OBS: Detta är utgåva 2020.8. Sidan är avslutad 2020.

Personuppgiftsansvar är ett centralt begrepp i dataskyddsdirektivet och BDL. Utgångspunkten är att det alltid ska finnas någon som bär ansvaret för att dataskyddsreglerna följs vid behandling av personuppgifter och som den registrerade kan vända sig till för att göra sina rättigheter gällande. Skatteverket är personuppgiftsansvarigt för all behandling som utförs under verkets ledning eller på verkets vägnar.

När är Skatteverket personuppgiftsansvarigt?

Endast den behöriga myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter, är personuppgiftsansvarig (1 kap. 6 § BDL).

Skatteverket blir behörig myndighet genom lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet. Skatteverket är i princip alltid personuppgiftsansvarig för den behandling av personuppgifter som verket utför i brottsbekämpande syfte (1 kap. 2 § SBDL), se mer i avsnittet Skatteverkets brottsdatalag.

Ansvaret omfattar både personuppgiftsbehandling som förekommer vid Skatteverket och den behandling som personuppgiftsbiträden gör på Skatteverkets vägnar. Helhetsansvaret har betydelse för det skadeståndsrättsliga ansvaret och för eventuella sanktionsavgifter. Mer om skadestånd finns att läsa i avsnittet Skadestånd enligt brottsdatalagen och om sanktionsavgifter på sidan Sanktionsavgifter.

Gemensamt personuppgiftsansvar med andra myndigheter

Skatteverket kan i egenskap av behörig myndighet, tillsammans med en eller flera andra behöriga myndigheter, ha ett gemensamt personuppgiftsansvar för personuppgiftsbehandling som de gemensamt bestämmer ändamålen med och medlen för (3 kap. 20 § BDL). De ansvariga myndigheterna ska i så fall reglera sina respektive förpliktelser i en skriftlig överenskommelse (3 kap. 22 § BDF).

Regelverken som är tillämpliga för Skatteverkets brottsbekämpande verksamhet och övriga behöriga myndigheter innebär i regel att ansvaret är väl avgränsat mellan myndigheterna vilket i sin tur medför att gemensamt personuppgiftsansvar sällan borde förekomma.

Skatteverkets skyldigheter som personuppgiftsansvarig

Som personuppgiftsansvarig måste Skatteverket kunna visa att behandlingen av personuppgifter är författningsenlig och att den registrerades rättigheter skyddas genom att vidta lämpliga tekniska och organisatoriska åtgärder. Åtgärderna ska ses över och uppdateras vid behov (3 kap. 2 § BDL). En särskild organisatorisk åtgärd som ska vidtas är att anta och dokumentera interna strategier för dataskydd (3 kap. 2 BDF). Dataskyddsarbetet kan i praktisk mening beskrivas som ett riskbaserat arbetssätt där åtgärder vidtas för att minimera identifierade risker som kontinuerligt följs upp med lämplig intervall.

För att kunna bedöma vilka åtgärder som behöver vidtas ska man utgå från behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen samt att den enskildes rättigheter skyddas (3 kap. 1 § BDF).

Skatteverkets olika skyldigheter beskrivs närmare under respektive rubrik nedan.

Inbyggt dataskydd

Som personuppgiftsansvarig ska Skatteverket ha ett inbyggt dataskydd. Det innebär att integritetsaspekterna i dataskyddregleringen ska ha arbetats in och beaktats från förstudie och kravställning via design och utveckling, till användning och avveckling av it-systemen, (3 kap. 1 § BDF). Genom att integritetsfrågorna ska beaktas under hela den period som personuppgifter behandlas i systemen kan säkerheten höjas och på så sätt medföra att behandlingen blir korrekt och författningsenlig (3 kap. 3 § BDL och prop. 2017/18:232 s. 174).

Dataskydd som standard

I it-system ska det som huvudregel inte vara möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen. Det kan i mer praktisk mening beskrivas som att ett system ska styra användaren så att behandlingen utförs i enlighet med dataskyddsregleringen. Exempelvis kan grundinställningarna i ett system medföra att information inte visas mer än nödvändigt eller på annat sätt behandlas (3 kap. 4 § BDL och prop. 2017/18:323 s. 175).

Loggning i automatiserade system

Som personuppgiftsansvarig är Skatteverket skyldigt att säkerställa att det förs loggar över personuppgiftsbehandlingen i den utsträckning som det är särskilt föreskrivet (3 kap 5 § BDL).

Loggning är en säkerhetsåtgärd där behandlingshistorik sparas och möjliggör efterkontroll av den behandling som sker i systemet. Det skapar också förutsättningar för att få information om externa och interna angrepp mot ett system. Loggning är en viktig åtgärd för det interna säkerhetsarbetet. Vilka typer av behandlingar som ska loggas framgår av 3 kap. 4 § BDF.

Det särskilda kravet på loggning avser sådana system som är särskilt utformade eller anpassade där personuppgifter behandlas mer eller mindre strukturerat. Som exempel nämns verksamhetsstöd i form av dokument- eller ärendehanteringssystem och olika typer av register och databaser. Däremot omfattas inte standardprogram som Word eller Outlook av kravet på loggning (prop. 2017/18:232 s. 177).

Denna skyldighet gäller även eventuella personuppgiftsbiträden (3 kap. 19 § BDL).

Tillgången till personuppgifter

Eftersom Skatteverket har stora mängder uppgifter samlade så att integritetskänsliga uppgifter enkelt är sökbara, finns det en uppenbar risk för intrång i den personliga integriteten. Att tillgången till personuppgifter i så stor utsträckning som möjligt begränsas till vad var och en behöver för att utföra sitt arbete i verksamheten är en viktig åtgärd för att värna om den registrerades integritet (prop. 2017/18:232 s. 180).

Skatteverket ska som personuppgiftsansvarig också se till att tillgången till personuppgifter begränsas till vad de anställda behöver för att kunna fullgöra sina arbetsuppgifter (3 kap. 6 § BDL och 3 kap. 5–7 §§ BDF). Se också Sökning.

Denna skyldighet gäller även eventuella personuppgiftsbiträden (3 kap. 19 § BDL).

Konsekvensbedömning och förhandssamråd

Skatteverket ska genomföra en konsekvensbedömning om man inför en ny typ av behandling eller gör betydande förändringar av en redan pågående behandling som antas medföra en särskild risk för registrerads personliga integritet. Detta ska göras innan behandlingen påbörjas eller förändringen genomförs (3 kap. 7 § BDL). Vad en konsekvensbedömning ska innehålla framgår av 3 kap. 8 § BDF.

Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behandling innebär särskild risk för intrång, ska Skatteverket även samråda med Datainspektionen i god tid innan behandlingen påbörjas eller betydande förändringar genomförs (3 kap. 7 § BDL).

En konsekvensbedömning kan också vara nödvändig för behandling av personuppgifter i övriga fall – även om det i formell mening inte krävs enligt lagen. Det kan exempelvis vara nödvändigt för att man ska kunna bedöma vilka säkerhets- och skyddsåtgärder som krävs. Dataskyddsregleringen förutsätter i allmänhet att den som ansvarar för behandlingen säkerställer att bestämmelserna följs med utgångspunkt i ett riskbaserat arbetssätt.

Säkerhetsåtgärder

Skatteverket ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan avsiktlig skada.

De omständigheter som särskilt ska beaktas för att lämpliga säkerhetsåtgärder vidtas anges i 3 kap. 11 § BDF.

Säkerhetsåtgärden ska vidtas med hänsyn till

  • de tekniska möjligheterna
  • kostnaderna för åtgärderna
  • behandlingens art, omfattning, sammanhang och ändamål
  • om känsliga personuppgifter behandlas
  • hur integritetskänsliga övriga personuppgifter är.

Denna skyldighet gäller även eventuella personuppgiftsbiträden (3 kap. 19 § BDL).

Personuppgiftsincidenter

För att garantera ett bra skydd ska Skatteverket även ha bra rutiner att hantera incidenter som rör behandlingen av personuppgifter. En personuppgiftsincident beskrivs i 1 kap. 6 § BDL som en säkerhetsincident som leder till

  • oavsiktlig eller olaglig förstörning av personuppgifter, eller
  • förlust eller ändring av personuppgifter, eller
  • obehörigt röjande av eller obehörig åtkomst till personuppgifter.

En incident kan t.ex. inträffa genom yttre påverkan, men kan också bero på interna brister eller otillåtet handlande inom Skatteverket. Om en incident inträffar ska Skatteverket anmäla den till Datainspektionen inom 72 timmar från att verket har fått kännedom om incidenten. Det gäller dock inte om incidenten ska rapporteras enligt säkerhetsskyddslagen (2018:585) eller tillhörande föreskrifter. En anmälan av incidenten behöver heller inte göras om det är osannolikt att den har medfört eller kommer att medföra någon risk för otillbörligt intrång i den registrerades personliga integritet. (3 kap. 9 § BDL). Vad en anmälan ska innehålla finns reglerat i 3 kap. 12 § BDF.

I vissa fall ska även den registrerade underrättas om en incident. Det gäller när den har medfört eller kan antas medföra särskild risk för otillbörligt intrång i den registrerades personliga integritet (3 kap. 13 § BDF). Denna skyldighet gäller inte om Skatteverket som personuppgiftsansvarig har vidtagit vissa skyddsåtgärder eller om det skulle medföra oproportionerligt stora ansträngningar för verket (3 kap. 10 § BDL). Skatteverket behöver inte heller underrätta den registrerade om det gäller sekretess eller tystnadsplikt för uppgifterna (3 kap. 11 § BDL).

Skatteverket ska även dokumentera alla incidenter (3 kap. 14 § BDF) .I de fall personuppgifter har lämnats till en behörig myndighet i annan medlemsstat, ska Skatteverket också meddela dessa behöriga myndigheter för att de ska kunna vidta åtgärder för att minimera riskerna för negativa konsekvenser (3 kap. 5 § BDF).

Denna skyldighet gäller även eventuella personuppgiftsbiträden (3 kap. 19 § BDL).

Förteckning över de behandlingar som Skatteverket är ansvarig för

Skatteverket ska förteckna de kategorier av behandlingar som verket är ansvarig för samt särskild information om varje sådan behandling (3 kap. 3 § BDF). Med kategori av behandling avses t.ex. behandling av personuppgifter i ett specifikt register eller inom ramen för ett särskilt projekt eller behandling av uppgifter för ett visst ändamål.

Samarbete med Datainspektionen

Som personuppgiftsansvarig är Skatteverket skyldigt att samarbeta med Datainspektionen när Datainspektionen utövar allmän tillsyn över personuppgiftsbehandling, handlägger klagomål från registrerade, på begäran kontrollerar om personuppgifter behandlas enligt dataskyddsregleringen m.m. r (3 kap. 12 § BDL ).

Denna skyldighet gäller även eventuella personuppgiftsbiträden (3 kap. 19 § BDL).

Läs mer om Datainspektionens roll som tillsynsmyndighet.

Dataskyddsombud ska utses

Skatteverket ska utse ett eller flera dataskyddsombud som bl.a. ska kontrollera att verket behandlar personuppgifter på ett författningsenligt sätt i brottsbekämpande syfte. Skatteverket ska också anmäla till Datainspektionen när ett dataskyddsombud utses och entledigas (3 kap. 13 § BdL och 3 kap 16 § BDF).

Ett dataskyddsombud som utses enligt brottsdatalagen är i formell mening inte ett dataskyddsombud för behandling som faller inom ramen för EU:s dataskyddsförordning och den kompletterande dataskyddslagens tillämpningsområde. Särskilt förordnande krävs därför för att utses till dataskyddsombud enligt brottsdatalagen.

Ett dataskyddsombud ska enligt 3 kap. 14 § BDL

  • självständigt kontrollera att Skatteverket behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter
  • informera och ge råd till Skatteverket och övriga som behandlar uppgifter under verkets ledning om deras skyldigheter vid behandling
  • på begäran av Skatteverket ge råd vid en konsekvensbedömning och kontrollera att den sker på rätt sätt
  • vara kontaktperson för enskilda i frågor som rör frågor om behandling
  • samarbeta med Datainspektionen och vara kontaktperson vid förhandssamråd och andra frågor som rör behandling.

Ett dataskyddsombud som utses av Skatteverket ska tillämpa bestämmelserna i OSL. Ett dataskyddsombud anses från sekretessynpunkt delta i verksamheten och inte uppträda självständigt i förhållande till den brottsbekämpande verksamheten (prop. 2017/18:232 s. 414 och prop. 2017/18:105 s. 132).

I Skatteverkets arbetsordning finns fler föreskrifter om dataskyddsombudets roll, uppdrag och befogenheter.

Personuppgiftsbiträden får anlitas

Skatteverket får, om det är lämpligt, anlita någon annan att behandla personuppgifter för verkets räkning – ett s.k. personuppgiftsbiträde. Biträdets behandling ska regleras i ett skriftligt avtal eller överenskommelse (3 kap. 16 § BDL).

Om det är lämpligt att anlita ett biträde får bl.a. avgöras med utgångpunkt i vilka personuppgifter som ska behandla om sekretess gäller för uppgifterna. Förvaltningsuppgifter kan t.ex. överlämnas åt andra juridiska personer (12 kap. 4 § RF). Om uppgiften innefattar myndighetsutövning, får en sådan överföring bara göras med stöd av lag.

För att Skatteverket ska få anlita ett biträde ska verket först försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska utföras i enlighet med dataskyddsregleringen och för att skydda registrerades rättigheter (3 kap. 16 § BDL).

Personuppgiftsbiträden omfattas, enligt (3 kap. 19 § BDL), av samma regler som personuppgiftsansvariga när det gäller

Ett personuppgiftsbiträde får inte anlita ett annat biträde (t.ex. en underleverantör som också kommer att behandla Skatteverkets personuppgifter) utan skriftligt tillstånd från Skatteverket (3 kap. 17 § BDL).

Ett biträde och de som arbetar under dess ledning ska behandla personuppgifter i enlighet med de instruktioner som Skatteverket har givit. Om ett personuppgiftsbiträde bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig för den behandlingen (3 kap. 18 § BDL).

I 3 kap. 17–21 §§ BDF finns ytterligare bestämmelser om

  • ett personuppgiftsbiträdesavtals innehåll
  • förutsättningar för att anlita underbiträden
  • biträdens skyldighet att föra en förteckning
  • biträdens skyldigheter vid personuppgiftsincidenter
  • loggning och säkerhetsåtgärder.

Referenser på sidan

Lagar & förordningar

Propositioner

  • Proposition 2017/18:105 Ny dataskyddslag [1]
  • Proposition 2017/18:232 Brottsdatalag [1] [2] [3] [4] [5]