OBS: Detta är utgåva 2018.8. Visa senaste utgåvan.

Skatteverket ansvarar för behandlingen av personuppgifter inom myndigheten och ska i vissa fall lämna information om denna behandling. De registrerade har även viss rätt till rättelse, radering, begränsning av behandling, dataportabilitet , invändning mot behandling. De registrerade har även rätt till klagomål och överklagande.

Översikt över Skatteverkets informationsskyldighet

Normalt får Skatteverket inte behandla

personuppgifter elektroniskt utan att den registrerade, d.v.s. den som uppgifterna rör, känner till varför behandlingen sker och vem som är personuppgiftsansvarig för behandlingen.

I tabellen finns en översikt över den informationsskyldighet som Skatteverket har.

När ska information lämnas?

Vem ska information lämnas till?

Tillämplig bestämmelse i EU:s dataskyddsförordning

På Skatteverkets eget initiativ

Den registrerade personen

Artikel 13–14

Efter ansökan från den registrerade

Den registrerade personen

Artikel 15

På begäran av Datainspektionen

Datainspektionen

Artikel 30

Skatteverket ska lämna information till den registrerade på eget initiativ när uppgifter samlas in

Skatteverket ska i vissa fall självmant lämna information till den registrerade personen om behandling av dennes personuppgifter.

Uppgifter som Skatteverket samlar in från personen själv

När Skatteverket behandlar personuppgifter som Skatteverket samlar in från personen själv ska Skatteverket lämna information om behandlingen i samband med eller senast en månad efter insamlingen av uppgifterna (artikel 13 i EU:s dataskyddsförordning).

Uppgifter som Skatteverket samlar in från någon annan källa

När Skatteverket behandlar personuppgifter som Skatteverket samlar in från någon annan källa än den registrerade personen själv, ska Skatteverket lämna information om behandlingen av uppgifterna till den registrerade personen när uppgifterna registreras. Om det är meningen att Skatteverket ska lämna ut uppgifterna till tredje man kan Skatteverket vänta med att lämna information till dess uppgifterna lämnas ut för första gången (artikel 14 i EU:s dataskyddsförordning). Med tredje man menas någon annan än den registrerade personen, den personuppgiftsansvariga, personuppgiftsombudet, personuppgiftsbiträdet eller sådana personer som behandlar personuppgifter för angivna personers räkning, t.ex. anställda inom Skatteverket.

Vilken information ska Skatteverket lämna till den registrerade?

Informationen ska bl.a. innehålla

  • Skatteverkets identitet, exempelvis myndighetens namn, adress, telefonnummer och organisationsnummer
  • kontaktuppgifter för dataskyddsombudet
  • ändamålet för behandlingen, d.v.s. varför Skatteverket behandlar uppgifterna och den rättsliga grunden för behandlingen
  • vilka mottagare Skatteverket kan komma att lämna ut uppgifterna till.

Informationen ska även innehålla övriga uppgifter som den registrerade personen behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Det kan vara t.ex. följande information:

  • vilka typer av personuppgifter som Skatteverket behandlar, t.ex. namn, adress, personnummer och diarienummer
  • hur länge Skatteverket kommer att behandla uppgifterna
  • rätten att ansöka om s.k. registerutdrag
  • möjligheten att få rättelse av personuppgifter
  • rätten att lämna klagomål till Datainspektionen
  • den registrerade personens skyldighet att lämna uppgifter, t.ex. att lämna inkomstdeklaration (32 kap. 1 § SFL)
  • förekomst av automatiserat beslutsfattande som innefattar profilering.

När Skatteverket har samlat in uppgifter från någon annan än den registrerade själv ska Skatteverket dessutom informera om

  • de kategorier av personuppgifter som samlats in
  • varifrån uppgifterna har samlats in.

Hur ska Skatteverket lämna information till den registrerade?

Informationen ska ges i skriftlig form. Om det är lämpligt får informationen lämnas elektroniskt. Om den registrerade begär det får informationen lämnas muntligen, förutsatt att den registrerades identitet är säkerställd. Informationen ska vara tydlig och lättbegriplig.

När Skatteverket behandlar personuppgifter som Skatteverket samlar in från personen själv kan Skatteverket lämna information om behandlingen på samma sätt som insamlandet sker:

  • Om Skatteverket samlar in personuppgifterna via telefonsamtal eller annan muntlig kontakt kan Skatteverket lämna informationen muntligen.
  • Om Skatteverket samlar in personuppgifterna skriftligen kan Skatteverket lämna informationen i den blankett eller liknande som den registrerade fyller i eller i en informationsbroschyr som hör till blanketten.
  • Om Skatteverket samlar in personuppgifterna genom att den registrerade personen använder en e-tjänst på Skatteverkets webbplats kan Skatteverket lämna information om personuppgiftsbehandlingen på webbplatsen, antingen på samma webbsida eller genom en länk till en annan webbsida.

När Skatteverket behandlar personuppgifter som Skatteverket samlar in från någon annan källa än personen själv bör Skatteverket lämna information till den registrerade personen om behandlingen skriftligen. Ett exempel på detta kan vara när en person anmäler både sig själv och någon annan till att delta vid en av Skatteverkets informationsträffar.

Bestämmelser i författning om behandlingen

Skatteverket behöver inte lämna information om behandling av personuppgifter som Skatteverket har samlat in från någon annan källa än den registrerade personen själv om det finns bestämmelser i lag eller annan författning om registrering av personuppgifterna eller om utlämnande av personuppgifterna. Skatteverket behöver till exempel inte lämna information till den registrerade om behandling av sådana personuppgifter som Skatteverket får från Bolagsverkets aktiebolagsregister och som Skatteverket behandlar i beskattningsdatabasen i enlighet med 2 § SdbF.

Information på begäran av den registrerade (s.k. registerutdrag)

Den som vill veta om Skatteverket behandlar personuppgifter om hen kan ansöka hos Skatteverket om att få besked om detta (artikel 15 i EU:s dataskyddsförordning).

Skatteverket ska lämna besked om huruvida Skatteverket behandlar personuppgifter som rör den sökande eller inte. Informationen ska lämnas inom en månad från det ansökan gjordes. Inom denna tid ska Skatteverket även ta ställning till om det finns något undantag från informationsskyldigheten, t.ex. om sekretess hindrar att vissa uppgifter lämnas ut.

Skatteverket får i undantagsfall lämna informationen senare än inom en månad, dock senast inom tre månader efter det ansökan gjordes (artikel 12.3 i EU:s dataskyddsförordning). Skäl för att lämna informationen senare kan vara att de aktuella personuppgifterna är krypterade, att sökmöjligheterna är begränsade eller att Skatteverket har många personuppgifter som finns i olika it-system.

Vilken information ska Skatteverket lämna till den registrerade?

Skatteverket ska lämna besked om huruvida Skatteverket behandlar personuppgifter som rör den sökande eller inte.

Om Skatteverket behandlar uppgifter om den sökande ska Skatteverket även lämna bl.a. följande information till den sökande:

  • ändamålet för behandlingen, d.v.s. varför Skatteverket behandlar uppgifterna och hur uppgifterna ska användas
  • vilka uppgifter om den sökande som Skatteverket behandlar, t.ex. namn, adress, personnummer och diarienummer
  • var Skatteverket har hämtat uppgifterna
  • vilka mottagare Skatteverket har lämnat ut uppgifterna till eller kan komma att lämna ut uppgifterna till
  • eventuella undantag från informationsskyldigheten.

Skatteverket behöver inte lämna information om följande (5 kap. 2 § första stycket kompletterande dataskyddslag):

  • personuppgifter som finns i löpande text som vid tiden för ansökan inte fått sin slutgiltiga form, t.ex. uppgifter i ett utkast till beslut
  • personuppgifter som finns i minnesanteckningar eller liknande, t.ex. uppgifter i en föredragningspromemoria.

I vissa fall ska informationen innefatta även de sistnämnda punkterna, se 5 kap. 2 § andra stycket kompletterande dataskyddslag.

Skatteverket ska inte lämna ut information som är sekretessbelagd mot den registrerade själv i registerutdragen.

Hur ska Skatteverket lämna information till den registrerade?

Information om att Skatteverket inte behandlar personuppgifter som rör den sökande kan lämnas antingen muntligen eller på annat sätt.

Information om att Skatteverket behandlar personuppgifter som rör den sökande, och den närmare information om behandlingen som Skatteverket ska lämna, ska lämnas skriftligen till den sökande. Informationen ska vara lätt för den registrerade att förstå. Förkortningar och koder bör förklaras.

Det är viktigt att Skatteverket sänder informationen till rätt mottagare. Informationen bör därför skickas till den registrerade personens folkbokföringsadress. Innehåller informationen känsliga uppgifter bör försändelsen skickas rekommenderat.

Exempel på undantag från informationsskyldigheten

I vissa situationer behöver Skatteverket inte lämna information till den registrerade personen.

Information som den registrerade redan känner till

Skatteverket behöver inte lämna information på eget initiativ om sådant som den registrerade personen redan känner till (artikel 14.5 a i EU:s dataskyddsförordning). Har den registrerade personen redan fått information om behandlingen i enlighet med någon annan lagstiftning behöver Skatteverket inte lämna information. Om Skatteverket avser att fortlöpande samla in uppgifter om den registrerade personen räcker det att Skatteverket lämnar information till den registrerade inledningsvis. Information behöver inte lämnas varje gång nya uppgifter samlas in.

Detta undantag gäller inte information som Skatteverket ska lämna till den registrerade personen efter ansökan, s.k. registerutdrag.

Sekretessbelagd information

Skatteverket ska inte lämna information till den registrerade personen om det finns bestämmelser i lag eller annan författning om att uppgifterna inte får lämnas ut till den registrerade, t.ex. bestämmelser om sekretess i OSL. Skatteverket ska inte heller lämna information om det framgår av ett beslut som har meddelats med stöd av en författning att uppgifterna inte får lämnas ut till den registrerade personen. Bestämmelserna om information till den registrerade gäller alltså inte om det finns en bestämmelse som hindrar utlämnade av uppgifterna (artikel 14.5 b i EU:s dataskyddsförordning och 5 kap. 1 § kompletterande dataskyddslag).

Detta undantag från den registrerade personens rätt att få information om behandling av personuppgifter är i många fall nödvändigt för att myndigheter ska kunna utföra sina arbetsuppgifter på ett ändamålsenligt sätt. Det är till exempel viktigt att Skatteverket har möjlighet att behandla personuppgifter inför en förestående revision utan att den skattskyldiga får reda på det.

Omöjligt eller medför en oproportionerligt stor arbetsinsats att lämna information

Skatteverket behöver inte lämna information om behandling av personuppgifter som Skatteverket har samlat in från någon annan källa än den registrerade personen själv, om det visar sig vara omöjligt att lämna informationen eller om det skulle innebära en oproportionerligt stor arbetsinsats att lämna informationen. I detta sammanhang kan Skatteverket ta hänsyn till t.ex. antal registrerade personer som är berörda och hur gamla uppgifterna är.

Informationen ska vara kostnadsfri

Den registrerade ska få informationen kostnadsfritt (artikel 12.5 i EU:s dataskyddsförordning). Om begäran om information skulle vara uppenbart ogrundad eller orimlig får Skatteverket

  • ta ut en avgift för att täcks de administrativa kostnaderna, eller
  • vägra att lämna ut informationen.

Skatteverket kan tillämpa undantaget t.ex. om en registrerad skulle göra samma begäran upprepade gånger. Det är Skatteverket som måste visa att begäran är uppenbart ogrundad eller orimlig.

Automatiserade beslut

Den enskilde har enligt huvudregeln rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne (artikel 22 i EU:s dataskyddsförordning).

Automatiserat beslutsfattande kan i vissa fall ändå vara tillåtna, bl.a. med stöd av nationella bestämmelser. Fr.o.m. den 1 juli 2018 möjliggör förvaltningslagen automatiserade beslut (28 § FL). Skatteverket kan därmed fatta automatiserade beslut, förutsatt att förvaltningslagens övriga bestämmelser följs, t.ex. bestämmelserna om underrättelse om beslut (33 § FL).

Rätta felaktiga personuppgifter

Skatteverket ska på den registrerade personens begäran rätta felaktiga personuppgifter (artikel 16 i EU:s dataskyddsförordning).

Det finns inget formkrav för en begäran om rättelse. Det räcker med att den registrerade personen på något sätt meddelar Skatteverket att hen är missnöjd med Skatteverkets personuppgiftsbehandling i ett visst avseende, och att hen vill att Skatteverket ska rätta uppgiften. Den registrerade personen kan lämna en begäran om rättelse t.ex. vid ett telefonsamtal eller i en skriftlig handling (SOU 1997:39).

Beslut om rättelse

Det är Skatteverket som bestämmer om – och i så fall hur – myndigheten ska rätta en personuppgift. Skatteverket bör fatta ett skriftligt beslut om rättelse. Det ska framgå att beslutet går att överklaga.

Skyldighet att informera tredje man om att en uppgift har rättats

Om Skatteverket har rättat personuppgifter på den registrerades begäran ska Skatteverket underrätta varje mottagare av uppgifterna om att uppgifterna har rättats.

Skatteverket behöver inte lämna information till tredje man om att myndigheten har rättat uppgifterna, om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats.

Den registrerade har rätt att på begäran få information om till vem uppgifterna har lämnats ut.

Begränsning av behandling

Med begränsning menas att uppgifterna markeras så att de i framtiden bara får behandlas för vissa avgränsade syften (artikel 4.3 EU:s dataskyddsförordning). Registrerade personer kan i vissa fall kräva att behandlingen av personuppgifter begränsas (artikel 18 EU:s dataskyddsförordning). Det gäller bland annat när den registrerade anser att uppgifterna är felaktiga och begärt rättelse. I sådana fall kan den registrerade även begära att behandlingen av uppgifterna begränsas under tiden uppgifternas korrekthet utreds. När begränsningen upphör ska den enskilde informeras om detta.

Invändning

En registrerad har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hens personuppgifter (artikel 21.1 i EU:s dataskyddsförordning). Rätten att invända gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning.

Rätten att göra invändningar gäller inte vid behandling av personuppgifter som exempelvis är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse t.ex. när en myndighet genom författning har ålagts att föra ett register (prop. 2017/18:105 s. 105). Skatteverkets behandling av personuppgifter i olika verksamhetsgrenar regleras i de flesta fall i särskilda registerförfattningar. Författningarna innehåller bestämmelser om att rätten att göra invändningar inte gäller sådan behandling som regleras av respektive lag.

Radering

Den registrerade har i vissa fall rätt till radering av personuppgifter (artikel 17 i EU:s dataskyddsförordning). Rätten till radering gäller inte om det t.ex. finns nationella bestämmelser som kräver behandling av personuppgifter. Skatteverkets behandling av personuppgifter i myndighetens olika verksamheter regleras i särskilda registerförfattningar. Det innebär att Skatteverket inte får radera personuppgifter på begäran av den registrerade. Skatteverket får bara radera/ta bort uppgifter om det finns stöd för det i en gallringsbestämmelse.

Begränsning av behandling

Med begränsning menas att uppgifterna markeras så att de i framtiden bara får behandlas för vissa avgränsade syften (artikel 4.3 i EU:s dataskyddsförordning). Registrerade personer kan i vissa fall kräva att behandlingen av personuppgifter begränsas (artikel 18 i EU:s dataskyddsförordning). Det gäller bland annat när den registrerade anser att uppgifterna är felaktiga och begärt rättelse. I sådana fall kan den registrerade även begära att behandlingen av uppgifterna begränsas under tiden uppgifternas korrekthet utreds. När begränsningen upphör ska den enskilde informeras om detta.

Rätt till dataportabilitet

Den registrerade har rätt att få ut de personuppgifter som personen själv har tillhandahållit den personuppgiftsansvarige i ett strukturerat format för att överföra uppgifterna till en annan personuppgiftsansvarig. Förutsättningarna är att behandlingen grundar sig på samtycke eller avtal (artikel 20 i EU:s dataskyddsförordning).

Rätten till dataportabilitet gäller inte om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller om behandlingen är ett led i den personuppgiftsansvariges myndighetsutövning. De uppgifter som Skatteverket har mottagit i en e-tjänst för t.ex. deklarationsinlämning omfattas inte av rätten till dataportabilitet.

Klagomål

En registrerad person som anser att Skatteverket behandlar personuppgifter i strid mot EU:s dataskyddsförordning har rätt att lämna in ett klagomål till Datainspektionen (artikel 77 i EU:s dataskyddsförordning).

Överklagande

Möjligheterna för en registrerad att överklaga en personuppgiftsansvarig myndighets beslut framgår av 7 kap. 2 § kompletterande dataskyddslag.

En registrerad kan överklaga Skatteverkets beslut om

Skatteverkets beslut överklagas till allmän förvaltningsdomstol.

Referenser på sidan

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18]

Lagar & förordningar

  • Förordning (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet [1]
  • Förvaltningslag (2017:900) [1] [2]
  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2] [3] [4]

Övrigt

  • SOU 1997:39 [1]