När ska SdbL tillämpas?

Vilka dataskyddsregler är tillämpliga?

Den allmänna dataskyddsregleringen består av EU:s dataskyddsförordning, den kompletterande dataskyddslagen och den kompletterande dataskyddsförordningen. EU:s dataskyddsförordning är den grundläggande författningen vid all behandling av personuppgifter, inklusive den som sker inom beskattningsverksamheten, när behandlingen är helt eller delvis automatiserad eller om behandlingen avser personuppgifter som ingår i eller kommer att ingå i ett register. När behandlingen av uppgifter sker inom det som från ett dataskyddsperspektiv kan definieras som beskattningsverksamheten kompletterar SdbL EU:s dataskyddsförordning. SdbL, liksom annan verksamhetsspecifik dataskyddsreglering, brukar kallas särskild dataskyddsreglering. Utöver SdbL gäller också kompletteringsförfattningarna vid behandling av personuppgifter i beskattningsverksamheten, om de inte avviker från SdbL eller SdbF.

Vad som kan anses vara behandling av uppgifter i beskattningsverksamheten är generellt all behandling som sker med utgångspunkt i den materiella skatteregleringen, exempelvis behandling som har sin grund i skatteförfarandelagen, inkomstskattelagen eller mervärdeskattelagen. Ett annat exempel på behandling som sker i beskattnings­verksamheten ur ett dataskyddsperspektiv är behandling som grundar sig i lagen (2009:194) om förfarandet vid skattereduktion för hushållsarbete.

När personuppgifter behandlas i beskattningsverksamheten måste Skatteverket tillämpa reglerna i EU:s dataskyddsförordning om

• definitioner (artikel 4)
• principer för behandling av personuppgifter (artikel 5)
• laglig behandling av personuppgifter (artikel 6)
• den registrerades rättigheter (artikel 12–15)
• rättelse, radering, begränsning av behandling m.m. (artikel 16–19)
• hinder mot automatiserat beslutsfattande som inbegriper profilering (artikel 22)
• personuppgiftsansvarigas ansvar (artikel 24–25, 30–31)
• säkerhet för personuppgifter (artikel 32–34).

När personuppgifter behandlas i beskattningsverksamheten ska Skatteverket också tillämpa den kompletterande dataskyddslagen i följande fall

• förhållande till tryck- och yttrandefriheten (1 kap. 7 § kompletterande dataskyddslag)
• viss rättslig grund för behandling av personuppgifter (2 kap. 1–2 §§ kompletterande dataskyddslag)
• behandling av personnummer och samordningsnummer (3 kap. 10 § kompletterande dataskyddslag)
• begränsningar av vissa rättigheter och skyldigheter (5 kap. 1 och 2 §§ kompletterande dataskyddslag)
• tillsynsmyndighetens befogenheter och sanktionsavgifter (6 kap. 1–6 §§ kompletterande dataskyddslag)
• skadestånd och överklagande (7 kap. 1–5 §§ kompletterande dataskyddslag).

Då ska SdbL tillämpas

SdbL blir tillämplig vid

• behandling av personuppgifter i Skatteverkets beskattningsverksamhet
• handläggning enligt BorgL
• handläggning enligt lagen (2013:948) om stöd vid korttidsarbete
• handläggning enligt lagen (1991:1047) om sjuklön.

SdbL ska tillämpas om uppgifterna behandlas helt eller delvis automatiserat. SdbL ska även tillämpas om uppgifterna ingår i – eller kommer att ingå i – en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier, d.v.s. ett register, trots att samlingen inte är helt eller delvis automatiserad (1 kap. 1 § första stycket SdbL).

Personuppgiftsansvarig för behandlingen

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket utför enligt SdbL (1 kap. 6 § SdbL).

Revisioner är en del av Skatteverkets beskattningsverksamhet. När uppgifter behandlas elektroniskt i samband med revisionerna är bestämmelserna om behandling av uppgifter i Skatteverkets beskattningsverksamhet tillämpliga. Skatteverket är personuppgiftsansvarigt för behandlingen. Detta gäller oavsett om behandlingen görs med Skatteverkets eller den skattskyldigas tekniska utrustning eller program (prop. 2000/01:33 s. 137).

Uppgifter om juridiska personer och avlidna

En personuppgift är varje uppgift som avser en identifierad eller identifierbar fysisk person i livet (artikel 4.1 EU:s dataskyddsförordning). Uppgifter om juridiska personer och avlidna är därför per definition inte personuppgifter. Vissa bestämmelser i SdbL gäller trots det även för behandlingen av uppgifter om juridiska personer och avlidna i beskattningsverksamheten. Det gäller bestämmelserna om ändamål för behandlingen, personuppgiftsansvar och gallring. Skatteverket ska även tillämpa bestämmelserna i 2 kap. SdbL om beskattningsdatabasen när behandlingen avser uppgifter om juridiska personer och avlidna. Med juridiska personer menas även handelsbolag (1 kap. 1 § andra stycket SdbL).

Administrativa uppgifter

Vid behandling av personuppgifter för administrativa ändamål i beskattningsverksamheten ska Skatteverket inte tillämpa SdbL utan de allmänna dataskyddsbestämmelserna. Skatteverket får behandla de administrativa uppgifterna tillsammans med andra uppgifter i beskattningsdatabasen (se Skatteverket ställningstagande om databaser för personal- och verksamhetsplanering inom skatteverksamheten).

Uppgifter som behandlas för administrativa ändamål är sådana uppgifter som hänför sig till Skatteverkets interna verksamhet och inte till den enskilda som är föremål för Skatteverkets åtgärder.

Exempel på uppgifter som behandlas för administrativa ändamål är uppgifter om

• vem som handlägger ett visst ärende
• vilken enhet inom Skatteverket som ett ärende hör till.