i uppgiftsdelen respektive i handlingsdelen.
Det är noggrant reglerat vilka uppgifter Skatteverket får behandla i uppgiftsdelen i beskattningsdatabasen. Bland annat får uppgifter om registrerat trossamfund och uppgifter om medlemskap i en fackförening behandlas (2 kap. 3 § 9 SdbL). Dessa uppgifter utgör känsliga personuppgifter. Några andra känsliga personuppgifter än dessa får inte behandlas i uppgiftsdelen. Uppgifter om lagöverträdelser får över huvud taget inte behandlas i uppgiftsdelen.
Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser i handlingsdelen i beskattningsdatabasen om en av följande förutsättningar är uppfylld (2 kap. 4 § SdbL):
Att Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser om de finns i en handling som kommer in till Skatteverket, beror på att Skatteverket inte kan påverka innehållet i de handlingar som kommer in till myndigheten.
Att Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser i en handling som upprättas inom myndigheten, beror på att det inte är möjligt att förutse de olika situationer som kan uppstå i hanteringen av ärenden. Skatteverket kan i ett beslut eller någon annan handling behöva skriva om sakomständigheter eller argument som innefattar uppgifter av vitt skilda slag. Att behandlingen av de aktuella uppgifterna ska vara nödvändig innebär inte att det krävs att det är omöjligt att hantera frågorna på något annat sätt, t.ex. genom pappershantering eller genom att utelämna vissa delar av skälen för ett beslut. Vad som avses är att behandlingen ska vara nödvändig för att myndigheten ska kunna hantera sina ärenden enligt gällande rutiner och regler (prop. 2000/01:33 s. 101 f.).
När Skatteverket söker efter en elektronisk handling i beskattningsdatabasen får enbart följande uppgifter användas som sökbegrepp (2 kap. 10 § första stycket SdbL):
Sökbegränsningen gäller när man söker efter handlingar. Begränsningen gäller inte när man söker i handlingar när handlingarna väl har identifierats. Några sökbegränsningar gäller således inte vid sökning i en handling (prop. 2000/01:33 s. 203). Det är alltså tillåtet att använda till exempel de sökmöjligheter som finns i ordbehandlingsprogrammet Word för att söka fram ett visst avsnitt eller en viss uppgift i en handling.
Känsliga personuppgifter och uppgifter om lagöverträdelser får inte användas som sökbegrepp i någon del av beskattningsdatabasen utom vid sökning i en redan identifierad handling (2 kap. 10 § andra stycket SdbL).
Skatteverket får göra sammanställningar av uppgifter som behandlas elektroniskt inom beskattningsverksamheten. Exempelvis sammanställningar i samband urvalsverksamhet och analysverksamhet. Att göra en sammanställning innebär att man behandlar uppgifterna och att man måste följa samtliga tillämpliga bestämmelser i SdbL, SdbF och PuL. Det är särskilt viktigt att Skatteverket säkerställer att en sådan behandling enbart görs för de ändamål (se ovan) som anges i 1 kap. 4 och 5 §§ SdbL och att den föreskrivna gallringen av uppgifterna görs.
I uppgiftsdelen i beskattningsdatabasen finns det väldigt många uppgifter som kan sammanställas i en mängd olika konstellationer. En sammanställning av sådana uppgifter sker ofta genom att uppgifterna visas i olika terminalbilder. Vilka uppgifter som ska visas och hur de ska visas är då bestämt i förväg.
Skatteverket ska tillämpa de allmänna bestämmelserna i 1 kap. och 3 kap. SdbL för behandling av uppgifter utanför beskattningsbasen. Dessutom ska PuL:s bestämmelser om grundläggande krav på behandling av personuppgifter tillämpas.
Skatteverket kan behandla uppgifter utanför beskattningsdatabasen för t.ex. följande ändamål:
Uppgifter som Skatteverket behandlar utanför beskattningsdatabasen får bevaras under relativt kort tid. Behandlingar utanför databasen kallas därför ofta för tillfälliga behandlingar.
När Skatteverket sambearbetar uppgifter som finns i beskattningsdatabasen med uppgifter som inte finns i databasen ska de allmänna bestämmelserna om behandling av personuppgifter i Skatteverkets beskattningsverksamhet tillämpas, se ovan. Bearbetningen måste då ske utanför det gemensamma systemet och bestämmelserna i 1 och 3 kap. SdbL ska tillämpas (prop. 2000/01:33 s. 200).
En grundläggande förutsättning för att uppgifter ska få behandlas elektroniskt utanför beskattningsdatabasen är att uppgifterna behövs för de ändamål (se ovan) som anges i 1 kap. 4 och 5 §§ SdbL. Ändamålsbestämmelserna gäller all behandling av uppgifter som utförs inom ramarna för SdbL.
Det finns särskilda bestämmelser för behandling av känsliga personuppgifter, uppgifter om lagöverträdelser och uppgifter om personnummer utanför beskattningsdatabasen.
Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser utanför beskattningsdatabasen enbart om någon av följande förutsättningar är uppfyllda (1 kap. 7 § SdbL):
Skatteverket får behandla personnummer utanför beskattningsdatabasen bara om förutsättningarna i 22 § PuL för behandling av personnummer är uppfyllda (1 kap. 3 § andra stycket SdbL).
Det finns inga begränsningar i SdbL av vilka ord som Skatteverket får använda som sökbegrepp vid sökning efter uppgifter eller handlingar utanför beskattningsdatabasen.
Skatteverket anser att det i princip saknas rättsliga förutsättningar för Skatteverket att bygga upp informationssamlingar utanför beskattningsdatabasen med information om skattskyldiga. Anledningen till detta är att det är svårt för Skatteverket att säkerställa att den lokala informationssamlingen hanteras i enlighet med gällande bestämmelser om t.ex. gallring, registerutdrag, säkerhetsåtgärder och information om behandlingen.