OBS: Detta är utgåva 2018.13. Sidan är avslutad 2020.

Personuppgiftsansvar är ett centralt begrepp i dataskyddslagstiftningen. Utgångspunkten är att det alltid ska finnas någon som bär ansvaret för att dataskyddsreglerna följs vid behandling av personuppgifter och som den registrerade kan vända sig till för att göra sina rättigheter gällande. Som personuppgiftsansvarig är Skatteverket ansvarig för all behandling som utförs under verkets ledning eller på verkets vägnar.

Personuppgiftsansvarig och ansvarets omfattning

Skatteverket är i princip alltid personuppgiftsansvarigt för den behandling av personuppgifter som verket utför i brottsbekämpande syfte.

Den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter, är personuppgiftsansvarig (1 kap. 6 § brottsdatalagen). Endast behöriga myndigheter kan vara personuppgiftsansvariga. Skatteverket blir behörig myndighet genom lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.

Skatteverkets ansvar omfattar all behandling av personuppgifter som utförs under verkets ledning. Det omfattar dels den personuppgiftsbehandling som förekommer vid Skatteverket, dels den behandling som ett personuppgiftsbiträde får utföra på Skatteverkets vägnar. Helhetsansvaret har också betydelse för det skadeståndsrättsliga ansvaret och för eventuella sanktionsavgifter.

Skyldighet att säkerställa författningsenlig behandling

Skatteverket ska som personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att den registrerades rättigheter skyddas. Åtgärderna ska ses över och uppdateras vid behov (3 kap. 2 § brottsdatalagen). En särskild organisatorisk åtgärd som ska vidtas är att anta och dokumentera interna strategier för dataskydd (3 kap. 2 brottsdataförordningen). Dataskyddsarbetet kan i praktisk mening beskrivas som ett riskbaserat arbetssätt där åtgärder vidtas för att minimera identifierade risker som kontinuerligt följs upp med lämplig intervall.

Åtgärderna ska vara rimliga utifrån behandlingens art, omfattning, sammanhang och ändamål och risken för fysiska personers rättigheter och friheter (3 kap. 1 § brottsdataförordningen).

Inbyggt dataskydd

Som personuppgiftsansvarig ska Skatteverket ha ett inbyggt dataskydd. Det innebär att integritetsaspekterna i dataskyddregleringen ska inverka på it-systemen, från förstudie och kravställning via design och utveckling, till användning och avveckling (3 kap. 1 § brottsdataförordningen). Genom krav på att integritetsfrågor ska beaktas under hela den period som personuppgifter behandlas i systemen kan säkerheten höjas och på så sätt medföra att behandlingen blir korrekt och författningsenlig(3 kap. 3 § brottsdatalagen samt prop. 2017/18:232 s. 174).

Dataskydd som standard

I it-system ska det som huvudregel inte vara möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen. Det kan i mer praktisk mening beskrivas som att ett system ska styra användaren så att behandlingen utförs i enlighet med dataskyddsregleringen och exempelvis att grundinställningarna i ett system medför att information inte visas mer än nödvändigt eller på annat sätt behandlas (3 kap. 4 § brottsdatalagen samt prop. 2017/18:323 s. 175).

Loggning i automatiserade system

Som personuppgiftsansvarig är Skatteverket skyldigt att säkerställa att det förs loggar över personuppgiftsbehandlingen i den utsträckning som det är särskilt föreskrivet (3 kap 5 § brottsdatalagen).

Loggning är en säkerhetsåtgärd där behandlingshistorik sparas och möjliggör efterkontroll av den behandling som sker i systemet. Det skapar också förutsättningar för att få information om externa och interna angrepp mot ett system. Loggning är en viktig åtgärd för det interna säkerhetsarbetet. Vilka typer av behandlingar som ska loggas framgår av 3 kap. 4 § brottsdataförordningen.

Det särskilda kravet på loggning avser sådana system som är särskilt utformade eller anpassade där personuppgifter behandlas mer eller mindre strukturerat. Som exempel nämns verksamhetsstöd i form av dokument- eller ärendehanteringssystem och olika typer av register och databaser. Däremot omfattas inte standardprogram som Word eller Outlook av kravet på loggning (prop. 2017/18:232 s. 177).

Denna skyldighet gäller även eventuella personuppgiftsbiträden (3 kap. 19 § brottsdatalagen).

Tillgången till personuppgifter

Skatteverket ska som personuppgiftsansvarig också se till att tillgången till personuppgifter begränsas till vad de anställda behöver för att kunna fullgöra sina arbetsuppgifter (3 kap. 6 § brottsdatalagen och 3 kap.5–7 §§ brottsdataförordningen).

Eftersom Skatteverket har stora mängder uppgifter samlade så att integritetskänsliga uppgifter enkelt är sökbara, finns det en uppenbar risk för intrång i den personliga integriteten. Att tillgången till personuppgifter i så stor utsträckning som möjligt begränsas till vad var och en behöver för att utföra sitt arbete i verksamheten är en viktig åtgärd för att värna om den registrerades integritet (prop. 2017/18:232 s. 180).

Denna skyldighet gäller även eventuella personuppgiftsbiträden (3 kap. 19 § brottsdatalagen).

Konsekvensbedömning och förhandssamråd

Skatteverket ska genomföra en konsekvensbedömning om man inför en ny typ av behandling eller gör betydande förändringar av en redan pågående behandling som antas medföra en särskild risk för registrerads personliga integritet. Detta ska göras innan behandlingen påbörjas eller förändringen genomförs (3 kap. 7 § brottsdatalagen). Vad en konsekvensbedömning ska innehålla framgår av 3 kap. 8 § brottsdataförordningen.

Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska Skatteverket även samråda med Datainspektionen i god tid innan behandlingen påbörjas eller betydande förändringar genomförs (3 kap. 7 § brottsdatalagen).

En konsekvensbedömning kan också vara nödvändig för behandling av personuppgifter i övriga fall – även om det i formell mening inte krävs enligt lagen. Det kan exempelvis vara nödvändigt för att man ska kunna bedöma vilka säkerhets- och skyddsåtgärder som krävs. Dataskyddsregleringen förutsätter i allmänhet att den som ansvarar för behandlingen säkerställer att bestämmelserna följs med utgångspunkt i ett riskbaserat arbetssätt.

Säkerhetsåtgärder

Skatteverket ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan avsiktlig skada.

De omständigheter som särskilt ska beaktas för att lämpliga säkerhetsåtgärder vidtas anges i 3 kap .11 § brottsdataförordningen.

Säkerhetsåtgärden ska vidtas med hänsyn till

  • de tekniska möjligheterna
  • kostnaderna för åtgärderna
  • behandlingens art, omfattning, sammanhang och ändamål
  • om känsliga personuppgifter behandlas
  • hur integritetskänsliga övriga personuppgifter är.

Denna skyldighet gäller även ev. personuppgiftsbiträden (3 kap. 19 § brottsdatalagen).

Personuppgiftsincidenter

För att garantera ett bra skydd ska det även finnas en god förmåga att hantera incidenter som rör behandlingen av personuppgifter. En personuppgiftsincident beskrivs i 1 kap. 6 § brottsdatalagen som en säkerhetsincident som leder till

  • oavsiktlig eller olaglig förstörning av personuppgifter, eller
  • förlust eller ändring av personuppgifter, eller
  • obehörigt röjande av eller obehörig åtkomst till personuppgifter.

En incident kan t.ex. inträffa genom yttre påverkan, men kan också bero på interna brister eller otillåtet handlande inom Skatteverket. Om en incident inträffar ska Skatteverket anmäla den till Datainspektionen inom 72 timmar från att verket har fått kännedom om incidenten. Det gäller dock inte om incidenten ska rapporteras enligt säkerhetsskyddslagen (1996:627) eller tillhörande föreskrifter. En anmälan av incidenten behöver heller inte göras om det är osannolikt att den har medfört eller kommer att medföra någon risk för otillbörligt intrång i den registrerades personliga integritet. (3 kap. 9 § brottsdalagen).

I vissa fall ska även den registrerade underrättas om en incident. Det gäller när den har medfört eller kan antas medföra särskild risk för otillbörligt intrång i den registrerades personliga integritet. Denna skyldighet gäller inte om Skatteverket som personuppgiftsansvarig har vidtagit vissa skyddsåtgärder eller om det skulle medföra oproportionerligt stora ansträngningar för verket (3 kap. 10 § brottsdatalagen). Skatteverket behöver heller inte underrätta den registrerade om det gäller sekretess eller tystnadsplikt för uppgifterna (3 kap. 11 § brottsdatalagen).

Utöver skyldigheterna ovan ska Skatteverket även dokumentera alla incidenter och i vissa fall också meddela behöriga myndigheter i andra medlemsstater för att de också ska bli medvetna om incidenten och kunna vidta åtgärder för att minimera riskerna för negativa konsekvenser (3 kap. 14 och 15 §§ brottsdataförordningen).

Denna skyldighet gäller även eventuella personuppgiftsbiträden (3 kap. 19 § brottsdatalagen).

Skatteverket är skyldigt att ha en förteckning över de behandlingar som verket är ansvarig för

Skatteverket ska förteckna de kategorier av behandlingar som verket är ansvarig för samt särskild information om varje sådan behandling (3 kap. 3 § brottsdataförordningen). Med kategori av behandling avses t.ex. behandling av personuppgifter i ett specifikt register eller inom ramen för ett särskilt projekt eller behandling av uppgifter för ett visst ändamål.

Samarbete med Datainspektionen

Som personuppgiftsansvarig är Skatteverket skyldigt att samarbeta med Datainspektionen när Datainspektionen utför uppgifter enligt brottsdatalagen och tillhörande föreskrifter (3 kap. 12 § brottsdatalagen). Skatteverket är alltså skyldigt att samarbeta med Datainspektionen när inspektionen utövar allmän tillsyn över personuppgiftsbehandling, handlägger klagomål från registrerade, på begäran kontrollerar om personuppgifter behandlas enligt dataskyddsregleringen m.m.

Denna skyldighet gäller även eventuella personuppgiftsbiträden (3 kap. 19 § brottsdatalagen).

Läs mer om Datainspektionens roll som tillsynsmyndighet.

Dataskyddsombud

Skatteverket ska utse ett eller flera dataskyddsombud som bl.a. ska kontrollera att personuppgifter behandlas på ett författningsenligt sätt i brottsbekämpande syfte av verket. Skatteverket ska också anmäla till Datainspektionen när ett dataskyddsombud utses och entledigas (3 kap. 13 § brottsdatalagen och 3 kap 16 § brottsdataförordningen).

Ett dataskyddsombud som utses enligt brottsdatalagen är i formell mening inte ett dataskyddsombud för behandling som faller inom ramen för EU:s dataskyddsförordning och den kompletterande dataskyddslagens tillämpningsområde.

Ett dataskyddsombud ska enligt 3 kap. 14 § brottsdatalagen

  • självständigt kontrollera att Skatteverket behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter
  • informera och ge råd till Skatteverket och övriga som behandlar uppgifter under verkets ledning om deras skyldigheter vid behandling
  • på begäran av Skatteverket ge råd vid en konsekvensbedömning och kontrollera att den sker på rätt sätt
  • vara kontaktperson för enskilda i frågor som rör frågor om behandling
  • samarbeta med Datainspektionen och vara kontaktperson vid förhandssamråd och andra frågor som rör behandling.

Ett dataskyddsombud som utses av Skatteverket ska tillämpa bestämmelserna i OSL. Ett dataskyddsombud anses från sekretessynpunkt delta i verksamheten och inte uppträda självständigt i förhållande till den brottsbekämpande verksamheten (prop. 2017/18:232 s. 414 samt prop. 2017/18:105 s. 132).

I Skatteverkets arbetsordning finns fler föreskrifter om dataskyddsombudets roll, uppdrag och befogenheter.

Personuppgiftsbiträden

Skatteverket får, om det är lämpligt, anlita någon annan att behandla personuppgifter för verkets räkning – ett s.k. personuppgiftsbiträde. Biträdets behandling ska regleras i ett skriftligt avtal eller överenskommelse (3 kap. 16 § brottsdatalagen).

Om det är lämpligt att anlita ett biträde får bl.a. avgöras med utgångpunkt i vilka personuppgifter som ska behandla om sekretess gäller för uppgifterna. Förvaltningsuppgifter kan t.ex. överlämnas åt andra juridiska personer (12 kap. 4 § RF). Om uppgiften innefattar myndighetsutövning, får en sådan överföring bara göras med stöd av lag.

För att Skatteverket ska få anlita ett biträde ska verket först försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska utföras i enlighet med dataskyddsregleringen och för att skydda registrerades rättigheter (3 kap. 16 § brottsdatalagen).

Personuppgiftsbiträden omfattas, enligt (3 kap. 19 § brottsdatalagen), av samma regler som personuppgiftsansvariga när det gäller

Ett personuppgiftsbiträde får inte anlita ett annat biträde (t.ex. en underleverantör som också kommer att behandla Skatteverkets personuppgifter) utan skriftligt tillstånd från Skatteverket (3 kap. 17 § brottsdatalagen).

Ett biträde och de som arbetar under dess ledning ska behandla personuppgifter i enlighet med de instruktioner som Skatteverket har givit. Om ett personuppgiftsbiträde bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behandlingen (3 kap. 18 § brottsdatalagen).

I 3 kap. 17–21 §§ brottsdataförordningen finns ytterligare bestämmelser om

  • ett personuppgiftsbiträdesavtals innehåll
  • förutsättningar för att anlita underbiträden
  • biträdens skyldighet att föra en förteckning
  • biträdens skyldigheter vid personuppgiftsincidenter
  • loggning och säkerhetsåtgärder.

Gemensamt personuppgiftsansvar

Skatteverket kan i egenskap av behörig myndighet, tillsammans med en eller flera andra behöriga myndigheter, ha ett gemensamt personuppgiftsansvar för personuppgiftsbehandling som de gemensamt bestämmer ändamålen med och medlen för (3 kap. 20 § brottsdatalagen). De ansvariga myndigheterna ska i så fall reglera sina respektive förpliktelser i en skriftlig överenskommelse (3 kap. 22 § brottsdataförordningen).

Regelverken som är tillämpliga för Skatteverkets brottsbekämpande verksamhet och övriga behöriga myndigheter innebär i regel att ansvaret är väl avgränsat mellan myndigheterna vilket i sin tur medför att gemensamt personuppgiftsansvar sällan borde förekomma.

Referenser på sidan

Lagar & förordningar

Propositioner

  • Proposition 2017/18:105 Ny dataskyddslag [1]
  • Proposition 2017/18:232 Brottsdatalag [1] [2] [3] [4] [5]