Grundläggande bestämmelser

OBS: Detta är utgåva 2020.6. Visa senaste utgåvan.

2025
2024
2023
2022
2021
Tidigare
- 2020
- 2019
- 2018

2025
2024
Tidigare
- 2023
- 2022
- 2021
- 2020
- 2019
- 2018

I EU:s dataskyddsförordning och kompletterande dataskyddslag och kompletterande dataskyddsförordning finns allmänna bestämmelser för när personuppgifter får behandlas. Där finns bestämmelser om grundläggande krav som ska uppfyllas vid behandling av personuppgifter och krav på säkerhetsåtgärder. Författningarna innehåller även bestämmelser om de registrerades rättigheter, om skadestånd och sanktionsavgifter och om dataskyddsombud. Vid behandling av personuppgifter i brottsbekämpande syfte gäller inte förordningen utan ett EU-direktiv, som genomförs av annan nationell lagstiftning.

Dataskyddsregler och den personliga integriteten
Enskildas skydd för sina personuppgifter handlar om att skydda den personliga integriteten och därmed även rätten till privatliv. Ett av syftena med de dataskyddsregler som Skatteverket har att tillämpa är att se till att verket uppfyller detta.
Vad är personuppgifter och behandling av personuppgifter?
Personuppgifter är uppgifter som kan identifiera en fysisk levande person. Det finns dock viss dataskyddsreglering som även omfattar avlidna personer samt juridiska personer. Vissa kategorier av personuppgifter har strängare krav för behandling än andra. All hantering av personuppgifter utgör en form av behandling.
Vilka dataskyddsbestämmelser ska tillämpas?
I vissa delar av Skatteverkets verksamhet ska de allmänna bestämmelserna om dataskydd (personuppgiftsbehandling) tillämpas, d.v.s. EU:s dataskyddsförordning och den kompletterande dataskyddslagen med tillhörande förordning. I andra delar av verksamheten gäller även andra registerförfattningar vid behandling av personuppgifter som också kompletterar EU:s dataskyddsförordning. Den kompletterande dataskyddslagen är subsidiär i förhållande till avvikande bestämmelser i lag och förordning. Det kan exempelvis röra sig om särskilda registerförfattningar
Rättslig grund för behandling av personuppgifter
Skatteverket måste alltid ha minst en rättslig grund för varje behandling av personuppgifter. Om det inte finns någon rättslig grund är behandlingen inte laglig och därmed inte tillåten.
Grundläggande principer
All personuppgiftsbehandling som Skatteverket är personuppgiftsansvarigt för måste alltid uppfylla de grundläggande principerna i EU:s dataskyddsförordning.
Ansvar och krav vid behandling av personuppgifter
Skatteverket ansvarar för den behandling av personuppgifter som görs i verket. Skatteverket kan under vissa förutsättningar överlåta behandlingen av personuppgifter åt ett personuppgiftsbiträde. Som personuppgiftsansvarigt ska Skatteverket bl.a. föra ett register över personuppgiftsbehandlingar som verket har ett personuppgiftsansvar för, genomföra konsekvensbedömningar samt, vid behov, samråd med Datainspektionen.
Överföring till tredje land personuppgiftsbehandling i molntjänster
Att överföra personuppgifter till ett land utanför EU och EES eller till en internationell organisation innebär en behandling av uppgifterna. EU:s dataskyddsförordning har särskilda bestämmelser för denna typ av behandling. Bestämmelserna kan även aktualiseras när personuppgifter behandlas i en molntjänst.
Säkerhet för personuppgifter
Skatteverket måste ha en lämplig säkerhetsnivå för de personuppgifter som myndigheten behandlar. Vad som är en lämplig nivå beror bland annat på riskerna med behandlingen, tekniska möjligheter, kostnader och vilken typ av uppgifter som behandlas. Vid bedömningen ska särskild hänsyn tas till risken för oavsiktlig eller olaglig förstörning, förlust, ändring, eller obehörigt röjande av eller obehörig åtkomst till personuppgifterna.
Registrerades rättigheter
Registrerade personer har vissa rättigheter enligt EU:s dataskyddsförordning. Bland annat har de rätt att få information om behandlingen av deras personuppgifter. För Skatteverket innebär det en skyldighet att lämna information till de registrerade personerna både på eget initiativ och vid begäran. De registrerade har även rätt till rättelse, radering, begränsning av behandling, dataportabilitet och invändning på behandling. De har även rätt till klagomål och överklagande.
Lämna ut personuppgifter
Att lämna ut personuppgifter som behandlas elektroniskt innebär att man gör ytterligare en behandling av uppgifterna. Behandlingen måste vara tillåten enligt EU:s dataskyddsförordning samt övriga kompletterande bestämmelser och gällande sekretessbestämmelser.
Bevara eller gallra personuppgifter
EU:s dataskyddsförordning innehåller bestämmelser om hur länge personuppgifter får bevaras. I arkivlagen finns bestämmelser om hur myndigheter ska bevara och gallra allmänna handlingar. Särskilda bestämmelser gäller för att bevara och gallra uppgifter i Skatteverkets olika verksamhetsgrenar.
Dataskyddsombud
Skatteverket ska ha två dataskyddsombud. Dataskyddsombuden har en självständig ställning gentemot Skatteverket och måste bland annat ha god kunskap om dataskyddslagstiftning och Skatteverkets verksamhet.
Tillsynsmyndighet
Datainspektionen är tillsynsmyndighet och ansvarar bl.a. för övervakningen och tillämpningen av EU:s dataskyddsförordning och brottsdatalagen. Datainspektionens befogenheter är dels förebyggande, dels korrigerande.
Sanktionsavgifter

Referenser inom dataskydd & sekretess

Domar & beslut
EU-författningar
Föreskrifter
Lagar & förordningar
Propositioner
Ställningstaganden

Använd specialtecken för att hitta mer

Dataskyddsregler och den personliga integriteten

Vad är personuppgifter och behandling av personuppgifter?

Vilka dataskyddsbestämmelser ska tillämpas?

Rättslig grund för behandling av personuppgifter

Grundläggande principer

Ansvar och krav vid behandling av personuppgifter

Överföring till tredje land personuppgiftsbehandling i molntjänster

Säkerhet för personuppgifter

Registrerades rättigheter

Lämna ut personuppgifter

Bevara eller gallra personuppgifter

Dataskyddsombud

Tillsynsmyndighet

Sanktionsavgifter

Referenser inom dataskydd & sekretess