Tillåten behandling av personuppgifter

Principer för behandling av personuppgifter i beskattningsverksamheten

När Skatteverket behandlar personuppgifter i beskattningsverksamheten ska artikel 5 i EU:s dataskyddsförordning om principer för behandling av personuppgifter tillämpas.

Dessa principer är

• laglighet, korrekthet och öppenhet
• ändamålsbegränsning
• uppgiftsminimering
• riktighet
• lagringsminimering
• integritet och konfidentialitet.

Laglig behandling av personuppgifter i beskattningsverksamheten

Skatteverket måste alltid ha minst en rättslig grund för varje behandling av personuppgifter i beskattningsverksamheten. Om en rättslig grund saknas är behandlingen inte laglig och därmed inte tillåten (artikel 6 EU:S dataskyddsförordning).

I beskattningsverksamheten är de rättsliga grunderna vanligtvis

allmänt intresse och myndighetsutövning och rättslig förpliktelse.

Dessa rättsliga grunder ska fastställas i enlighet med antingen unionsrätten eller en medlemsstats nationella rätt. Att grunden för behandlingen ska fastställas i t.ex. nationell rätt innebär att rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning måste vara rättsligt förankrade i den nationella rättsordningen. Kravet kan jämföras med regleringen i 5 § (2017:900) förvaltningslagen om att myndigheter endast får vidta åtgärder som har stöd i rättsordningen.

I beskattningsverksamheten är inkomstskattelagen, fastighetstaxeringslagen och skatteförfarandelagen exempel på rättsliga grunder. I dessa författningar åläggs Skatteverket att vidta åtgärder som innefattar behandling av personuppgifter. Regleringen bildar då behandlingens rättsliga grund.

En registerlag, t.ex. SdbL, utgör normalt inte i sig själv en rättslig grund för behandling av personuppgifter i verksamhetsgrenens kärnverksamhet.

Säkerhet vid behandling av uppgifter i beskattningsverksamheten

Skatteverket måste ha en lämplig nivå på säkerheten, både tekniskt och organisatoriskt, när myndigheten behandlar uppgifter i beskattningsverksamheten.

Ändamålsbegränsning - finalitetsprincipen

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna från början samlades in. Detta brukar kallas finalitetsprincipen. EU:s dataskyddsförordning benämner det ändamålsbegränsning.

Ändamål för behandling av uppgifter i beskattningsverksamheten

Skatteverket får bara behandla uppgifter i beskattningsverksamheten för särskilda, i förväg uttryckligt bestämda och berättigade ändamål. SdbL räknar upp för vilka ändamål Skatteverket får behandla uppgifter elektroniskt i de verksamheter där SdbL ska tillämpas. Ändamålsbestämmelsen finns i 1 kap. 4–5 §§ SdbL. De angivna ändamålen gäller för behandling av uppgifter både i och utanför beskattningsdatabasen.

Ändamålen delas in i primära ändamål och sekundära ändamål. De primära ändamålen är ändamål som är direkt anpassade till Skatteverkets verksamhet, t.ex. bestämmande av skatt eller genomförande av en revision. De sekundära ändamålen är ändamål som avser andra myndigheters eller enskildas verksamhet, t.ex. Kronofogdemyndighetens indrivningsverksamhet eller tillsynsmyndigheters tillståndsprövning enligt AL. Bestämmelserna om ändamål gäller även vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 § andra stycket SdbL).

Primära ändamål för behandling av uppgifter i beskattningsverksamheten

Skatteverket får behandla uppgifter som Skatteverket behöver för något av följande ändamål (1 kap. 4 § första stycket SdbL och prop. 2000/01:33 s. 198):

• Fastställa underlag för och bestämma, redovisa, betala och återbetala skatter och avgifter. Med skatt menas samtliga skatteslag som Skatteverket handlägger. Med avgift menas bl.a. socialavgifter, förseningsavgifter, skattetillägg och avgift till registrerat trossamfund.
• Bestämma pensionsgrundande inkomst.
• Fastighetstaxering. Detta ändamål omfattar även förberedelsearbetet inför fastighetstaxeringen.
• Revision och annan analys- och kontrollverksamhet.
• Utöva tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Exempel på lämplighetsprövning är en sådan prövning som Skatteverket gör innan en företagare godkänns för F-skatt.
• Handläggning enligt BorgL, handläggning av andra frågor om ansvar för någon annans skatter och avgifter samt handläggning enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. SFL samt enligt lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet och 33 a kap. SFL.
• Fullgöra en skyldighet som följer av ett internationellt åtagande som är bindande för Sverige.
• Hantera underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige.
• Hantera uppgifter om sjuklönekostnad.
• Utöva tillsyn, kontrollera, följa upp och planera Skatteverkets verksamhet (avser intern kontroll och tillsyn över den löpande verksamheten).

Bestämmelsen om de primära ändamålen omfattar praktiskt taget all verksamhet inom beskattningsområdet som Skatteverket ska utföra. Den omfattar även en viss annan verksamhet som inte utgör en del av beskattningsförfarandet, men som Skatteverket ändå ansvarar för (prop. 2000/01:33 s. 197).

En grundläggande förutsättning för att Skatteverket över huvud taget ska få behandla en uppgift är att uppgiften behövs i beskattningsverksamheten. Beskattningsdatabasen får inte innehålla några uppgifter som inte behövs för de primära ändamålen, utan endast är till nytta för de sekundära ändamålen, t.ex. för Kronofogdemyndighetens verksamhet (prop. 2000/01:33 s. 128).

Sekundära ändamål

Uppgifter som Skatteverket redan behandlar för något av de primära ändamålen får under vissa förutsättningar behandlas även för andra ändamål, s.k. sekundära ändamål. I SdbL anges under vilka förutsättningar detta får ske.

Uppgifter till författningsreglerad verksamhet hos annan än Skatteverket

Uppgifter som Skatteverket redan behandlar för något av de primära ändamålen får behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för följande ändamål (1 kap. 5 § 1 SdbL och prop. 2000/01:33 s. 198 f.):

• Fastställa underlag för och redovisa, bestämma, betala och återbetala skatter eller avgifter. Skatteverkets utlämnande av uppgifter till Tullverket för Tullverkets verksamhet att uppbära skatter och tullar är ett exempel på tillämpning av denna bestämmelse.
• Genomföra utsökning, indrivning, skuldsanering och F-skuldsanering.
• Utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd. Denna punkt omfattar t.ex. kontroll av bostadsbidrag, underhållsstöd och studiebidrag.
• Beräkna pensioner.
• Utöva tillsyn och kontroll samt lämplighets- och tillståndsprövning och andra liknande prövningar. Denna punkt omfattar t.ex. den kontroll av punktskattepliktiga varor som Tullverket genomför.
• Aktualisera och komplettera uppgifter om fastigheter i andra myndigheters register.

Uppgifter till Skatteverkets brottsbekämpande verksamhet

Uppgifter som Skatteverket redan behandlar för något av de primära ändamålen får behandlas även för att tillhandahålla information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet (1 kap. 5 § 2 SdbL). Det är emellertid viktigt att det inte råder något tvivel om att beskattningsverksamheten och den brottsbekämpande verksamheten inom Skatteverket bedrivs åtskilda (prop. 2000/01:33 s. 126). Eventuell sekretess gäller även mellan Skatteverkets olika verksamhetsgrenar.

Uppgifter till andra i enlighet med andra författningar

Uppräkningen av de sekundära ändamålen i SdbL är inte uttömmande. Skatteverket får behandla uppgifter för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning (1 kap. 5 § 3  SdbL). En sådan lagreglerad uppgiftsskyldighet finns bl.a. i 2 § lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Det finns bestämmelser om att använda och lämna ut uppgifter från Skatteverkets beskattningsverksamhet även i andra författningar, t.ex. SparL och SparF. Sådana bestämmelser kan tillåta både att uppgifter som omfattas av SdbL används och lämnas ut på ett elektroniskt medium.

Uppgifter för andra ändamål

Uppgifter kan även få behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (1 kap. 5 § 4 SdbL). Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 EU:s dataskyddsförordning ska inte anses vara oförenlig med insamlingsändamålen (prop. 2017/18:95 s. 54 ff). Ett annat exempel är utlämnande till verksamheter som regleras av bestämmelserna i kreditupplysningslagen (1973:1173) .

En sekretessprövning behöver också göras

Bestämmelser i SdbL och andra författningar som medger att Skatteverket får behandla uppgifter för att lämna ut information till angivna mottagare, innebär bara att den elektroniska behandlingen av uppgifterna är tillåten. Dessa bestämmelser anger vanligtvis inte något om vad som gäller angående eventuell sekretess. En vanlig sekretessprövning måste därför göras innan några uppgifter eventuellt lämnas ut.

Behandling av uppgifter i beskattningsdatabasen

Skatteverket kan behandla personuppgifter och andra uppgifter elektroniskt i beskattningsverksamheten, både i och utanför den s.k. beskattningsdatabasen. Det är viktigt att veta var en uppgift behandlas, eftersom olika bestämmelser gäller för behandling av uppgifter i respektive utanför beskattningsdatabasen.

Vad är beskattningsdatabasen?

Beskattningsdatabasen är en samling uppgifter som med hjälp av automatiserad behandling är gemensamt tillgänglig inom verksamheten för de ändamål som anges i 1 kap. 4–5 §§ SdbL (2 kap. 1 § SdbL). Exempel på uppgifter som är gemensamt tillgängliga är de uppgifter som finns i våra verksamhetssystem. Att Skatteverket har en behörighetssättning för olika verksamhetssystem som gör att olika personalkategorier har olika behörigheter, vilket i praktiken innebär att åtkomsten är begränsad för viss personal eller vissa kategorier av personal, innebär i sig inte att uppgiftens egenskap som gemensamt tillgänglig förändras (prop. 2002/01:33 s. 88 ff).

Begreppet databas är en juridisk beteckning. Begreppet är inte knutet till hur en samling av uppgifter är uppbyggd eller hur den lagras rent tekniskt. En databas kan innehålla flera register och flera andra uppgiftssamlingar.

Bestämmelserna i 2 kap. SdbL gäller även vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 § andra stycket SdbL).

För att en uppgift ska anses ingå i beskattningsdatabasen ska den användas gemensamt inom verksamheten. Med detta menas att uppgiften behandlas på ett sätt som medför att den utgör ”allmän egendom” i verksamheten (SOU 1999:105 s. 231).

Uppgifter som används gemensamt inom verksamheten

En uppgift anses vara gemensamt använd om den registreras och lagras i ett datasystem på ett sådant sätt att anställda inom en myndighet har möjlighet att vid behov och i olika sammanhang ta del av uppgiften direkt på automatiserad väg. Att olika personalkategorier har olika behörighet och att vissa uppgifter därför i praktiken är åtkomliga endast för ett begränsat antal personer, förtar i sig inte uppgifternas egenskap som gemensamt använda (prop. 2000/01:33 s. 89 f.).

Bestämmelser för att behandla uppgifter i beskattningsdatabasen

För behandling av uppgifter i beskattningsdatabasen gäller särskilda bestämmelser. Det är från integritetssynpunkt viktigt att det finns särskilda skyddsregler för stora uppgiftssamlingar som ger möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer (prop. 2000/01:33 s. 91).

Skatteverket ska tillämpa både de särskilda bestämmelserna i 2 kap. SdbL och de allmänna bestämmelserna i 1 kap. och 3 kap. SdbL vid behandling uppgifter i beskattningsdatabasen. Dessutom ska de allmänna dataskyddsbestämmelserna om principer för behandling av personuppgifter tillämpas.

Uppgiftsdelen och handlingsdelen

Beskattningsdatabasen består teoretiskt sett av en uppgiftsdel och en handlingsdel. Det är noggrant reglerat vilka uppgifter Skatteverket får behandla i uppgiftsdelen. Denna del innehåller uppgiftssamlingar som t.ex. identitetsuppgifter, beloppsuppgifter från deklarationer, slutskatteuppgifter. Handlingsdelen innehåller handlingar i ärenden som handläggs elektroniskt. Det kan både vara handlingar som har kommit in till Skatteverket och handlingar som har upprättats inom Skatteverket. Exempel på sådana handlingar är inkomstdeklaration, svar på förfrågningar, kommunikation efter överväganden och beslut.

Samma uppgifter kan förekomma i både uppgiftsdelen och handlingsdelen i beskattningsdatabasen. Ett exempel på detta är uppgifter i en elektronisk inkomstdeklaration som är ingiven i form av ett elektroniskt dokument. Deklarationen lagras i handlingsdelen i den fixerade form som den lämnades in i. Dessutom förs de enskilda uppgifterna från deklarationen in i uppgiftsdelen i beskattningsdatabasen. I uppgiftsdelen kan Skatteverket göra beräkningar, kontroller m.m., exempelvis jämförelser med kontrolluppgifter. Nästan alla uppgifter som förekommer på en inkomstdeklaration får föras in i uppgiftsdelen. Det kan dock finnas uppgifter som den skattskyldiga har antecknat som ”övriga upplysningar” som Skatteverket endast får behandla i handlingsdelen.

Vilka personers uppgifter får behandlas?

I beskattningsdatabasen får Skatteverket behandla uppgifter om personer som omfattas av de verksamheter som anges i 1 kap. 4 § 1–9 SdbL (2 kap. 2 § SdbL). Skatteverket får behandla uppgifter om andra personer bara om det behövs för att handlägga ett ärende. De personer som avses är både fysiska och juridiska personer. Exempelvis får uppgifter om en make eller ett hemmavarande barn behandlas, liksom uppgifter om en företrädare för en juridisk person eller en revisor (prop. 2000/01:33 s. 200).

Vilka uppgifter får behandlas?

I beskattningsdatabasens uppgiftsdel får Skatteverket enbart behandla vissa förutbestämda uppgifter. Uppgifterna ska behövas för de ändamål som anges i 1 kap. 4 § SdbL. Bestämmelser om vilka uppgifter som får behandlas finns i SdbL, SdbF, Skatteverkets föreskrifter om vilka uppgifter som får behandlas enligt 2 kap. 3 § SdbL (SKVFS 2018:12).

Bestämmelser i SdbL om vilka uppgifter Skatteverket får behandla

Skatteverket får behandla nedanstående uppgifter i beskattningsdatabasen, under förutsättning att uppgifterna behövs för något av de ändamål som anges i SdbL (2 kap. 3 § SdbL och prop. 2000/01:33 s. 200 f.).

• En fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden. Med identitet avses namn, personnummer och samordningsnummer. Med bosättning avses folkbokföringsort, hemadress eller särskild postadress. Med uppgift om familjeförhållanden avses uppgift om civilstånd, make eller maka och person som vid beskattning likställs med make eller maka samt hemmaboende barn m.m.
• En juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare. Exempelvis uppgift om organisationsnummer, juridisk form, styrelseledamöter, firmatecknare samt adressuppgifter.
• Uppgifter om registrering för skatter och avgifter. Exempelvis uppgifter om att någon är registrerad för mervärdesskatt eller som arbetsgivare samt andra grundläggande uppgifter om skattskyldighet.
• Underlag för att fastställa skatter och avgifter. Exempelvis uppgifter som lämnas i deklarationer eller kontrolluppgifter från arbetsgivare om löner som betalats ut under året.
• Uppgifter för att bestämma skatter och avgifter. Med detta avses bl.a. uppgifter om inbetald preliminär skatt och socialavgifter, fastställd skatt för inkomst av tjänst eller kapital samt uppgifter om skatter och avgifter som ska betalas eller tillgodoräknas.
• Underlag för fastighetstaxering. Denna typ av uppgifter utgör inte alltid grund för beskattning. Därför anges det särskilt i lagen att Skatteverket får behandla dessa uppgifter. Även uppgifter som behövs för förberedelsearbetet för fastighetstaxering får behandlas.
• Uppgifter om revision och andra kontroller av skatter och avgifter, t.ex. uppgifter om en beslutad eller pågående revision, anteckningar om förfrågningar till skattskyldiga eller till andra myndigheter.
• Uppgifter som behövs för handläggning enligt BorgL.
• Uppgifter om avgiftsskyldighet till ett registrerat trossamfund samt om medlemskap i en fackförening.
• Yrkanden och grunder i ett ärende.
• Beslut, betalning, redovisning och övriga åtgärder i ett ärende. En uppgift om en övrig åtgärd i ett ärende kan t.ex. vara en uppgift om ställda säkerheter enligt LAS.
• Uppgifter som behövs för att hantera underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för utfört arbete av en utlänning som inte har rätt att vistas i Sverige.
• Uppgifter som behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete.
• Uppgifter om sjuklönekostnad.

I databasen får Skatteverket även behandla andra uppgifter som behövs för att fullgöra en skyldighet som följer av ett bindande internationellt åtagande för Sverige (2 kap. 3 § andra stycket SdbL).

Uppgifter om förflyttningar och kontroller av punktskattepliktiga varor som ingår i EMCS-systemet får behandlas i beskattningsdatabasen (2 kap. 4 a § SdbL och 3 § SdbF). Vilka uppgifter som ska ingå i det datoriserade systemet har bestämts på EU-nivå och är samma i alla medlemsstater (prop. 2011/12:155 s. 108).

Bestämmelser i SdbF om vilka uppgifter Skatteverket får behandla

Vilka uppgifter som får behandlas i beskattningsdatabasen beskrivs närmare i 2 § SdbF. Där står det att Skatteverket i databasen får behandla uppgifter

• som behövs när Skatteverket ska handlägga ärenden med stöd av KupL, FTL, FSL, FAvL, SFL, ML, LPK, lagen (1999:445) om exportbutiker, IL, BorgL, lagen (2013:948) om stöd vid korttidsarbete eller någon annan författning med bestämmelser om skatt och socialavgifter
• om planerad, beslutad, pågående eller avslutad revision och andra kontroller av skatter och avgifter
• om att en fordran mot en person har registrerats hos Kronofogdemyndigheten och om indrivningsresultatet
• om beslut om näringsförbud
• om antal anställda och anställdas personnummer
• om plusgironummer och bankgironummer samt om fullmakt och konto under förutsättning att en fullmakt har lämnats för att ta emot skatteåterbetalning på ett konto för bankgiro eller plusgiro
• för förberedelsearbete vid fastighetstaxering
• om lagfarna köp av hela eller delar av fastigheter samt om fastighetsregleringar där mer än två hektar åkermark, betesmark och skogsmark överförs från en fastighet till en annan och där det finns en frivillig överenskommelse om likviden
• om tillsyn enligt AL
• som behövs för att handlägga ärenden enligt
• LÖHS,
• lagen (2012:843) om administrativt arbete inom Europeiska unionen i fråga om beskattning,
• lagen (2015:63) om utbyte av upplysningar med anledning av FATCA-avtalet,
• lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton,
• lagen (2015:911) om identifiering av rapporteringspliktiga konton vid automatiskt utbyte av upplysningar om finansiella konton,
• lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet, och
• annat informationsutbyte och annan handräckning enligt internationella åtaganden.
• från aktiebolagsregistret
• från vägtrafikregistret
• från Folkhälsomyndigheten om tillstånd enligt AL och om omsättning enligt en restaurangrapport
• från Arbetsförmedlingen om beslut om arbetsmarknadspolitiska åtgärder samt om utbetalat belopp och datum för utbetalning
• från Tullverket om debiterad mervärdesskatt vid import, exportvärden, antal importtillfällen och exporttillfällen, de tidsperioder som uppgifterna avser, samt uppgifter från Tullverket som behövs för tillämpningen av 3 kap. 30 § andra stycket ML och för att fastställa, uppbära eller kontrollera mervärdesskatt vid import
• från Försäkringskassan om försäkring mot kostnader för sjuklön när det gäller arbetsgivaren och den försäkrade, om sjukpenninggrundande inkomst av annat förvärvsarbete och om utsänd person
• om avgiftsskyldighet till sådant trossamfund som har eller som har beviljats uppbördshjälp enligt 16 § LTF, samt om församlingstillhörighet inom Svenska kyrkan
• om att ett prissättningsbesked har lämnats enligt lagen (2009:1289) om prissättningsbesked vid internationella transaktioner
• om flyttningar av varor eller bränsle som avses i LTS, LAS respektive LSE
• om sjuklön enligt lagen (1991:1047) om sjuklön.

Bestämmelser i Skatteverkets föreskrifter om vilka uppgifter Skatteverket får behandla

Skatteverket har närmare preciserat vilka uppgifter som Skatteverket får behandla i beskattningsdatabasen i Skatteverkets föreskrifter (SKVFS 2018:12).

Vilka handlingar får behandlas i beskattningsdatabasen?

Skatteverket får behandla följande handlingar i beskattningsdatabasens handlingsdel:

• Handlingar som har kommit in i ett ärende (2 kap. 4 § SdbL).
• Handlingar som har upprättats i ett ärende (2 kap. 4 § SdbL).
• Handlingar om förflyttningar och kontroller av punktskattepliktiga varor som ingår i EMCS-systemet (2 kap. 4 a § SdbL och 3 § SdbF). Vilka handlingar som ska ingå i det datoriserade systemet har bestämts på EU-nivå och är samma i alla medlemsstater (prop. 2011/12:155 s. 108).

Elektroniska handlingar

De handlingar som finns i handlingsdelen i beskattningsdatabasen kallas elektroniska handlingar. De elektroniska handlingarna kan jämställas med pappershandlingar. De har ett bestämt, fixerat innehåll och de går att återskapa gång på gång.

En elektronisk inkomstdeklaration som lämnas in i form av ett elektroniskt dokument är ett exempel på en elektronisk handling som behandlas i beskattningsdatabasen. En sådan handling är försedd med den skattskyldigas elektroniska underskrift och betraktas rättsligt på samma sätt som en underskriven pappersdeklaration.

Känsliga personuppgifter och uppgifter om lagöverträdelser

Skatteverket får endast i undantagsfall behandla känsliga personuppgifter och uppgifter om lagöverträdelser i beskattningsdatabasen. Det finns särskilda bestämmelser för när sådana uppgifter får behandlas i uppgiftsdelen respektive i handlingsdelen.

Behandla känsliga personuppgifter och uppgifter om lagöverträdelser i uppgiftsdelen

Det är noggrant reglerat vilka uppgifter Skatteverket får behandla i uppgiftsdelen i beskattningsdatabasen. Bland annat får uppgifter om registrerat trossamfund och uppgifter om medlemskap i en fackförening behandlas (2 kap. 3 § 9 SdbL). Dessa uppgifter utgör känsliga personuppgifter. Några andra känsliga personuppgifter än dessa får inte behandlas i uppgiftsdelen. Uppgifter om lagöverträdelser får över huvud taget inte behandlas i uppgiftsdelen.

Behandla känsliga personuppgifter och uppgifter om lagöverträdelser i handlingsdelen

Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser i handlingsdelen i beskattningsdatabasen om en av följande förutsättningar är uppfylld (2 kap. 4 § SdbL):

uppgifterna finns i en handling som har kommit in i ett ärende

uppgifterna finns i en handling som har upprättats i ett ärende och är nödvändiga för att handlägga ärendet.

Att Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser om de finns i en handling som kommer in till Skatteverket, beror på att Skatteverket inte kan påverka innehållet i de handlingar som kommer in till myndigheten.

Att Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser i en handling som upprättas inom myndigheten, beror på att det inte är möjligt att förutse de olika situationer som kan uppstå i hanteringen av ärenden. Skatteverket kan i ett beslut eller någon annan handling behöva skriva om sak omständigheter eller argument som innefattar uppgifter av vitt skilda slag. Att behandlingen av de aktuella uppgifterna ska vara nödvändig innebär inte att det krävs att det är omöjligt att hantera frågorna på något annat sätt, t.ex. genom pappershantering eller genom att utelämna vissa delar av skälen för ett beslut. Vad som avses är att behandlingen ska vara nödvändig för att myndigheten ska kunna hantera sina ärenden enligt gällande rutiner och regler (prop. 2000/01:33 s. 101 f.).

Begränsning av vilka sökbegrepp som får användas

När Skatteverket söker efter en elektronisk handling i beskattningsdatabasen får enbart följande uppgifter användas som sökbegrepp (2 kap. 10 § första stycket SdbL):

• namn
• personnummer eller samordningsnummer
• beteckning på fastighet (taxeringsenhetsnummer, fastighetsbeteckning eller någon annan löpande beteckning)
• uppgifter som avses i 5 kap. 2 § OSL.

Sökbegränsningen gäller när man söker efter handlingar. Begränsningen gäller inte när man söker i handlingar när handlingarna väl har identifierats. Några sökbegränsningar gäller således inte vid sökning i en handling (prop. 2000/01:33 s. 203). Det är alltså tillåtet att använda till exempel de sökmöjligheter som finns i ordbehandlingsprogrammet Word för att söka fram ett visst avsnitt eller en viss uppgift i en handling.

Känsliga personuppgifter får inte användas som sökbegrepp

Känsliga personuppgifter och uppgifter om lagöverträdelser får inte användas som sökbegrepp i någon del av beskattningsdatabasen utom vid sökning i en redan identifierad handling (2 kap. 10 § andra stycket SdbL).

Får Skatteverket göra sammanställningar av uppgifter ur beskattningsdatabasen?

Skatteverket får göra sammanställningar av uppgifter som behandlas elektroniskt inom beskattningsverksamheten, exempelvis sammanställningar i samband med urvalsverksamhet och analysverksamhet. Att göra en sammanställning innebär att man behandlar uppgifterna och att man måste följa samtliga tillämpliga bestämmelser i SdbL, SdbF och de allmänna dataskyddsbestämmelserna. Det är särskilt viktigt att Skatteverket säkerställer att en sådan behandling enbart görs för de ändamål som anges i 1 kap. 4 och 5 §§ SdbL och att den föreskrivna gallringen av uppgifterna görs.

I uppgiftsdelen i beskattningsdatabasen finns det väldigt många uppgifter som kan sammanställas i en mängd olika konstellationer. En sammanställning av sådana uppgifter sker ofta genom att uppgifterna visas i olika terminalbilder. Vilka uppgifter som ska visas och hur de ska visas är då bestämt i förväg.

Behandling av uppgifter utanför beskattningsdatabasen

Vad är behandling utanför beskattningsdatabasen?

Med behandling utanför beskattningsdatabasen menas all elektronisk behandling av uppgifter i beskattningsverksamheten som görs utanför den gemensamt tillgängliga uppgiftssamlingen, beskattningsdatabasen.

Behandlingar utanför den gemensamt tillgängliga uppgiftssamlingen är inte detaljreglerade på samma sätt ifråga om vilka uppgifter som får ingå. Dessa behandlingar får omfatta uppgifter som inte får behandlas i strukturerad form i beskattningsdatabasen. Skatteverket kan t.ex. sambearbeta uppgifter som finns i beskattningsdatabasen med uppgifter som inte får behandlas i databasen. Bearbetningen måste då ske utanför den gemensamma uppgiftssamlingen och bestämmelserna i 1 och 3 kap. SdbL ska tillämpas (prop. 2000/01:33 s. 200).

Exempel på behandlingar utanför databasen är

• behandling vid förberedelse av ett kontrollprojekt.
• behandling av uppgifter från tredje man i ett urvalsprojekt eller kontrollprojekt.
• ordbehandling i Word.
• när en handläggare lagrar uppgifter på sin bärbara dator i samband med en revision.
• när uppgifter bearbetas inom ett visst projekt. Exempelvis uppföljningsfiler kopplade till olika insatser.
• när uppgifter från beskattningsdatabasen sambearbetas med uppgifter som hämtats in från någon annan källa än beskattningsdatabasen
• sammanställa uppgifter som har hämtats in i ett ärende.

Bestämmelser för att behandla uppgifter utanför beskattningsdatabasen

Skatteverket ska tillämpa de allmänna bestämmelserna i 1 kap. och 3 kap. SdbL för behandling av uppgifter utanför beskattningsbasen. Dessutom ska de allmänna dataskyddsbestämmelserna om principer och grundläggande krav tillämpas. Uppgiftssamlingar utanför beskattnings­databasen ska hanteras i enlighet med gällande bestämmelser om t.ex. gallring, registerutdrag, säkerhetsåtgärder och information om behandlingen.

Uppgifter får bara vara tillgängliga för ett fåtal

Uppgifter som behandlas utanför beskattningsdatabasen får bara vara tillgängliga för ett fåtal namngivna personer. Det är inte tillräckligt att koppla tillgängligheten till en organisatorisk enhet eller till en viss arbetsuppgift. Uppgiftssamlingen och det ändamål som den ska tjäna ska till sin karaktär även vara kortvariga.

En uppgift anses inte vara gemensamt tillgänglig om den lagras elektroniskt på hårddisken i en dator eller på en server hos en myndighet när en anställd arbetar med ordbehandling. Uppgiften är i sådana situationer vanligtvis tillgänglig bara för den anställda själv och exempelvis systemadministratören (prop. 2000/01:33 s. 89 f.).

Vilka uppgifter och handlingar får behandlas utanför beskattningsdatabasen?

En grundläggande förutsättning för att uppgifter ska få behandlas elektroniskt utanför beskattningsdatabasen är att uppgifterna behövs för de ändamål som anges i 1 kap. 4 och 5 §§ SdbL. Ändamålsbestämmelserna gäller all behandling av uppgifter som utförs i beskattningsverksamheten, alltså även i de fall behandlingen sker utanför beskattningsdatabasen. När det gäller känsliga personuppgifter och uppgifter om lagöverträdelser är behandlingen av dessa särskild reglerad.

Känsliga personuppgifter och uppgifter om lagöverträdelser

Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser utanför beskattningsdatabasen enbart om någon av följande förutsättningar är uppfyllda (1 kap. 7 § SdbL):

• uppgifterna har lämnats i ett ärende
• uppgifterna är nödvändiga för att handlägga ett ärende, om uppgifterna t.ex. behövs i en föredragningspromemoria eller tjänsteanteckning.

Skatteverket kan med stöd av denna bestämmelse behandla uppgifter och handlingar i de ärenden om brottsanmälningar som Skatteverket gör med stöd av 17 § skattebrottslagen (1971:69).

Uppgifter om brottsanmälan får bara behandlas när det är nödvändigt för att handlägga ett ärende om brottsanmälan. Uppgifterna får alltså inte behandlas för urval eller kontroll.

Personnummer

Skatteverket får behandla personnummer utanför beskattningsdatabasen bara om någon av förutsättningarna för behandling av personnummer är uppfyllda (3 kap. 10 § den kompletterande dataskyddslagen).

Ingen begränsning av vilka sökbegrepp som får användas

Det finns inga begränsningar i SdbL av vilka ord som Skatteverket får använda som sökbegrepp vid sökning efter uppgifter eller handlingar utanför beskattningsdatabasen.

Uppgifterna ska gallras efter en kortare tid

Det är viktigt att förhindra att Skatteverket behandlar omfattande uppgiftssamlingar om enskilda skattesubjekt (jfr SOU 1999:105 avsnitt 9.2). Uppgifter som behandlas utanför beskattningsdatabasen ska därför gallras efter en kortare tid än uppgifter som behandlas i beskattningsdatabasen.

Skatteverket hämtar in uppgifter från tredje man inför urvals- eller kontrollprojekt. I dessa fall gäller enligt Riksarkivets föreskrift att gallring ska ske senast när projektet avslutats.