OBS: Detta är utgåva 2019.8. Visa senaste utgåvan.

Skatteverket ansvarar för den behandling av personuppgifter som görs i verkets verksamhet. Behandling måste alltid uppfylla de grundläggande principerna i EU:s dataskyddsförordning (artikel 5 EU:s dataskyddsförordning).

Ansvar för behandling av personuppgifter

Skatteverket är ansvarigt för den behandling av personuppgifter som görs i verket. Skatteverket är s.k. personuppgifts­ansvarigt. En person­uppgifts­ansvarig kan ibland överlåta behandlingen av person­uppgifter åt någon annan, som då kallas person­uppgifts­biträde.

Vem är personuppgiftsansvarig

Den som ensam eller tillsammans med andra bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till har ansvaret för behandlingen och är personuppgiftsansvarig (artikel 4.7 EU:s dataskyddsförordning).

När en anställd hos Skatteverket behandlar personuppgifter för att utföra sina arbetsuppgifter är det inte den anställda som är personuppgiftsansvarig för behandlingarna utan Skatteverket. En anställd ska behandla personuppgifter i enlighet med de instruktioner som Skatteverket ger.

Vissa särskilda registerförfattningar innehåller bestämmelser om att en utpekad myndighet ska vara personuppgiftsansvarig. Det står till exempel i SdbL respektive FdbL att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket ska utföra (1 kap. 5 § FdbL och 1 kap. 6 § SdbL).

Det är inte alltid enkelt att avgöra vem som är personuppgiftsansvarig för en behandling. Det anges inte i EU:s dataskyddsförordning, den kompletterande dataskyddslagen eller förarbetena till lagen exakt hur en avgränsning av personuppgiftsansvaret ska göras. Det kan även finnas mer än en personuppgiftsansvarig för en behandling, t.ex. om flera myndigheter har en gemensam databas. Artikel 26 EU:s dataskyddsförordning innehåller bestämmelser om gemensamt personuppgiftsansvar.

Rättsfall: Omfattande personuppgiftsansvar vid e-tjänster

Försäkringskassan tillhandahöll elektroniska självbetjäningstjänster i form av anmälan av tillfällig föräldrapenning via sms och anmälan av sjukfall via en s.k. Infratjänst. I tjänsterna kunde enskilda personer lämna uppgifter genom elektroniska informationskanaler. Uppgifterna var tillgängliga för Försäkringskassan först när de nådde Försäkringskassans elektroniska mottagningsställen.

Domstolen ansåg att Försäkringskassan var ansvarig för hela behandlingen eftersom Försäkringskassan bestämde ändamålet för behandlingen (att anmäla olika typer av sjukfall) och medlen för behandlingen av personuppgifterna (anvisade kommunikations­vägar). Domstolen ansåg att de åtgärder som gjordes med personuppgifterna var led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Detta gällde trots att Försäkringskassan saknade möjlighet att påverka hur uppgifterna hanterades innan de blev tillgängliga för Försäkringskassan. Det gällde också oberoende av om någon eller några av åtgärderna skulle utgöra behandling av personuppgifter även hos någon annan (HFD 2012 ref. 21).

Personuppgiftsbiträden

Den som är personuppgiftsansvarig kan under vissa förutsättningar överlåta behandlingen av personuppgifterna till någon annan. Den som behandlingen överlåts till kallas personuppgiftsbiträde (artikel 4.8 EU:s dataskyddsförordning). Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas organisation, t.ex. ett externt företag. Den som är anställd hos den personuppgiftsansvariga är inte personuppgiftsbiträde.

Det är bara själva behandlingen av personuppgifterna som kan överlåtas till ett personuppgiftsbiträde, själva ansvaret för behandlingen kan inte överlåtas till någon annan.

Exempel på personuppgiftsbiträde som Skatteverket anlitar är Statens servicecenter. Statens servicecenter behandlar personuppgifter om Skatteverkets anställda på uppdrag av Skatteverket.

När kan Skatteverket anlita ett personuppgiftsbiträde?

En förutsättning för att Skatteverket ska kunna anlita ett personuppgiftsbiträde är att sekretess inte hindrar att Skatteverket lämnar ut uppgifterna. En annan förutsättning är att Skatteverket har en rättslig grund för behandlingen av personuppgifterna. Skatteverket ska i regel dokumentera sitt ställningstagande i dessa rättsliga frågor innan Skatteverket anlitar ett personuppgiftsbiträde för behandling av Skatteverkets personuppgifter.

Om Skatteverket anlitar ett personuppgiftsbiträde ska parterna skriva ett avtal om personuppgiftsbiträdets behandling av personuppgifter för Skatteverkets räkning, ett s.k. personuppgiftsbiträdesavtal (artikel 28.3 EU:s dataskyddsförordning).

Principer för behandling av personuppgifter

Skatteverket får bara behandla personuppgifter om behandlingen uppfyller principerna i artikel 5 EU:s dataskyddsförordning.

Dessa principer är

  • laglighet, korrekthet och öppenhet
  • ändamålsbegränsning
  • uppgiftsminimering
  • riktighet
  • lagringsminimering
  • integritet och konfidentialitet.

Laglighet, korrekthet och öppenhet

Att personuppgiftsbehandlingen ska vara laglig innebär att Skatteverket alltid måste ha minst en rättslig grund för varje behandling av personuppgifter. Laglighetskravet innebär också att Skatteverket måste följa övriga principer och bestämmelser i EU:s dataskyddsförordning och i annan kompletterande lagstiftning (legalitetsprincipen).

Att personuppgiftsbehandlingen ska vara korrekt innebär att den ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade. Personuppgiftsbehandlingen ska stå i rimlig proportion till den nytta som personuppgiftsbehandlingen innebär (proportionalitetsprincipen). Skatteverket ska också ta hänsyn till vilken personuppgiftsbehandling de registrerade rimligen kan förvänta sig. Personuppgiftsbehandlingen ska vara förståelig och begriplig för de registrerade och inte göras på dolda eller manipulerande sätt.

Att behandlingen av personuppgifter ska vara öppen innebär att det ska vara klart och tydligt för de registrerade hur uppgifter samlas in och i övrigt behandlas. Skatteverket har en skyldighet att informera de registrerade om vad de har för rättigheter, t.ex. hur de kan begära registerutdrag, hur de kan få fel rättade och hur de kan få personuppgifter raderade (öppenhetsprincipen).

Ändamålsbegränsning

Redan innan personuppgifter börjar samlas in måste Skatteverket bestämma ändamålet för behandlingen. Det fastställda ändamålet påverkar bl.a. vilka personuppgifter Skatteverket får behandla, och hur länge de får behandlas. Det ska även dokumenteras, bl.a. med hänsyn till den skyldighet att lämna information om person­uppgiftsbehandlingar som Skatteverket har. Personuppgifter får aldrig behandlas på ett sätt som är oförenligt med det eller de ändamål som fastställdes innan uppgifterna först samlades in.

Ändamålet ska vara konkret, t.ex. behandling av anställdas personuppgifter i personaladministrativ verksamhet för att betala ut löner. Det får alltså inte vara för allmänt hållet. Det går att ha mer än ett ändamål för en personuppgiftsbehandling, om förutsättningarna för alla ändamål är uppfyllda.

Om ett ändamål är förenligt eller inte ska avgöras genom en bedömning i det enskilda fallet. Skatteverket bör då utgå från vilken behandling av uppgifter som en registrerad person rimligen kan förvänta sig mot bakgrund av det ursprungliga ändamålet. Den ändamålsbegränsningen begränsar bl.a. möjligheten för Skatteverket att samköra personuppgifter som verket behandlar för olika ändamål.

Om någon av Skatteverkets verksamhetsgrenar vill lämna ut personuppgifter till någon annan verksamhetsgren eller till någon annan organisation måste även själva utlämnandet vara förenligt med det ursprungliga ändamålet. Bestämmelserna om ändamål för behandling begränsar inte Skatteverkets skyldighet att lämna ut personuppgifter enligt 2 kap. TF (1 kap. 7 § den kompletterande dataskyddslagen).

Om det finns lämpliga skyddsåtgärder för de registrerades rättigheter får Skatteverket behandla de insamlade personuppgifterna för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen.

Uppgiftsminimering

De personuppgifter som Skatteverket behandlar ska vara av betydelse för ändamålet, det vill säga adekvata och relevanta. För varje personuppgift – eller kategori av personuppgifter – som Skatteverket vill behandla måste verket ta ställning till om uppgiften verkligen är nödvändig för ändamålen med behandlingen. Skatteverket får alltså inte behandla personuppgifter enbart för att uppgifterna eventuellt kan komma till användning i framtiden. Uppgifterna ska även vara riktiga, och om det är nödvändigt för ändamålen för behandlingen också aktuella.

Riktighet

Skatteverket ska vidta alla åtgärder som är rimliga för att rätta eller radera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen för behandlingen. En sådan rättelse ska Skatteverket göra på eget initiativ.

Lagringsminimering

Skatteverket får inte bevara personuppgifter under längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen.

Integritet och konfidentialitet

Skatteverket måste ha tillräcklig säkerhet för att skydda personuppgifterna mot bland annat obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Skatteverket ansvarar för att de it-system som används inte medför integritetsrisker. Eftersom integritets- och dataskyddsfrågor påverkar ett it-systems hela livscykel är det viktigt att man tar hänsyn till dem från förstudie och kravställning till användning och avveckling, s.k. inbyggt dataskydd.

Ansvarsskyldighet

Skatteverket ansvarar för att principerna om personuppgiftsbehandling följs. Skatteverket måste kunna visa på vilket sätt man följer dem, t.ex. genom att

  • dokumentera de behandlingar av personuppgifter som myndigheten ansvarar för
  • dokumentera de överväganden myndigheten gjort inför en behandling
  • ha tydlig information till de registrerade
  • ha dokumenterade interna riktlinjer för dataskyddet.

Register över behandlingar

Skatteverket är skyldigt att föra ett register över alla personuppgiftsbehandlingar som verket är personuppgiftsansvarig för. Registret ska vara skriftligt, vara tillgängligt i elektroniskt format och hållas uppdaterat (artikel 30 EU:s dataskyddsförordning). Registret ska innehålla:

  • namn och kontaktuppgifter för den personuppgiftsansvarige, den personuppgiftsansvariges företrädare samt dataskyddsombudet
  • ändamålen med behandlingen
  • en beskrivning av kategorierna av registrerade och kategorierna av personuppgifter
  • de kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut
  • i tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation
  • om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter
  • om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Konsekvensbedömning

Skatteverket måste alltid göra en konsekvensbedömning om en behandling av personuppgifter sannolikt skulle leda till hög risk för de registrerades fri- och rättigheter. Skatteverket bör göra en konsekvensbedömning även för personuppgiftsbehandlingar som medför en lägre risk. En konsekvensbedömning kan öka förståelsen för integritetsrisker. Bedömningen kan också ge stöd vid val av säkerhetsåtgärder och tekniska lösningar. Konsekvensbedömningarna är till hjälp när det gäller att uppfylla kraven i dataskyddsförordningen. De är också ett sätt att visa de registrerade och tillsynsmyndigheten att Skatteverket följer EU:s dataskyddsförordning. En konsekvensbedömning ska inte vara en engångsföreteelse. Bedömningen bör omprövas och uppdateras löpande.

Förhandssamråd

Vid en konsekvensbedömning ska Skatteverket bl.a. dokumentera vilka säkerhetsåtgärder som kommer att vidtas. Om det skulle visa sig att det finns en hög risk med personuppgiftsbehandlingen trots säkerhetsåtgärderna ska Skatteverket samråda med Datainspektionen innan verket påbörjar behandlingen. Ett sådant exempel är om riskerna inte kan begränsas tillräckligt genom de åtgärder som är rimliga med tanke på tillgänglig teknik och kostnader för att åtgärda riskerna.

Överföring till tredje land eller internationella organisationer

Att föra över uppgifter till ett tredje land innebär att personuppgifter som finns i Sverige lämnas ut och att uppgifterna efter utlämnandet (också) finns i ett land utanför EU och EES (Europeiska ekonomiska samarbetsområdet).

Om Skatteverket vill föra över personuppgifter till tredje land eller en internationell organisation finns det vissa bestämmelser i EU:s dataskyddsförordning som Skatteverket måste ta hänsyn till (artikel 44 50 EU:s dataskyddsförordning)­.

Med tredje land menas en stat som inte ingår i EU och som inte heller är ansluten till EES.

Med överföring av personuppgifter menas exempelvis

  • överföring av personuppgifter för lagring på en server i ett tredje land
  • överföring av formulär med personuppgifter som inte behandlas inom EU eller EES men som ska behandlas i ett tredje land (SOU 1997:39).

Villkor för överföring av personuppgifter till tredje land eller internationella organisationer

Skatteverket får bara föra över personuppgifter till tredje land eller en internationell organisation om något av följande villkor är uppfyllt:

  • EU-kommissionen har beslutat att ett tredje land eller en internationell organisation säkerställer en adekvat skyddsnivå. Ett sådant beslut kan också gälla ett visst territorium, en internationell organisation eller en eller flera sektorer i ett tredje land (artikel 45 i EU:s dataskyddsförordning).
  • Den som behandlar personuppgifterna har vidtagit lämpliga skyddsåtgärder. Dessutom måste det finnas möjligheter för den enskilde att få behandlingen prövad i domstol. De skyddsåtgärder som avses innebär att överföringen ska grunda sig på t.ex. standardiserade dataskyddsbestämmelser eller en certifiering som ska ha antagits eller godkänts av EU-kommissionen eller av en tillsynsmyndighet.
  • Tillsynsmyndigheten har lämnat tillstånd till överföringen.

Undantag i särskilda situationer

Personuppgifter får i särskilda fall och vid enstaka tillfällen föras över (artikel 49 EU:s dataskyddsförordning), t.ex. om

  • den enskilde har samtyckt till att uppgifterna får överföras
  • överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registrerade personen och den personuppgiftsansvariga
  • överföringen är nödvändig av viktiga skäl som rör allmänintresset
  • överföringen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk.

Innebär publicering av personuppgifter på internet en överföring till tredje land?

Vid publicering av personuppgifter på internet ska man följa de vanliga bestämmelserna i EU:s dataskyddsförordning. Det innebär bl.a. att man ska ta hänsyn till bestämmelserna i artiklarna 44 ­ 50 EU:s dataskyddsförordning. Frågan är då om man genom publicering på internet överför personuppgifter till tredje land.

EU-domstolen har uttalat att om man publicerar personuppgifter på internet innebär det inte en överföring av personuppgifter till tredje land om den webbplats där uppgifterna publiceras finns lagrad hos en webbhotelleverantör som är etablerad i en medlemsstat inom EU (C-101/01, Bodil Lindqvist).

Molntjänster

Skatteverket måste ta hänsyn till bestämmelserna om överföring av personuppgifter till tredje land om Skatteverket vill behandla personuppgifter, eller låta ett personuppgiftsbiträde behandla personuppgifter, i någon form av molnbaserad datortjänst.

Med molnbaserad datortjänst menas en tjänst där en leverantör erbjuder möjlighet till t.ex. lagring eller processorkraft i servrar som kontrolleras av leverantören och där servrarna finns utspridda på olika geografiska platser.

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som sker för Skatteverkets räkning i en molnbaserad datortjänst. Molntjänstleverantören, och dennes underleverantörer, är personuppgiftsbiträden åt Skatteverket. Det innebär att Skatteverket ansvarar bland annat för att:

  • det finns en rättslig grund för personuppgiftsbehandlingen
  • personuppgiftsbiträdet inte behandlar personuppgifterna för något annat ändamål än de ändamål som Skatteverket har bestämt för personuppgiftsbehandlingen
  • personuppgiftsbiträdet inte bevarar personuppgifterna under längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen
  • personuppgiftsbiträdet vidtar lämpliga säkerhetsåtgärder vid personuppgiftsbehandlingen
  • personuppgifterna inte överförs till tredje land om det inte finns rättsligt stöd för överföringen
  • det finns ett personbiträdesavtal med leverantören och med eventuella underleverantörer.

Eftersom användning av molntjänster kan innebära att sekretessreglerade uppgifter röjs till en utomstående part, ska det även prövas om Skatteverkets användning av molntjänsten är förenlig med gällande sekretessregler, se avsnitt om sekretessregler i Vägledningen.

Referenser på sidan

Domar & beslut

  • HFD 2012 ref. 21 [1]

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3] [4] [5] [6] [7] [8] [9]

Lagar & förordningar

  • Lag (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet [1]
  • Lag (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet [1]
  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2]