När Skatteverket behandlar personuppgifter i sin brottsbekämpande verksamhet måste verket följa principerna i Skatteverkets brottsdatalag om bland annat laglighet och ändamålsbegränsning. Skatteverkets brottsdatalag innehåller också regler för behandling av känsliga personuppgifter och till vilka och på vilket sätt Skatteverket får lämna ut uppgifter elektroniskt.
Den uppgift som Skatteverket ska utföra ska framgå av en lag, en förordning eller i ett särskilt beslut där regeringen har bestämt att Skatteverket ska ansvara för uppgiften (2 kap. 1 § SBDL). Kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt är uppfyllt genom de författningar som reglerar den verksamhet där personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna. Att Skatteverket ska förebygga och motverka ekonomisk brottslighet och medverka i brottsutredningar som rör vissa brott står t.ex. i 6 § Skatteverkets instruktion.
Skatteverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna
Behandling av uppgifter för nya ändamål – inom brottsdatalagens tillämpningsområde - är tillåten, om det kan säkerställas att det finns en rättslig grund för den nya behandlingen och att den är nödvändig och proportionerlig (2 kap. 2 § SBDL och 2 kap. 4 § BDL). När Skatteverket har en skyldighet att lämna uppgifter enligt lag eller förordning, behöver Skatteverket inte göra någon sådan prövning (prop. 2017/18:269 s. 139).
Behandling av uppgifter för nya ändamål – utanför brottsdatalagens och Skatteverkets brottsdatalags tillämpningsområde – är tillåten, om det kan säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det ändamålet (2 kap. 2 § SBDL och 2 kap. 22 § BDL ). Utöver det måste det också säkerställas att den nya behandlingen är förenlig med dataskyddsförordningen samt tillämpliga kompletterande bestämmelser.
Det finns ett generellt förbud mot att söka efter känsliga personuppgifter i syfte att få fram ett särskilt urval av personer (2 kap. 14 § BDL och sökförbud på känsliga personuppgifter). Om syftet inte är att få fram ett urval av personer grundat på känsliga personuppgifter, finns ett undantag som medger sökning på uppgifter som beskriver en persons utseende. Det gäller sökningar i alla slags personuppgifter oberoende av om uppgifterna har gjorts gemensamt tillgängliga eller inte (2 kap. 4 § SBDL samt prop. 2017/18:232 s. 155 f.).
Det finns ytterligare ett undantag som medger sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung i uppgiftssamlingar som inte har gjorts gemensamt tillgängliga (2 kap. 5 § SBDL). Eftersom detta undantag från sökförbud endast gäller i uppgiftssamlingar som inte har gjorts gemensamt tillgängliga begränsas sökmöjligheterna från vad som gällt tidigare. Det är framför allt i Skatteverkets underrättelseverksamhet som det kan finnas behov av att göra sökningar som innebär att sammanställningar grundade på etniskt ursprung skapas. I exempelvis ärenden om falska identitetshandlingar eller gränsöverskridande ekonomisk brottslighet kan etniskt ursprung vara en gemensam faktor som knyter samman personer i ett nätverk. I utredningsverksamheten finns motsvarande behov av att kunna söka på sådana känsliga personuppgifter (prop. 2017/18:269 s. 201 f.).
Personuppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse (2 kap. 7 § SBDL).
Vissa myndigheter har bedömts ha behov av att ta del av personuppgifter som får göras gemensamt tillgängliga hos Skatteverket även om uppgifterna omfattas av sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § OSL (2 kap. 8 § SBDL). En förutsättning är att dessa myndigheter måste ha ett behov att använda uppgiften i sin egen verksamhet för något av syftena som anges i 1 kap. 2 § BDL. De myndigheter som under dessa förutsättningar har rätt att ta del av uppgifterna är
Myndigheterna får medges direktåtkomst till uppgifterna men det medför ingen absolut rättighet. Skatteverket får ställa villkor i fråga om behörighet och säkerhet för att medge direktåtkomst (3 kap. 6 § SBDL). Bestämmelsen reglerar alltså endast formen för utlämnande inte huruvida det finns stöd för att lämna ut uppgifterna. Möjligheterna till direktåtkomst kan vara begränsad av sekretess om det inte finns en Sekretessbrytande bestämmelse, som t.ex. 2 kap. 8 § SBDL. Direktåtkomst får inte heller ges innan Skatteverket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet (5 § SBDF).
Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt, det finns en rättslig grund för utlämnandet och uppgifterna inte omfattas av sekretess. Den tidigare regleringen gällde endast enstaka uppgifter vilket nu har tagits bort. Utlämnandesätt som omfattas är t.ex. e-post eller annan elektronisk överföring eller på ett usb-minne. Som regel bör det inte anses vara olämpligt att lämna ut uppgifter på det sättet till en annan myndighet. När det gäller utlämnande till enskilda krävs en mer nyanserad bedömning, där man bl.a. behöver bedöma innehållet i handlingen, vem som är mottagare, behovet av att kunna visa att personen faktiskt tagit del av handlingen och andra faktorer.
Elektroniskt utlämnande genom direktåtkomst är bara tillåtet i den utsträckning som anges i 3 kap. 6 § SBDL (2 kap. 9 § SBDL).