Skatteverket måste ha en lämplig säkerhetsnivå för de personuppgifter som myndigheten behandlar, både tekniskt och organisatoriskt. Vad som är en lämplig säkerhetsnivå beror på bland annat riskerna med behandlingen, vilken typ av uppgifter som behandlas, på de tekniska möjligheter som finns och på kostnaderna.
Vid riskbedömningen ska särskild hänsyn tas till de risker som behandlingen medför, särskilt risken för oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas.
EU:s dataskyddsförordning innehåller bestämmelser om krav på säkerhet vid behandling av personuppgifter (artikel 32 EU:s dataskyddsförordning). Bestämmelserna rör
Det kan finnas bestämmelser om säkerhetsåtgärder även i andra lagar och förordningar, t.ex. ArkivL. Skatteverket ska tillämpa även dessa bestämmelser på den personuppgiftsbehandling som görs i Skatteverkets verksamhet.
Den som arbetar under ledning av Skatteverket ska behandla personuppgifterna i enlighet med de instruktioner som Skatteverket ger. Om det i en lag eller annan författning finns kompletterande bestämmelser om behandling av personuppgifter i det allmännas verksamhet ska den som arbetar under Skatteverkets ledning följa även dessa bestämmelser.
Ett personuppgiftsbiträde och den som arbetar under personuppgiftsbiträdets ledning ska behandla personuppgifterna i enlighet med de instruktioner som Skatteverket ger. Om det i en lag eller annan författning finns särskilda bestämmelser om behandling av personuppgifter i det allmännas verksamhet ska personuppgiftsbiträdet och den som arbetar under personuppgiftsbiträdets ledning följa även dessa bestämmelser (artikel 32 EU:s dataskyddsförordning).
När Skatteverket anlitar ett personuppgiftsbiträde ska Skatteverket säkerställa att personuppgiftsbiträdet kan vidta nödvändiga säkerhetsåtgärder. Skatteverket ska även kontrollera att biträdet verkligen vidtar. Det ska också finnas ett s.k. personuppgiftsbiträdesavtal.
Skatteverket ska skriva ett personuppgiftsbiträdesavtal med personuppgiftsbiträdet (artikel 28.3 EU:s dataskyddsförordning). Syftet med avtalet är bland annat att garantera att säkerhet och sekretess för personuppgifterna inte påverkas negativt på grund av att den personuppgiftsansvariga anlitar ett personuppgiftsbiträde i stället för att utföra personuppgiftsbehandlingen själv.
I ett personuppgiftsbiträdesavtal ska bland annat följande anges:
Det är Skatteverket som har ansvar för att ett personuppgiftsbiträdesavtal upprättas. Ett sådant avtal ska skrivas innan personuppgiftsbiträdet påbörjar behandlingen av personuppgifterna. Personuppgiftsbiträdesavtalet kan även innehålla instruktioner för personuppgiftsbehandlingen.
Skatteverket ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som myndigheten behandlar (artikel 32 EU:s dataskyddsförordning). Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig mot bakgrund av följande:
Syftet med bestämmelserna om säkerhetsåtgärder i EU:s dataskyddsförordning är att skydda de registrerade personernas personliga integritet. Vilka personuppgifter Skatteverket ska behandla påverkar vilka säkerhetsåtgärder myndigheten behöver vidta. Om Skatteverket ska behandla känsliga personuppgifter, personuppgifter om lagöverträdelser eller uppgifter som omfattas av sekretess behöver Skatteverket vidta andra säkerhetsåtgärder än om myndigheten inte behandlar den typen av uppgifter. Om Skatteverket behandlar personuppgifter som rör ett stort antal personer är kraven på den säkerhet som måste uppnås högre än om Skatteverket behandlar uppgifter som rör få personer.
Skatteverket skulle t.ex. kunna använda följande säkerhetsåtgärder vid en personuppgiftsbehandling:
Skatteverket ska tillämpa bestämmelserna om säkerhetsåtgärder för personuppgiftsbehandlingen även om den registrerade samtycker till en annan behandling.
Vid bedömning av vad som är en lämplig säkerhetsnivå ska Skatteverket ta hänsyn till samtliga omständigheter kring behandlingen. För att göra detta på ett strukturerat sätt kan Skatteverket göra en risk- och sårbarhetsanalys. En sådan analys kan användas som underlag för att bedöma vilken säkerhetsnivå som är lämplig och vilka säkerhetsåtgärder som behöver vidtas.
Skatteverket ska skriva instruktioner för hur personuppgifter ska behandlas för Skatteverkets räkning. De som behandlar personuppgifter för Skatteverkets räkning kan vara t.ex. anställda och uppdragstagare. Skatteverket ska skriva instruktioner även för de personuppgiftsbiträden som Skatteverket anlitar för att behandla personuppgifter för Skatteverkets räkning. Dessa instruktioner kan ingå i personuppgiftsbiträdesavtalet eller utgöra ett separat dokument. Skatteverket ska även följa upp att instruktionerna följs (artikel 28 EU:s dataskyddsförordning).
Skatteverkets instruktioner för personuppgiftsbehandlingen ska vara så tydliga att otillåten behandling inte kommer att utföras. Alla som behandlar personuppgifter för myndighetens räkning ska känna till åtminstone för vilka ändamål uppgifterna behandlas och att behandling som är oförenlig med dessa ändamål inte är tillåten.
Vilka instruktioner som behövs för en personuppgiftsbehandling får avgöras i det enskilda fallet. Det skulle t.ex. kunna vara instruktioner om:
Skatteverket måste ha rutiner för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter (artikel 4.12 EU:s dataskyddsförordning) Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks, t.ex. genom diskriminering, identitetsstöld, bedrägeri, brott mot sekretess eller tystnadsplikt.
En personuppgiftsincident har inträffat om t.ex. uppgifter om en eller flera registrerade personer har
En personuppgiftsincident kan få allvarliga konsekvenser för de registrerade. De kan råka ut för till exempel ekonomisk skada eller kränkning av sina friheter och rättigheter.
Allmänhetens förtroende för Skatteverket kan påverkas om en personuppgiftsincident inte skulle hanteras på ett lämpligt sätt. En personuppgiftsincident kan även leda till sanktionsavgifter.
Skatteverket måste anmäla vissa typer av personuppgiftsincidenter till Datainspektionen. Anmälan ska göras inom 72 timmar efter det att överträdelsen har upptäckts. Anmälan ska innehålla
Skatteverket måste enligt huvudregeln informera de registrerade omedelbart, om det är stor risk att deras rättigheter och friheter kan påverkas, till exempel om det finns risk för id-stöld eller bedrägeri (artikel 34 EU:s dataskyddsförordning).
Informationen ska innehålla:
Syftet med informationen är att de registrerade ska kunna få hjälp med att mildra följderna av en personuppgiftsincident. Om det skulle krävas en oproportionerlig ansträngning att informera de registrerade kan informationen istället ges till allmänheten.