När Skatteverket behandlar personuppgifter i folkbokföringsverksamheten måste verket följa principerna i EU:s dataskyddsförordning om bland annat laglighet, ändamålsbegränsning och säkerhet. De vanligaste rättsliga grunderna i folkbokföringsverksamheten är allmänt intresse och myndighetsutövning samt rättslig förpliktelse.
Dessutom finns det bestämmelser om sekretess för uppgifter i folkbokföringsverksamheten.
När Skatteverket behandlar personuppgifter inom folkbokföringsverksamheten ska artikel 5 i EU:s dataskyddsförordning om principer för behandling av personuppgifter tillämpas. Dessa principer är
Skatteverket måste alltid ha minst en rättslig grund för varje behandling av personuppgifter i folkbokföringsverksamheten, annars är behandlingen inte laglig och därmed inte tillåten (artikel 6 i EU:s dataskyddsförordning). I folkbokföringsverksamheten är de rättsliga grunderna vanligtvis allmänt intresse och myndighetsutövning och rättslig förpliktelse. Dessa rättsliga grunder ska fastställas i enlighet med antingen unionsrätten eller svensk rätt. Det innebär att rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning måste vara rättsligt förankrade i unionsrätten eller svensk rätt. Kraven kan jämföras med regleringen i 5 § FL om att myndigheter endast får vidta åtgärder som har stöd i rättsordningen.
I folkbokföringsverksamheten är folkbokföringslagen, föräldrabalken, äktenskapsbalken och lagen om personnamn exempel på rättsliga grunder. Genom bestämmelser i de lagarna ges Skatteverket en skyldighet att vidta åtgärder som innefattar behandling av personuppgifter. Regleringen bildar då behandlingens rättsliga grund. En registerlag, t.ex. FdbL, utgör normalt inte i sig själv en rättslig grund för behandling av personuppgifter i folkbokföringsverksamhetens kärnverksamhet.
Skatteverket får bara behandla uppgifter i folkbokföringsverksamheten för särskilda, i förväg uttryckligt bestämda och berättigade ändamål. FdbL räknar upp för vilka ändamål Skatteverket får behandla uppgifter i folkbokföringsverksamheten (1 kap. 4 § FdbL). De angivna ändamålen gäller för behandling av uppgifter både i och utanför folkbokföringsdatabasen. Bestämmelserna om ändamål gäller även vid behandling av uppgifter om avlidna (1 kap. 1 § andra stycket FdbL).
Skatteverket får behandla personuppgifter för att tillhandahålla information som behövs för följande ändamål (1 kap. 4 § första stycket FdbL):
Uppgifter som Skatteverket behandlar för något av de primära ändamålen får även behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning (1 kap. 4 § andra stycket första meningen FdbL).
Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna från början samlades in (1 kap. 4 § andra stycket sista meningen FdbL). Detta brukar kallas finalitetsprincipen och innebär att uppgifter som har samlats in för ett ändamål senare får användas för ett annat ändamål så länge det är förenligt med det ursprungliga ändamålet. Vad som är ett förenligt ändamål får bedömas från fall till fall.
I EU:s dataskyddsförordning benämns finalitetsprincipen som ändamålsbegränsning.
Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 EU:s dataskyddsförordning ska inte anses vara oförenlig med insamlingsändamålen (prop. 2017/18:95 s. 54 f.).
När Skatteverket behandlar uppgifter i folkbokföringsverksamheten måste myndigheten säkerställa att det finns en lämplig nivå på säkerheten, både tekniskt och organisatoriskt.