All personuppgiftsbehandling som Skatteverket är personuppgiftsansvarigt för måste alltid uppfylla de grundläggande principerna i EU:s dataskyddsförordning.
Skatteverket får bara behandla personuppgifter om behandlingen uppfyller principerna i artikel 5 EU:s dataskyddsförordning. Dessa principer är
Att personuppgiftsbehandlingen ska vara laglig innebär att Skatteverket alltid måste ha minst en rättslig grund för varje behandling av personuppgifter. Laglighetskravet innebär också att Skatteverket måste följa övriga principer och bestämmelser i EU:s dataskyddsförordning och i annan kompletterande lagstiftning (legalitetsprincipen).
Att personuppgiftsbehandlingen ska vara korrekt innebär att den ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade. Personuppgiftsbehandlingen ska stå i rimlig proportion till den nytta som personuppgiftsbehandlingen innebär (proportionalitetsprincipen). Skatteverket ska också ta hänsyn till vilken personuppgiftsbehandling de registrerade rimligen kan förvänta sig. Personuppgiftsbehandlingen ska vara förståelig och begriplig för de registrerade och inte göras på dolda eller manipulerande sätt.
Att behandlingen av personuppgifter ska vara öppen innebär att det ska vara klart och tydligt för de registrerade hur uppgifter samlas in och i övrigt behandlas. Skatteverket har en skyldighet att informera de registrerade om vad de har för rättigheter, t.ex. hur de kan begära registerutdrag, hur de kan få fel rättade och hur de kan få personuppgifter raderade (öppenhetsprincipen).
Redan innan Skatteverket börjar samla in personuppgifter, måste verket bestämma ändamålet för behandlingen. Det fastställda ändamålet påverkar bl.a. vilka personuppgifter Skatteverket får behandla och hur länge de får behandlas. Ändamålet ska även dokumenteras, bl.a. med hänsyn till den skyldighet att lämna information om personuppgiftsbehandlingar som Skatteverket har. Personuppgifter får aldrig behandlas på ett sätt som är oförenligt med det eller de ändamål som fastställdes innan uppgifterna först samlades in.
Ändamålet ska vara konkret, t.ex. behandling av anställdas personuppgifter i personaladministrativ verksamhet för att betala ut löner. Det får alltså inte vara för allmänt hållet. Det går att ha mer än ett ändamål för en personuppgiftsbehandling, om förutsättningarna för alla ändamål är uppfyllda.
Om ett ändamål är förenligt eller inte ska avgöras genom en bedömning i det enskilda fallet. Skatteverket bör då utgå från vilken behandling av uppgifter som en registrerad person rimligen kan förvänta sig mot bakgrund av det ursprungliga ändamålet. Den ändamålsbegränsningen begränsar bl.a. möjligheten för Skatteverket att samköra personuppgifter som verket behandlar för olika ändamål.
Om någon av Skatteverkets verksamhetsgrenar vill lämna ut personuppgifter till någon annan verksamhetsgren eller till någon annan organisation måste även själva utlämnandet vara förenligt med det ursprungliga ändamålet. Bestämmelserna om ändamål för behandling begränsar inte Skatteverkets skyldighet att lämna ut personuppgifter enligt 2 kap. TF (1 kap. 7 § kompletterande dataskyddslag).
Om det finns lämpliga skyddsåtgärder för de registrerades rättigheter får Skatteverket behandla de insamlade personuppgifterna för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen.
De personuppgifter som Skatteverket behandlar ska vara av betydelse för ändamålet, det vill säga adekvata och relevanta. För varje personuppgift – eller kategori av personuppgifter – som Skatteverket vill behandla måste verket ta ställning till om uppgiften verkligen är nödvändig för ändamålen med behandlingen. Skatteverket får alltså inte behandla personuppgifter enbart för att uppgifterna eventuellt kan komma till användning i framtiden. Uppgifterna ska även vara riktiga och, om det är nödvändigt för ändamålen för behandlingen, också aktuella.
Skatteverket ska vidta alla åtgärder som är rimliga för att rätta eller radera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen för behandlingen. En sådan rättelse ska Skatteverket göra på eget initiativ.
Skatteverket får inte bevara personuppgifter under längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen.
Skatteverket måste ha tillräcklig säkerhet för att skydda personuppgifterna mot bland annat obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Skatteverket ansvarar för att de it-system som används inte medför integritetsrisker. Eftersom integritets- och dataskyddsfrågor påverkar ett it-systems hela livscykel är det viktigt att man tar hänsyn till dem från förstudie och kravställning till användning och avveckling, s.k. inbyggt dataskydd.