Precis som brottsdatalagen innehåller Skatteverkets brottsdatalag en bestämmelse om tillåtna rättsliga grunder för behandling av personuppgifter för att Skatteverket ska kunna utföra sina arbetsuppgifter. Den här bestämmelsen ersätter alltså bestämmelsen om tillåtna rättsliga grunder i brottsdatalagen.
Den uppgift som Skatteverket ska utföra ska framgå av en lag, en förordning eller i ett särskilt beslut där regeringen har bestämt att myndigheten ska ansvara för uppgiften. Kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt är uppfyllt genom de författningar som reglerar den verksamhet där personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna. Att Skatteverket ska förebygga och motverka ekonomisk brottslighet och medverka i brottsutredningar som rör vissa brott står t.ex. i Skatteverkets instruktion.
Skatteverket får enligt 2 kap. 1 § Skatteverkets brottsdatalag behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna
1. förebygga, förhindra eller upptäcka brottslig verksamhet
2. utreda brott
3. fullgöra förpliktelser som följer av internationella åtaganden.
Behandling av uppgifter för nya ändamål – som faller inom ramen för brottsdatalagens tillämpningsområde - är tillåten, om det kan säkerställas att det för den nya behandlingen finns en rättslig grund och att den är nödvändig och proportionerlig (2 kap. 4 § brottsdatalagen). I den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning behöver en sådan prövning inte göras.
Behandling av uppgifter för nya ändamål - utanför brottsdatalagens och Skatteverkets brottdatalags tillämpningsområde – är tillåten, om det kan säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det ändamålet (2 kap. 2 § Skatteverkets brottsdatalag och 2 kap. 22 § brottsdatalagen). Utöver det måste det också säkerställas att den nya behandlingen är förenlig med dataskyddsförordningen samt tillämpliga kompletterande bestämmelser.
Det finns ett generellt förbud mot att söka efter känsliga personuppgifter i syfte att få fram ett särskilt urval av personer (2 kap. 14 § brottsdatalagen). Se även avsnittet Grundläggande krav på behandling. Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter, finns ett undantag som medger sökning på uppgifter som beskriver en persons utseende. Det gäller sökningar i alla slags personuppgifter oberoende av om uppgifterna har gjorts gemensamt tillgängliga eller inte (2 kap. 4 § Skatteverkets brottsdatalag samt prop. 2017/18:232 s. 155f.).
Det finns ytterligare ett undantag som medger sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung - i uppgiftssamlingar som inte har gjorts gemensamt tillgängliga (2 kap. 5 § Skatteverkets brottsdatalag). Eftersom detta undantag från sökförbud endast gäller i uppgiftssamlingar som inte har gjorts gemensamt tillgängliga begränsas sökmöjligheterna från vad som gällt tidigare. Det är framför allt i Skatteverkets underrättelseverksamhet som det kan finnas behov av att göra sökningar som innebär att sammanställningar grundade på etniskt ursprung skapas. I exempelvis ärenden om falska identitetshandlingar eller gränsöverskridande ekonomisk brottslighet kan etniskt ursprung vara en gemensam faktor som knyter samman personer i ett nätverk. I utredningsverksamheten finns motsvarande behov av att kunna söka på sådana känsliga personuppgifter ( prop. 2017/18:269 sid. 201f).
Personuppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse. (2 kap. 7 § Skatteverkets brottsdatalag)
Vissa myndigheter har bedömts ha behov av att ta del av personuppgifter som får göras gemensamt tillgängliga hos Skatteverket även om sekretess föreligger enligt 21 kap. 3 § första stycket och 35 kap. 1 § OSL (2 kap. 8 § Skatteverkets brottsdatalag). Behovet hos dessa myndigheter måste vara kopplat till ett syfte som anges i 1 kap. 2 § brottsdatalagen. De myndigheter som under dessa förutsättningar har rätt att ta del av uppgifterna är:
Skatteverket får ställa villkor i fråga om behörighet och säkerhet för att medge direktåtkomst (3 kap. 6 § Skatteverkets brottsdatalag). Direktåtkomst får inte heller ges innan Skatteverket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet (5 § Skatteverkets brottsdataförordning).
Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt, det finns en rättslig grund för utlämnandet och det inte föreligger sekretess. Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 6 § Skatteverkets brottsdatalag (2 kap. 9 § Skatteverkets brottsdatalag).