OBS: Detta är utgåva 2018.5. Sidan är avslutad 2017.
Bestämmelser för hur Skatteverket får behandla personuppgifter elektroniskt i Skatteverkets brottsbekämpande verksamhet finns i LPB, FPB och PuL. Författningarna innehåller bestämmelser om ändamål för behandlingen, vilka uppgifter som får behandlas och hur uppgifterna får behandlas.
Det finns även bestämmelser om sekretess för uppgifter i den brottsbekämpande verksamheten.
LPB anger ramarna för hur Skatteverket får behandla personuppgifter i den brottsbekämpande verksamheten. Skatteverkets rätt att behandla personuppgifter i den brottsbekämpande verksamheten omfattar all den verksamhet som Skatteverket bedriver med stöd av lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar (prop. 1998/99:34 s. 32).
Skatteverket får bara behandla personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet för behandlingen av personuppgifterna ska bestämmas innan behandlingen påbörjas (9 § c PuL). Av 1 § LPB framgår att ändamålen är att bedriva spaning och utredning ifråga om brott som avses i 1 § lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar samt att förebygga dessa brott.
Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in från början. Detta kallas finalitetsprincipen.
Ändamålet för behandlingen av personuppgifter i en särskild undersökning är att resultatet av behandlingen ska utgöra underlag för ett beslut om att inleda en förundersökning eller tjäna som underlag för operativa åtgärder för att förebygga, förhindra eller upptäcka brott. Behandlingens ändamål är alltså detsamma som ändamålet för den särskilda undersökningen (prop. 1998/99:34 s. 47).
Ändamålet för en särskild undersökning behöver anges noggrant. Det bör vara preciserat med inriktning på viss brottslighet. Personuppgifter som behandlas i en särskild undersökning ska vara nödvändiga för och ha anknytning till den särskilda undersökningen och den förmodade brottsligheten.
Ändamålets betydelse i underrättelseverksamhet aktualiserades i ett tillsynsärende hos Säkerhets- och integritetsskyddsnämnden. Ärendet gällde dåvarande Polismyndigheten i Skånes behandling av personuppgifter i en uppgiftssamling kallad ”Kringresande”. Säkerhets- och integritetsskyddsnämnden fann att Polismyndighetens behandling av personuppgifter i uppgiftssamlingen i flera avseenden var olaglig. Den allvarligaste bristen var att ändamålet för personuppgiftsbehandlingen var alldeles för oprecist. Nämnden uttalade att ett opreciserat ändamål inte ger några ramar för personuppgiftsbehandlingen vilket i praktiken sätter integritetsskyddet ur spel. En annan allvarlig brist var att det inte fanns ett tillräckligt tydligt samband mellan den av Polismyndigheten angivna brottsligheten och de personuppgifter som behandlades (Säkerhets- och integritetsskyddsnämndens uttalande 2013-11-15, dnr 173-2013).
LPB innehåller inte några särskilda bestämmelser om grundläggande krav på behandlingen, säkerhet vid behandlingen eller överföring till tredje land. Skatteverket ska därför tillämpa PuL:s bestämmelser om grundläggande krav på behandling av uppgifter i den brottsbekämpande verksamheten.
Skatteverket får behandla personuppgifter elektroniskt i förundersökningar. När en förundersökning har avslutats får personuppgifterna enligt huvudregeln fortsätta att behandlas enbart för arkiveringsändamål. Från denna huvudregel finns två undantag:
Om en förundersökning, som avser brott som anges i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar, läggs ned på grund av bristande bevisning får uppgifter om brottsmisstanken behandlas för annat ändamål än arkiveringsändamål om följande två förutsättningar är uppfyllda (13 § LPB):
Uppgifter om den misstänkte får behandlas endast om det behövs för att förundersökning ska kunna tas upp på nytt. Endast sådana uppgifter som behövs för detta ändamål får behandlas (prop. 1998/99:34 s. 76).
Tillgången till uppgifterna om de kvarstående misstankarna ska begränsas. Skatteverket ska särskilt besluta om vem som får ha direkt åtkomst till uppgifterna (3 § FPB).
Om ett åtal mot en person har lagts ned eller om en person har frikänts genom en lagakraftvunnen dom får uppgifter om brottsmisstanken behandlas för annat ändamål än arkiveringsändamål enbart om en av följande förutsättningar är uppfylld (14 § LPB):
Tillgången till uppgifterna om de kvarstående misstankarna ska begränsas och Skatteverket ska särskilt besluta om vem som får ha direkt åtkomst till uppgifterna (3 § FPB).
Skatteverkets brottsbekämpande verksamhet får ha direktåtkomst till vissa uppgifter i beskattningsdatabasen (2 kap. 7 § SdbL). Denna möjlighet gäller både för underrättelseverksamheten och för utredningsverksamheten. Direktåtkomsten avser enbart uppgifter som finns i uppgiftsdelen av beskattningsdatabasen och inte handlingar som finns i handlingsdelen av beskattningsdatabasen.
Att den brottsbekämpande verksamheten får ha direktåtkomst till uppgifter i beskattningsdatabasen innebär inte att den brottsbekämpande verksamheten får ha tillgång till och ta del av samtliga uppgifter i databasen. Den brottsbekämpande verksamheten får bara ta del av och behandla sådana uppgifter som den verksamhetsgrenen får behandla enligt LPB. Detta innebär att den brottsbekämpande verksamheten bara får ta del av sådana uppgifter i beskattningsdatabasen som är relevanta för ändamålet med behandlingen hos den brottsbekämpande verksamheten (prop. 2005/06:169 s. 84 ff.).
När det gäller fysiska personer får den brottsbekämpande verksamheten bara använda följande uppgifter som sökbegrepp i beskattningsdatabasen (14 a § LPB):
Denna begränsning gäller både för underrättelseverksamheten och för utredningsverksamheten.
Bestämmelserna i LPB och PuL gäller inte uppgifter om juridiska personer. Detta betyder att begränsningarna av sökbegrepp som räknats upp för fysiska personer inte gäller för juridiska personer.
Om Skatteverket ska behandla personuppgifter elektroniskt - och det av uppgifterna framgår att en person är dömd eller misstänkt för brott - ska behandlingen anmälas till Datainspektionen för förhandskontroll. Anmälan ska göras senast tre veckor innan behandlingen påbörjas (2 § FPB).
Anmälan behöver inte göras om behandlingen utförs
Datainspektionen har meddelat föreskrifter angående skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen (DIFS 1998:2). I föreskriften anges vad en anmälan ska innehålla och hur den ska vara utformad.
Skatteverket får behandla personuppgifter i underrättelseverksamhet antingen i en särskild undersökning eller i underrättelseregister. Den särskilda undersökningen ska avse brott som anges i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar och det ska finnas anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas (11 § LPB).
Skatteverket får inte behandla känsliga personuppgifter i underrättelseverksamheten (4 § andra stycket LPB).
När Skatteverket i underrättelseverksamheten behandlar uppgifter om en enskild person som det inte finns någon misstanke mot, ska det finnas en upplysning som anger att personen inte är misstänkt (11 § andra stycket LPB).
I särskilda undersökningar hanteras integritetskänsliga uppgifter. Därför finns det speciella bestämmelser för behandling av personuppgifter i särskilda undersökningar.
Ett beslut om att behandla personuppgifter i en särskild undersökning ska innehålla uppgifter om ändamålet med behandlingen och de föreskrifter som behövs för att skydda de registrerades personliga integritet (12 § första stycket LPB). Föreskrifterna kan avse frågor om exempelvis följande (prop 1998/99:34 s. 76):
Beslut om att behandla personuppgifter i en särskild undersökning behöver inte innehålla någon uppgift om under hur lång tid uppgifterna ska behandlas. Detta regleras i LPB:s och FPB:s bestämmelser om gallring (15 § LPB och 11 § FPB).
Beslut om att behandla personuppgifter i en särskild undersökning ska fattas av Skatteverkets chef eller någon annan vid Skatteverket som chefen förordnar (6 § FPB).
Skatteverket ska föra en förteckning över beslut om särskilda undersökningar (12 § andra stycket LPB). Förteckningen får inte innehålla uppgifter om namn eller personnummer (5 § FPB).
Den elektroniska behandlingen i en särskild undersökning får bara innehålla sådana personuppgifter som är nödvändiga för ändamålet med undersökningen. Det är alltså det förutbestämda ändamålet med behandlingen som sätter ramarna för vilka personuppgifter som får behandlas i den särskilda undersökningen. Någon annan begränsning finns inte.
Detta innebär att Skatteverket får behandla uppgifter om personer som inte är misstänkta, t.ex. vittnen, arbetsgivare och andra personer, om dessa har anknytning till undersökningen (prop. 1998/99:34 s. 75). Det måste dock framgå att personen inte är misstänkt (11 § andra stycket LPB).
Eftersom särskilda undersökningar innehåller integritetskänsliga uppgifter är det viktigt att Skatteverket begränsar tillgången till uppgifterna. Enligt huvudregeln får bara de personer som arbetar med en särskild undersökning ha direkt åtkomst till de uppgifter som behandlas elektroniskt i undersökningen. Andra personer vid Skatteverket får ta del av sådana uppgifter enbart om uppgifterna kan antas ha särskild betydelse för en pågående undersökning eller andra brottsbekämpande åtgärder (7 § FPB).
I underrättelseregister behandlas integritetskänsliga uppgifter. Det finns därför speciella bestämmelser för behandling av personuppgifter i underrättelseregister.
Ett underrättelseregister får innehålla följande
Sådana uppgifter som anges i de två sistnämnda punkterna får behandlas även om de kan hänföras till en enskild person som det inte finns någon misstanke mot. Uppgifterna måste dock förses med en upplysning om att det inte finns någon misstanke mot den enskilda (9 § LPB).
Skatteverket får i ett underrättelseregister behandla uppgifter om iakttagelser, tips eller upplysningar som kan ge anledning att misstänka att brottslig verksamhet förekommer även om något konkret brott inte är känt och grund för att inleda en förundersökning inte föreligger. Uppgifterna kan vara betydelsefulla för att följa upp brottslig verksamhet eller för att se trender i brottsligheten (prop. 1998/99:34 s. 51).
De uppgifter som Skatteverket behandlar i ett underrättelseregister måste vara nödvändiga för ändamålet med registret. När det gäller uppgifter om enskilda som registreras i registret finns en begränsning av vilka uppgifter som får behandlas.
För enskilda som registreras i ett underrättelseregister får enbart följande uppgifter behandlas (10 § LPB):
Det finns inte någon begränsning när det gäller möjligheten att behandla uppgifter om juridiska personer. Uppgifter som rör ett bolag kan alltså behandlas utan inskränkning. Detta gäller även strategiska och allmänna uppgifter för underrättelseverksamheten som inte har anknytning till en enskild person (prop. 1998/99:34 s. 75).
Skatteverket får ha direktåtkomst till underrättelseregistren. Bara de anställda som verkligen behöver ha tillgång till uppgifterna som behandlas i underrättelseregistren får ha tillgång till dem (9 § FPB).
När Skatteverket behandlar personuppgifter elektroniskt i utredningsverksamheten, dvs. i förundersökningar, förutredningar och vid förenklad brottsutredning, ska bestämmelserna i LPB, FPB och PuL tillämpas. LPB innehåller enbart ett fåtal bestämmelser som avser utredningsverksamheten specifikt. En av dem gäller en begränsning av möjligheten att behandla känsliga personuppgifter.
Skatteverket får inte behandla uppgifter om en person enbart på grund av vad som är känt om personens
Sådana uppgifter kallas känsliga personuppgifter.
Skatteverket får behandla känsliga personuppgifter om en person under förutsättning att uppgifter om personen i fråga redan behandlas hos Skatteverkets brottsbekämpande enhet av andra skäl. Men uppgifterna får bara behandlas om det är oundgängligen nödvändigt för syftet med behandlingen (4 § första stycket LPB). Behandling av känsliga personuppgifter i Skatteverkets brottsbekämpande verksamhet ska alltså ske endast i undantagssituationer.
I en utredning av brott inom skatteområdet förekommer det sällan känsliga personuppgifter. Det är däremot inte ovanligt att det i en skatteutredning förekommer känsliga personuppgifter. Uppgifter från en skatteutredning hämtas ofta in när en förundersökning har påbörjats och det är då inte möjligt att sortera bort de känsliga uppgifter som finns i det inhämtade materialet. Därför finns det en möjlighet för Skatteverkets brottsbekämpande enhet att behandla känsliga personuppgifter i bl.a. en förundersökning om övriga förutsättningar för behandlingen är uppfyllda (prop. 1998/99:34 s. 35).