I vissa delar av Skatteverkets verksamhet ska de allmänna bestämmelserna om dataskydd (personuppgiftsbehandling) tillämpas, d.v.s. EU:s dataskyddsförordning och den kompletterande dataskyddslagen med tillhörande förordning. I andra delar av verksamheten gäller även andra registerförfattningar vid elektronisk behandling av personuppgifter som också kompletterar EU:s dataskyddsförordning. Den kompletterande dataskyddslagen är subsidiär i förhållande till avvikande bestämmelser i lag och förordning.
Skatteverket ska tillämpa EU:s dataskyddsförordning när myndigheten behandlar personuppgifter helt eller delvis på automatisk väg (artikel 2.1 EU:s dataskyddsförordning).
Skatteverket ska också tillämpa EU:s dataskyddsförordning på manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1 EU:s dataskyddsförordning).
Exempel på manuell behandling som kan omfattas av EU:s dataskyddsförordning är pappershandingar och kortregister. Om det går att söka fram personuppgifter på ett effektivare sätt än att läsa dokument för dokument är EU:s dataskyddsförordning tillämplig.
Anledningen till att även viss manuell behandling omfattas av EU:s dataskyddsförordning är att integritetsrisker kan uppkomma om en stor mängd personuppgifter på papper struktureras så att det går att hitta bland personuppgifterna på ett enkelt sätt. Det är meningen att EU:s dataskyddsförordning ska vara teknikneutral.
EU:s dataskyddsförordning gäller inte när behandlingen av personuppgifter sker i brottsbekämpande syfte. Det innebär att EU:s dataskyddsförordning inte ska tillämpas vid Skatteverkets skattebrottsenhet när en behandling utförs i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda. Utförs en behandling i sådant syfte ska i stället brottsdatalagen och skattebrottsdatalagen regler tillämpas.
Nytt:
Stycket ovan har justerats i förtydligande syfte, inget har ändrats i sak. Se sidans tidigare lydelse.
EU:s dataskyddsförordning får kompletteras med nationella författningar. I Sverige gäller den kompletterande dataskyddslagen och den kompletterande dataskyddsförordningen om det inte finns avvikande bestämmelser i lag eller förordning (1 kap 6 § den kompletterande dataskyddslagen).
Skatteverket har flera olika verksamhetsgrenar, t.ex. beskattningsverksamhet och folkbokföringsverksamhet. För en del verksamhetsgrenar finns särskilda bestämmelser om behandling av personuppgifter i s.k. registerförfattningar. Registerförfattningarna kompletterar också EU:s dataskyddsförordning. Innehåller en registerförfattning en bestämmelse som avviker från den kompletterande dataskyddslagen, ska den bestämmelsen tillämpas istället (1 kap 6 § den kompletterande dataskyddslagen). För de verksamhetsgrenar som inte har någon registerförfattning ska Skatteverket tillämpa de allmänna dataskyddsbestämmelserna, EU:s dataskyddsförordning, den kompletterande dataskyddslagen och den kompletterande dataskyddsförordningen.
I tabellen nedan anges vilken registerförfattning som Skatteverket ska tillämpa i respektive verksamhetsgren. I de angivna författningarna kan det finnas hänvisningar till annan lagstiftning, t.ex. den kompletterande dataskyddslagen.
Verksamhetsgren |
Tillämpliga bestämmelser |
---|---|
Beskattningsverksamheten inklusive fastighetstaxering |
|
Skatteverkets brottsbekämpande verksamhet |
|
Folkbokföringsverksamheten |
|
ID-kortsverksamheten |
|
Äktenskapsregister- och bouppteckningsverksamheterna |
|
SPAR-verksamheten |
|
Verksamheten Mina meddelanden |
|
Övrig verksamhet, t.ex. personaladministrativ verksamhet |
Nytt:
Verksamhetsgrenen Skattebrottsenheten har i förtydligande syfte ändrats till Skatteverkets brottsbekämpande verksamhet. Justeringen innebär ingen ändring i sak.
Brottsdatalagen och brottsdataförordningen trädde i kraft den 1 augusti 2018 och har lagts till i tabellen för verksamhetsgrenen Skatteverkets brottsbekämpande verksamhet.
Nytt: 2018-06-19
Under verksamheten Mina meddelanden har förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte bytts ut till förordningen (2018:357) om myndighetsgemensam infrastruktur för säkra elektroniska försändelser. Den nya förordningen trädde i kraft den 25 maj 2018.