OBS: Detta är utgåva 2018.8. Visa senaste utgåvan.

Skatteverket behandlar många personuppgifter och andra uppgifter inom beskattningsverksamheten. För elektronisk behandling av uppgifter i beskattningsverksamheten gäller bestämmelserna i SdbL, SdbF och vissa bestämmelser i de allmänna dataskyddsbestämmelserna.

Dessutom finns det bestämmelser om sekretess för uppgifter i beskattningsverksamheten.

Bestämmelser för hur uppgifter får behandlas i beskattningsverksamheten

Skatteverket ska tillämpa SdbL vid

  • behandling av personuppgifter i Skatteverkets beskattningsverksamhet
  • handläggning enligt BorgL
  • handläggning enligt lagen (2013:948) om stöd vid korttidsarbete
  • handläggning enligt lagen (1991:1047) om sjuklön.

SdbL ska tillämpas om uppgifterna behandlas helt eller delvis automatiserat. SdbL ska även tillämpas om uppgifterna ingår i – eller kommer att ingå i – en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 kap. 1 § första stycket SdbL).

Kompletterande föreskrifter för behandling av uppgifter som omfattas av SdbL finns i SdbF och i Skatteverkets föreskrifter om vilka uppgifter som får behandlas enligt 2 kap. 3 § SdbL (RSFS 2002:13 och SKVFS 2017:8).

Behandla uppgifter om juridiska personer och avlidna

När Skatteverket behandlar uppgifter om juridiska personer och om avlidna personer i beskattningsverksamheten ska Skatteverket tillämpa bestämmelserna om ändamål för behandlingen, personuppgiftsansvar och gallring i SdbL. Skatteverket ska även tillämpa bestämmelserna som gäller för beskattningsdatabasen. Med juridiska personer avses även handelsbolag (1 kap. 1 § andra stycket SdbL).

Hur förhåller sig SdbL till den allmänna dataskyddsregleringen?

Den allmänna dataskyddsregleringen består av EU:s dataskyddsförordning, den kompletterande dataskyddslagen och den kompletterande dataskyddsförordningen. Den primära författningen vid all behandling av personuppgifter som sker på automatiserat sätt, inkl. den som sker inom beskattningsverksamheten, är EU:s dataskyddsförordning. Inom beskattningsverksamheten kompletterar SdbL EU:s dataskyddsförordning. Utöver SdbL så gäller också kompletteringsförfattningarna vid behandling av personuppgifter inom beskattningsverksamheten, såvida inte någon bestämmelse i dessa författningar avviker från SdbL eller SdbF.

När personuppgifter behandlas i beskattningsverksamheten måste Skatteverket tillämpa EU:s dataskyddsförordnings regler om

  • definitioner (artikel 4 EU:s dataskyddsförordning)
  • principer för behandling av personuppgifter (artikel 5 EU:s dataskyddsförordning)
  • laglig behandling av personuppgifter (artikel 6 EU:s dataskyddsförordning)
  • den registrerades rättigheter (artikel 12–15 EU:s dataskyddsförordning)
  • rättelse, radering, begränsning av behandling m.m. (artikel 16–19 EU:s dataskyddsförordning)
  • hinder mot automatiserat beslutsfattande som inbegriper profilering (artikel 22 EU:s dataskyddsförordning)
  • personuppgiftsansvariges ansvar (artikel 24–25, 30–31 EU:s dataskyddsförordning)
  • säkerhet för personuppgifter (artikel 32–34 EU:s dataskyddsförordning)

När personuppgifter behandlas i beskattningsverksamheten ska Skatteverket också tillämpa den kompletterande dataskyddslagen i följande fall

Behandla administrativa uppgifter i beskattningsverksamheten

Vid behandling av personuppgifter för administrativa ändamål i beskattningsverksamheten ska Skatteverket inte tillämpa SdbL utan de allmänna dataskyddsbestämmelserna. Skatteverket får behandla de administrativa uppgifterna tillsammans med uppgifter i beskattningsdatabasen. Skatteverket har skrivit ett ställningstagande om databaser för personal- och verksamhetsplanering inom skatteverksamheten.

Uppgifter som behandlas för administrativa ändamål är sådana uppgifter som hänför sig till Skatteverkets interna verksamhet och inte till den enskilda som är föremål för Skatteverkets åtgärder.

Exempel på uppgifter som behandlas för administrativa ändamål är uppgifter om

  • vem som handlägger ett visst ärende
  • vilken enhet inom Skatteverket som ett ärende hör till.

Personuppgiftsansvarig för behandlingen

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket utför enligt SdbL (1 kap. 6 § SdbL).

Genomförande av revisioner m.m. är en del av Skatteverkets beskattningsverksamhet. När uppgifter behandlas elektroniskt i samband med revisionerna är bestämmelserna om behandling av uppgifter i Skatteverkets beskattningsverksamhet tillämpliga. Skatteverket är personuppgiftsansvarigt för behandlingen. Detta gäller oavsett om behandlingen görs med Skatteverkets eller den skattskyldigas tekniska utrustning eller program (prop. 2000/01:33 sid. 137).

Referenser på sidan

Föreskrifter

  • Riksskatteverkets föreskrifter om vilka uppgifter som får behandlas enligt 2 kap. 3 § lagen (2001:181) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet; [1]
  • Skatteverkets föreskrifter om ändring i Riksskatteverkets föreskrifter (RSFS 2002:13) om vilka uppgifter som får behandlas enligt 2 kap. 3 § lagen (2001:181) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet; [1]

Lagar & förordningar

  • Lag (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet [1] [2] [3]
  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2] [3] [4] [5] [6]

Propositioner

  • Proposition 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution [1]

Ställningstaganden

  • Databas för personal- och verksamhetsplanering inom skatteverksamheten [1]