OBS: Detta är utgåva 2018.11. Visa senaste utgåvan.

Skatteverket måste alltid ha minst en rättslig grund för varje behandling av personuppgifter. Om det inte finns någon rättslig grund är behandlingen inte laglig och därmed inte tillåten.

Skatteverket måste ha minst en rättslig grund

Enligt artikel 6 EU:s dataskyddsförordning är en behandling av personuppgifter laglig endast om minst ett av följande villkor är uppfyllt:

  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
  • Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
  • Behandling är nödvändig för att fullgöra ett avtal i vilket den registrerade är part.
  • Den registrerade har samtyckt till behandlingen.
  • Behandlingen är nödvändig för ändamål som gäller den personuppgiftsansvariges eller tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande fri- och rättigheter väger tyngre.
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

Allmänt intresse och myndighetsutövning

Skatteverket får behandla personuppgifter om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (artikel 6.1 e EU:s dataskyddsförordning och 2 kap. 2 § 1 den kompletterande dataskyddslagen).

Skatteverket får också behandla personuppgifter om behandlingen är nödvändig som ett led i Skatteverkets myndighetsutövning enligt lag eller annan författning (artikel 6.1 e EU:s dataskyddsförordning och 2 kap. 2 § 2 den kompletterande dataskyddslagen).

För att behandling av personuppgifter ska vara laglig enligt artikel 6.1 e i EU:s dataskyddsförordning måste den uppgift som Skatteverket utför dels vara av allmänt intresse (eller utgöra ett led i myndighetsutövning), dels vara fastställd i enlighet med unionsrätten eller den nationella rätten. Berörd verksamhet i myndigheten måste således ha ett stöd i någon av de källor som tillsammans bildar rättsordningen. Vidare måste behandlingen vara nödvändig för ett ändamål som är nödvändigt för att utföra uppgiften.

Ett exempel är när Skatteverket behandlar personuppgifter i beskattningsverksamheten. Den rättsliga grunden för behandlingen finns då i t.ex. skatteförfarandelagen eller inkomstskattelagen. Ett annat exempel när Skatteverket behandlar personuppgifter i folkbokföringsverksamheten. Den rättsliga grunden finns då i folkbokföringslagen och andra författningar inom folkbokföringsområdet.

Rättlig förpliktelse

Skatteverket får behandla personuppgifter om behandlingen är nödvändig för att myndigheten ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (artikel 6.1 c EU:s dataskyddsförordning och 2 kap. 2 § den kompletterande dataskyddslagen).

Ett exempel är när Skatteverket lämnar ut allmänna handlingar i enlighet med offentlighetsprincipen (2 kap. 1 § TF). Bestämmelserna i TF om utlämnande av allmänna handlingar är en sådan rättslig förpliktelse som ligger på Skatteverket och som gör att Skatteverket får behandla de personuppgifter som är nödvändiga för att verket ska kunna lämna ut handlingarna.

Avtal med den registrerade

Skatteverket får behandla personuppgifter om behandlingen är nödvändig för att myndigheten ska kunna fullgöra ett avtal med den registrerade. Skatteverket får också behandla personuppgifter innan ett avtal har ingåtts, om behandlingen är nödvändig för att vidta åtgärder på den registrerades begäran (artikel 6.1 b EU:s dataskyddsförordning).

Samtycke

Samtycke regleras närmare i artikel 4 punkt 11 och i artikel 7-8 EU:s dataskyddsförordning.

Vad menas med samtycke?

Med samtycke menas att den registrerade personen godkänner personuppgiftsbehandlingen. Samtycket ska ges efter att personen har fått information om behandlingen. Samtycket ska vara frivilligt och ges genom en specifik och otvetydig viljeyttring.

Hur kan en person lämna samtycke?

Om behandlingen grundar sig på samtycke ska den personuppgiftsansvarige kunna visa att den som personuppgifterna avser har samtyckt till behandlingen. För Skatteverkets del kan det bli aktuellt att inhämta samtycke t.ex. när verket samlar in namn och e-postadresser inför och vid en informationsträff för att deltagarna ska kunna få ytterligare information senare.

Det finns inget formkrav för hur samtycke ska lämnas. Samtycke kan lämnas både muntligt och skriftligt.

Skatteverket är ansvarigt för den personuppgiftsbehandling som utförs inom myndigheten. Skatteverket måste därför kunna visa att ett samtycke finns, om samtycke är en förutsättning för att Skatteverket ska kunna utföra viss personuppgiftsbehandling. Verket bör därför dokumentera enskilda personers samtycke. Av dokumentationen bör framgå t.ex.

  • Vilka personuppgifter Skatteverket kommer att behandla.
  • För vilka ändamål uppgifterna kommer att behandlas.
  • Hur länge Skatteverket kommer att bevara uppgifterna.
  • Hur en person kan återkalla sitt samtycke.

Återkallelse av samtycke

Den registrerade har rätt att när som helst återkalla sitt samtycke. Det ska vara lika lätt att återkalla som att ge sitt samtycke. Om en registrerad återkallar sitt samtycke får Skatteverket inte behandla fler uppgifter om personen. Det blir däremot inte olagligt att behandla de personuppgifter som redan behandlas när samtycket återkallas.

Intresseavvägning

Det kan vara tillåtet att behandla personuppgifter efter en intresseavvägning. Det krävs då att behandlingen är nödvändig för berättigade intressen som väger tyngre än den registrerades intresse av skydd för sina personuppgifter (artikel 6.1 f EU:s dataskyddsförordning).

Myndigheter kan inte stödja sin behandling av personuppgifter på intresseavvägning när de behandlar uppgifter vid fullgörande av sina uppgifter. Skatteverkets behandling av personuppgifter när verket fullgör sina uppgifter kan alltså inte ske med stöd av intresseavvägning.

Skydda grundläggande intressen

Behandling av personuppgifter är tillåten om behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (artikel 6.1 d EU:s dataskyddsförordning). Det är fråga om sådana intressen som är avgörande för den registrerades eller för någon annan persons liv.

Referenser på sidan

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3] [4] [5] [6] [7] [8]

Lagar & förordningar

  • Folkbokföringslag (1991:481) [1]
  • Inkomstskattelag (1999:1229) [1]
  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2] [3]
  • Skatteförfarandelag (2011:1244) [1]
  • Tryckfrihetsförordning (1949:105) [1]