OBS: Detta är utgåva 2019.8. Sidan är avslutad 2020.
Vid överföring av personuppgifter till medlemsstater, tredje land och internationella organisationer gäller särskilda villkor som Skatteverket måste beakta. Med medlemsstater menas stater som är medlemmar i EU samt Island, Liechtenstein, Norge och Schweiz. En nyhet är att reglerna om överföring av personuppgifter även omfattar överföring till internationella organisationer.
För att Skatteverket överhuvudtaget ska kunna överföra personuppgifter till tredjeland och internationella organisationer ställer brottsdatalagen upp särskilda villkor som måste vara uppfyllda. En grundläggande förutsättning för att Skatteverket ska kunna överföra personuppgifter är att myndigheten genom rättsordningen har fått sådan uppgift och på så sätt blivit behörig.
För att överföring ska kunna ske ska Skatteverket även behandla personuppgifterna hos sig inom brottsdatalagens tillämpningsområde. Lagstiftningen omfattar även personuppgifter som är avsedda att behandlas i ett tredjeland eller av en internationell organisation. Det är då fråga om sådana personuppgifter som inte är föremål för automatiserad eller annan strukturerad behandling i Sverige, utan överförs till ett tredjeland eller en internationell organisation för att t.ex. läggas in i en databas.
Det är inte ovanligt att personuppgifter överförs till tredjeland genom så kallade nationella kontaktpunkter inom ramen för internationellt samarbete. Syftet med nationella kontaktpunkter är att underlätta det internationella samarbetet genom att varje stat pekar ut en viss myndighet som är ständigt tillgänglig och genom vilken all information till staten kanaliseras, oberoende av vem den slutliga mottagaren är. Kontaktpunkten ser till att informationen omedelbart vidarebefordras till mottagaren. Det är dock endast behöriga myndigheter som kan fungera som kontaktpunkter för informationsutbyte inom ramlagens tillämpningsområde.
För att överföring ska få ske måste även de grundläggande kraven för behandling enligt brottsdatalagen vara uppfyllda.
Det är viktigt att skyddsnivån inom unionen inte undergrävs när personuppgifter överförs från unionen till personuppgiftsansvariga, personuppgiftsbiträden eller andra adressater i tredjeland eller till internationella organisationer. Därför måste Skatteverket upprätthålla det krav på skyddsnivå som brottsdatalagen ställer även vid överföring av personuppgifter till tredje land och internationella organisationer.
En överföring av personuppgifter från en svensk myndighet till ett tredjeland eller en internationell organisation kan samtidigt innebära utlämnande av allmänna handlingar. Då aktualiseras även bestämmelser om sekretess. (Se mer i prop. 2017/18:232 sid. 400 ff).
Det är en nyhet att reglerna om överföring av personuppgifter även omfattar överföring till internationella organisationer. Om Skatteverket vill föra över personuppgifter till tredje land eller en internationell organisation måste vissa villkor vara uppfyllda (8 kap. 1 § brottsdatalagen):
Om det inte finns något beslut om tillräckliga skyddsgarantier eller tillräckliga skyddsåtgärder fastställda i ett avtal eller garantier om tillräckligt skydd från den mottagande behöriga myndigheten får överföringen bara göras om den är nödvändig för att
Vid en prövning får den registrerades intresse av skydd mot kränkning av rättigheter och friheter inte väga tyngre än det allmännas intresse av att en sådan överföring sker (8 kap. 4 och 5 §§ brottsdatalagen). Det finns också krav på särskild dokumentation och information till tillsynsmyndigheten vid sådan överföring (7 kap. 3 och 4 §§ brottsdataförordningen)
Personuppgifter som Skatteverket har fått från en annan behörig myndighet i en medlemsstat får överföras till ett tredjeland eller en internationell organisation endast om den medlemsstat som lämnat uppgifterna till Skatteverket har medgett att de överförs (8 kap. 2 § brottsdatalagen).
Om ett medgivande på grund av tidsbrist inte kan inhämtas i förväg, får personuppgifter ändå överföras till ett tredjeland eller en internationell organisation endast om
Den som skulle ha gett tillstånd ska då utan dröjsmål informeras om att överföringen har gjorts (7 kap. 1 § brottsdataförordningen).
En svensk behörig myndighet får i ett enskilt fall överföra personuppgifter till någon som inte är en behörig myndighet i ett tredjeland. Förutsättningar för en sådan överföring anges i 8 kap. 8 § brottsdatalagen och 7 kap. 2 och 5 §§ brottsdataförordningen.
Om Skatteverket har fått personuppgifter från ett tredjeland eller en internationell organisation och det finns särskilda användningsbegränsningar uppställda i en överenskommelse, ska Skatteverket följa villkoren oavsett vad som är föreskrivet i lag eller annan författning (8 kap. 9 § brottsdatalagen).
Skatteverket får, vid överföring av personuppgifter till ett tredjeland eller en internationell organisation, i ett enskilt fall ställa upp villkor som begränsar möjligheten att använda uppgifterna, om det krävs med hänsyn till den enskildes rätt eller från allmän synpunkt. Sådana villkor får emellertid inte strida mot en internationell överenskommelse som är bindande för Sverige (8 kap. 10 § brottsdatalagen).
Om Skatteverket ska överföra personuppgifter till en annan medlemsstat kan Skatteverket behöva ställa upp villkor för att få använda personuppgifterna. Användningsbegränsningar får emellertid endast tillämpas i enskilda fall och villkoren får inte strida mot en bindande internationell överenskommelse. Det innebär i så fall också en skyldighet att i vissa fall dokumentera överföringar som görs till tredjeland eller internationella organisationer en skyldighet att informera tillsynsmyndigheten om vissa överföringar till tredjeland och internationella organisationer.(prop. 2017/18:232 sid. 397 f).