OBS: Detta är utgåva 2022.11. Visa senaste utgåvan.

Skatteverket måste alltid ha minst en rättslig grund för varje behandling av personuppgifter. Om det inte finns någon rättslig grund är behandlingen inte laglig och därmed inte tillåten.

Rättsliga grunder i EU:s dataskyddsförordning

Enligt artikel 6 i EU:s dataskyddsförordning är en behandling av personuppgifter laglig endast om minst ett av följande villkor är uppfyllt:

  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den person­uppgifts­ansvarigas myndighetsutövning.
  • Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den person­uppgifts­ansvariga.
  • Behandling är nödvändig för att fullgöra ett avtal i vilket den registrerade är part.
  • Den registrerade har samtyckt till behandlingen.
  • Behandlingen är nödvändig för ändamål som gäller den person­uppgifts­ansvarigas eller tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande fri- och rättigheter väger tyngre.
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

För att vara laglig ska behandlingen också uppfylla kraven beträffande de grundläggande principerna i artikel 5 i EU:s dataskyddsförordning. Artiklarna 5 och 6 i EU:s dataskyddsförordning är alltså grundläggande och ska läsas tillsammans. Artikel 6 kan beskrivas som att den reglerar ”om” personuppgifterna får behandlas, medan artikel 5 reglerar förutsättningarna för ”hur” de får behandlas.

Allmänt intresse och myndighetsutövning

Skatteverket får behandla personuppgifter om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (artikel 6.1 e i EU:s dataskyddsförordning och 2 kap. 2 § 1 kompletterande dataskyddslag).

Skatteverket får också behandla personuppgifter om behandlingen är nödvändig som ett led i Skatteverkets myndighetsutövning enligt lag eller annan författning (artikel 6.1 e i EU:s dataskyddsförordning och 2 kap. 2 § 2 kompletterande dataskyddslag).

För att behandling av personuppgifter ska vara laglig enligt artikel 6.1 e i EU:s dataskyddsförordning måste den uppgift som Skatteverket utför dels vara av allmänt intresse (eller utgöra ett led i myndighetsutövning), dels vara fastställd i enlighet med unionsrätten eller den nationella rätten. Den berörda verksamheten på Skatteverket måste alltså ha ett stöd i någon av de källor som tillsammans bildar rättsordningen (lag eller annan författning, kollektivavtal eller beslut som har meddelats med stöd av lag eller annan författning). Behandlingen måste också vara nödvändig för ett ändamål som är nödvändigt för att utföra uppgiften.

Ett exempel är när Skatteverket behandlar personuppgifter i beskattningsverksamheten. Den rättsliga grunden för behandlingen finns då i t.ex. skatteförfarandelagen eller inkomstskattelagen. Ett annat exempel är när Skatteverket behandlar personuppgifter i folkbokföringsverksamheten. Den rättsliga grunden finns då i folkbokföringslagen och andra författningar inom folkbokföringsområdet.

Ett ytterligare exempel är när Skatteverket inom den personaladministrativa verksamheten behandlar anställdas personuppgifter för t.ex. internt säkerhetsarbete. Den rättsliga grunden finns då i arbetsmiljöverkets föreskrifter.

Rättslig förpliktelse

Skatteverket får behandla personuppgifter om behandlingen är nödvändig för att myndigheten ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning (artikel 6.1 c i EU:s dataskyddsförordning och 2 kap. 1 § kompletterande dataskyddslag).

Ett exempel på när Skatteverket fullgör en rättslig förpliktelse är när verket lämnar ut uppgift ur en allmän handling i enlighet med 6 kap. 4 § OSL. Bestämmelsen i OSL om utlämnande av uppgift i allmän handling är en sådan rättslig förpliktelse som ligger på Skatteverket och som gör att Skatteverket får behandla de personuppgifter som är nödvändiga för att verket ska kunna lämna ut uppgift ur en allmän handling.

Avtal med den registrerade

Skatteverket får behandla personuppgifter om behandlingen är nödvändig för att myndigheten ska kunna fullgöra ett avtal med den registrerade. Skatteverket får också behandla personuppgifter innan ett avtal har ingåtts, om behandlingen är nödvändig för att vidta åtgärder på den registrerades begäran (artikel 6.1 b i EU:s dataskyddsförordning).

Ett exempel är när Skatteverket behandlar uppgifter om kontaktpersoner i ett leverantörsavtal mellan myndigheten och leverantören.

Samtycke

Med samtycke menas att den registrerade personen godkänner personuppgiftsbehandlingen. Samtycket ska ges efter att personen har fått information om behandlingen. Samtycket ska vara frivilligt och ges genom en specifik och otvetydig viljeyttring.

Samtycke regleras närmare i artikel 4 punkt 11 och i artikel 7-8 i EU:s dataskyddsförordning.

Begränsning för myndigheter

Ett samtycke kan inte användas som rättslig grund för behandling av personuppgifter i fall där det råder betydande ojämlikhet mellan den registrerade och personuppgiftsansvariga. Ett sådant förhållande är särskilt vanligt mellan offentliga myndigheter och enskilda registrerade. Det är då inte givet att ett samtycke kan betraktas som frivilligt. Skatteverket har därför begränsade möjligheter att använda sig av samtycke som rättslig grund för den personuppgiftsbehandling som utförs inom myndigheten. Samtycke antas inte heller vara frivilligt om det inte medger att separata samtycken lämnas för olika behandlingar av personuppgifter (skäl 43 i EU:s dataskyddsförordning).

När Skatteverket behandlar enskildas personuppgifter i beskattningsverksamheten, folkbokföringsverksamheten m.m. blir det aldrig fråga om samtycke som rättslig grund. Rättslig grund för behandlingen i dessa verksamheter är i stället allmänt intresse, myndighetsutövning eller rättslig förpliktelse.

Hur kan en person lämna samtycke?

Om behandlingen grundar sig på samtycke ska den personuppgiftsansvariga kunna visa att den som personuppgifterna avser har samtyckt till behandlingen.

Det finns inget formkrav för hur samtycke ska lämnas. Samtycke kan lämnas både muntligt och skriftligt.

Skatteverket är ansvarigt för den personuppgiftsbehandling som utförs inom myndigheten. Skatteverket måste därför kunna visa att ett samtycke finns, om samtycke är en förutsättning för att Skatteverket ska kunna utföra viss personuppgiftsbehandling. Verket bör därför dokumentera enskilda personers samtycke. Av dokumentationen bör framgå t.ex.:

  • vilka personuppgifter Skatteverket kommer att behandla
  • för vilka ändamål uppgifterna kommer att behandlas
  • hur länge Skatteverket kommer att bevara uppgifterna
  • hur en person kan återkalla sitt samtycke.

Återkallelse av samtycke

Den registrerade har rätt att när som helst återkalla sitt samtycke. Det ska vara lika lätt att återkalla som att ge sitt samtycke. Om en registrerad återkallar sitt samtycke får Skatteverket inte fortsätta behandlingen av personuppgifterna om den inte kan stödjas på någon annan grund än samtycke. Återkallelsen innebär inte att den tidigare behandlingen av personuppgifter som har grundat sig på samtycke ska anses olaglig. Det är endast framtida behandling som blir olaglig (artikel 7.3 i EU:s dataskyddsförordning).

Intresseavvägning

Det kan vara tillåtet att behandla personuppgifter efter en intresseavvägning. Det krävs då att behandlingen är nödvändig för berättigade intressen som väger tyngre än den registrerades intresse av skydd för sina personuppgifter (artikel 6.1 f i EU:s dataskyddsförordning).

Myndigheter kan inte stödja sin behandling av personuppgifter på intresseavvägning när de behandlar uppgifter vid fullgörande av sina uppgifter. Skatteverket kan alltså inte behandla personuppgifter när verket utför sina uppgifter enligt skattelagstiftningen med stöd av en intresseavvägning.

Skydda grundläggande intressen

Behandling av personuppgifter är tillåten om behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (artikel 6.1 d i EU:s dataskyddsförordning). Det är fråga om sådana intressen som är avgörande för den registrerades eller för någon annan persons liv.

Rättsliga grunder i brottsdatalagen

Även personuppgiftsbehandling som sker inom brottsdatalagens tillämpningsområde är laglig endast om den har en rättslig grund. Kravet på den rättsliga grunden kommer till uttryck då det anges att personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet (2 kap. 1 § BDL).

Behörig myndighets uppgift

Med en behörig myndighets uppgift menas en uppgift som framgår av en lag, förordning eller ett särskilt beslut där regeringen har gett myndigheten i uppdrag eller en annan aktör som har anförtrotts myndighetsutövning för något av dessa syften att

  • förebygga, förhindra eller upptäcka brottslig verksamhet
  • utreda eller lagföra brott
  • verkställa straffrättsliga påföljder
  • upprätthålla allmän ordning och säkerhet.

Det framgår inte direkt av brottsdatalagen i vilka fall Skatteverket är behörig myndighet – det avgörande är om Skatteverket genom någon lag har fått till uppgift att behandla personuppgifter i brottsbekämpande syfte. Skatteverket får i egenskap av behörig myndighet behandla personuppgifter i syfte att

  • förebygga, förhindra eller upptäcka brottslig verksamhet, eller
  • utreda brott.

Personuppgiftsbehandlingen måste alltså alltid gå att spåra till Skatteverkets arbetsuppgifter så som de kommer till uttryck i

  • unionsrätten eller svensk lagstiftning
  • andra bindande beslut från regeringen om verksamhetens uppgifter.

Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten enligt lagen. En myndighets uppdrag och arbetsuppgifter kan t.ex. framgå av instruktionen för myndigheten. För Skatteverket framgår det bl.a. av förordningen (2017:154) med instruktion för Skatteverket och skattebrottslagen (1971:69). Dessa utgör den rättsliga grunden för Skatteverket.

Nödvändighetsrekvisitet

Personuppgiftsbehandlingen måste också vara nödvändig för att behörig myndighet ska kunna utföra en uppgift på grundval av unionsrätt eller nationell rätt dvs. inom ramen för sitt uppdrag. Nödvändighetsrekvisitet innebär att personuppgiftsbehandlingen ska vara nödvändig för att uppgiften ska gå att fullgöra på ett effektivt sätt. I nödvändighetsrekvisitet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna.

Referenser på sidan

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]

Lagar & förordningar

  • Brottsdatalag (2018:1177) [1]
  • Folkbokföringslag (1991:481) [1]
  • Förordning (2017:154) med instruktion för Skatteverket [1]
  • Inkomstskattelag (1999:1229) [1]
  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2] [3]
  • Offentlighets- och sekretesslag (2009:400) [1]
  • Skattebrottslag (1971:69) [1]
  • Skatteförfarandelag (2011:1244) [1]