All personuppgiftsbehandling som Skatteverket är personuppgiftsansvarigt för måste alltid uppfylla de grundläggande principerna i EU:s dataskyddsförordning eller brottsdatalagen.
När behandlingen av personuppgifter grundar sig på EU:s dataskyddsförordning, får Skatteverket bara behandla personuppgifterna om behandlingen uppfyller principerna i artikel 5 EU:s dataskyddsförordning. Dessa principer är
Att personuppgiftsbehandlingen ska vara laglig innebär att Skatteverket alltid måste ha minst en rättslig grund för varje behandling av personuppgifter. Laglighetskravet innebär också att Skatteverket måste följa övriga principer och bestämmelser i EU:s dataskyddsförordning och i annan kompletterande lagstiftning (legalitetsprincipen).
Att personuppgiftsbehandlingen ska vara korrekt innebär att den ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade. Personuppgiftsbehandlingen ska stå i rimlig proportion till den nytta som personuppgiftsbehandlingen innebär (proportionalitetsprincipen). Skatteverket ska också ta hänsyn till vilken personuppgiftsbehandling de registrerade rimligen kan förvänta sig. Personuppgiftsbehandlingen ska vara förståelig och begriplig för de registrerade och inte göras på dolda eller manipulerande sätt.
Att behandlingen av personuppgifter ska vara öppen innebär att det ska vara klart och tydligt för de registrerade hur uppgifter samlas in och i övrigt behandlas. Skatteverket har en skyldighet att informera de registrerade om vad de har för rättigheter, t.ex. hur de kan begära registerutdrag, hur de kan få fel rättade och hur de kan få personuppgifter raderade (öppenhetsprincipen).
Redan innan Skatteverket börjar samla in personuppgifter, måste verket bestämma ändamålet eller ändamålen för behandlingen. De fastställda ändamålen påverkar bl.a. vilka personuppgifter Skatteverket får behandla och hur länge de får behandlas. Ändamålen ska även dokumenteras, bl.a. med hänsyn till den skyldighet att lämna information om personuppgiftsbehandlingar som Skatteverket har. Personuppgifter får aldrig behandlas på ett sätt som är oförenligt med det eller de ändamål som fastställdes innan uppgifterna först samlades in.
Samtliga ändamål ska vara konkreta och kunna anges på en detaljerad nivå. Det får inte vara för allmänt hållet. Det går alltså inte att endast hänvisa till någon av punkterna i en ändamålsbestämmelse i en registerförfattning. Dessa punkter utgör endast de yttersta ramarna för Skatteverkets behandling. Exempel på ett tydligt ändamål är behandling av anställdas personuppgifter i personaladministrativ verksamhet för att betala ut löner. Det går alltså att ha mer än ett ändamål för en personuppgiftsbehandling, om förutsättningarna för alla ändamål är uppfyllda.
Om ett ändamål är förenligt eller inte ska avgöras genom en bedömning i det enskilda fallet. Behandlingen för de ursprungliga ändamålen, måste kunna hänföras under någon av de lagliga grunderna i artikel 6 dataskyddsförordningen. Skatteverket bör då också utgå från vilken behandling av uppgifter som en registrerad person rimligen kan förvänta sig mot bakgrund av det ursprungliga ändamålet. Den ändamålsbegränsningen begränsar bl.a. möjligheten för Skatteverket att samköra personuppgifter som verket behandlar för olika ändamål.
Om någon av Skatteverkets verksamhetsgrenar vill lämna ut personuppgifter till någon annan verksamhetsgren eller till någon annan organisation måste även själva utlämnandet vara förenligt med det ursprungliga ändamålet. Om det i lag eller förordning är reglerat att Skatteverket ska eller får lämna ut uppgifter behöver inte Skatteverket pröva om utlämnandet är förenligt med det ursprungliga ändamålet. I sådana fall är det tillräckligt att pröva ett utlämnande enligt dessa bestämmelser i sig (HFD 2021 ref.10). Det måste också finnas en rättslig grund för själva utlämnandet, t.ex. en bestämmelse om uppgiftsskyldighet eller en bestämmelse som anger att utlämnande får ske. För det fall utlämnandet innefattar sekretessbelagda uppgifter måste det också finnas stöd för att bryta sekretessen i en sekretessbrytande bestämmelse. Bestämmelserna om ändamål för behandling begränsar inte Skatteverkets skyldighet att lämna ut personuppgifter enligt 2 kap. TF (1 kap. 7 § kompletterande dataskyddslag).
Om det finns lämpliga skyddsåtgärder för de registrerades rättigheter får Skatteverket behandla de insamlade personuppgifterna för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen.
De personuppgifter som Skatteverket behandlar ska vara av betydelse för ändamålet, det vill säga adekvata och relevanta. För varje personuppgift – eller kategori av personuppgifter – som Skatteverket vill behandla måste verket ta ställning till om uppgiften verkligen är nödvändig för ändamålen med behandlingen. Skatteverket får alltså inte behandla personuppgifter enbart för att uppgifterna eventuellt kan komma till användning i framtiden. Uppgifterna ska även vara riktiga och, om det är nödvändigt för ändamålen för behandlingen, också aktuella.
Skatteverket ska vidta alla åtgärder som är rimliga för att rätta eller radera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen för behandlingen. En sådan rättelse ska Skatteverket göra på eget initiativ.
Skatteverket får inte bevara personuppgifter under längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen.
Skatteverket måste ha tillräcklig säkerhet för att skydda personuppgifterna mot bland annat obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Skatteverket ansvarar för att de it-system som används inte medför integritetsrisker. Eftersom integritets- och dataskyddsfrågor påverkar ett it-systems hela livscykel är det viktigt att man tar hänsyn till dem från förstudie och kravställning till användning och avveckling, s.k. inbyggt dataskydd.
De grundläggande principerna måste vara uppfyllda även när Skatteverket behandlar personuppgifter med stöd av brottsdatalagen. Principerna finns inte uttryckta i brottsdatalagen i någon motsvarande generell bestämmelse som i EU:s dataskyddsförordning. De grundläggande kraven på behandling av personuppgifter regleras i stället i sitt sammanhang i särskilda bestämmelser i brottsdatalagen (prop. 2017/18:232 sid. 141).
De grundläggande principerna korresponderar nästan helt med de grundläggande principerna i EU:s dataskyddsförordning. Eftersom insynsrätten för den enskilda inte är lika stark i den brottsbekämpande verksamheten har detta kompenserats för att säkerställa skyddet av den enskildas integritet. De grundläggande principerna är att
Även om en viss behandling är rättsligt grundad innebär det inte att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt. Skatteverket måste också iaktta övriga krav som gäller för behandling av personuppgifter – att ändamålen ska vara särskilda och berättigade.
Att det tydligt ska framgå för vilka ändamål personuppgifter behandlas är särskilt viktig i den del av den brottsbekämpande verksamheten där det långtifrån alltid framgår av omständigheterna för vilket ändamål uppgifter behandlas. Som exempel anges underrättelseverksamheten.
Vid behandling för nya ändamål måste Skatteverket alltid avgöra om ändamålen med behandlingen av personuppgifter omfattas av brottsdatalagens tillämpningsområde, på samma sätt som första gången en uppgift behandlas.
Det måste därför finnas en rättslig grund för den nya behandlingen. Därefter måste Skatteverket pröva om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet innan behandlingen påbörjas. Kravet på proportionalitet innebär att skälen för att personuppgifterna behandlas för det nya ändamålet ska väga tyngre än det intrång som behandlingen innebär för den enskilda.
När personuppgifter behandlas för andra ändamål än de som anges i brottsdatalagen eller av någon som inte är en behörig myndighet ska dataskyddsförordningen tillämpas.
Personuppgifterna ska behandlas författningsenligt och korrekt (2 kap. 6 § BDL).
De grundläggande kraven på lagenlighet, saklighet och opartiskhet i offentlig verksamhet finns i regeringsformen. I brottsdatalagen har man dock använt uttrycket ”författningsenligt” för att markera att behandlingen ska stå i överensstämmelse inte bara med lag utan även med föreskrifter på lägre nivåer.
Kravet på att behandlingen ska vara korrekt innebär i det här sammanhanget att behandlingen inte bara formellt ska vara i enlighet med regleringen utan också spegla intentionerna med lagstiftningen.
De personuppgifter som behandlas ska vara korrekta (2 kap. 7 § BDL). En uppgift är korrekt om den stämmer överens med de verkliga förhållandena. För att bestämma vilka de verkliga förhållandena är som personuppgifterna ska spegla får Skatteverket utgå från ändamålen med behandlingen. I vissa fall är avsikten med behandlingen bara att registrera uppgifter som kommit in, t.ex. i en brottsanmälan. De behandlade personuppgifterna får då betraktas som korrekta om de stämmer överens med de inkomna uppgifterna, oavsett hur de förhåller sig till de verkliga förhållandena (jfr Öman och Lindblom 2011, Personuppgiftslagen – en kommentar s. 206).
Bedömningen av om en personuppgift är korrekt ska emellertid inte bara utgå från ändamålen för behandlingen. Eftersom uppgifter som förekommer i bl.a. brottsbekämpande verksamhet och vid annan behandling av uppgifter om lagöverträdelser har en särskild karaktär måste Skatteverket även ta hänsyn till vad uppgiften rör, när den lämnas och vem som lämnar den för att avgöra om en uppgift är korrekt.
Som exempel anges i förarbetena om en person anmäler en annan person för brott är uppgifterna i anmälan korrekta om de återspeglar vad anmälaren har uppgett. Det förhållandet att det senare hålls ett förhör där vissa uppgifter tas tillbaka eller ändras innebär inte att de först nedtecknade uppgifterna i anmälan är felaktiga. Och om personen sedan vid en rättegång lämnar nya uppgifter eller ändrar tidigare påståenden, så återspeglar ändå uppgifterna från förhöret vad som sades vid det tillfället och är därigenom korrekta.
För att kunna avgöra om uppgifterna är korrekta är det också av stor betydelse att veta om de grundar sig på fakta eller på personliga bedömningar. De behandlade uppgifterna behöver bara vara uppdaterade om det är nödvändigt. Frågan om det är nödvändigt att uppgifterna är uppdaterade får avgöras med hänsyn till ändamålen med behandlingen (jfr Öman och Lindblom 2011, Personuppgiftslagen – en kommentar s. 206). Exempelvis kan adressuppgifter ändras under handläggningen av ett ärende och därmed behöva uppdateras. Men när ärendet har avslutats är det inte nödvändigt att uppdatera en adressuppgift.
Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt och med respekt för människovärdet. Bestämmelsen har placerats tillsammans med reglerna om personuppgifters kvalitet för att tydliggöra att uppgifter om utseende inte i sig ska ses som känsliga personuppgifter. Ett signalement kan dock innehålla uppgifter där man kan utläsa uppgifter om t.ex. hälsa eller etniskt ursprung. Sådana uppgifter ska hanteras enligt reglerna om känsliga personuppgifter.
Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen (2 kap. 8 § BDL). Det betyder att Skatteverket inte får behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, och inte heller behandla ovidkommande uppgifter.
Vilka uppgifter som är adekvata och relevanta ska bedömas i förhållande till ändamålen med behandlingen. Detsamma gäller hur många personuppgifter det finns behov av att behandla. Det får betydelse för hur s.k. överskottsinformation ska hanteras, alltså uppgifter som samlas in och som visar sig inte vara adekvata eller relevanta för det bestämda ändamålet.
Prövningen av om en personuppgift är nödvändig för en viss behandling måste göras kontinuerligt av Skatteverket och inte bara när uppgiften registreras eller på annat sätt samlas in i verksamheten. Det innebär exempelvis att även om uppgiften om en persons namn måste behandlas vid handläggningen av ett ärende där personen är part eller annars direkt berörd, är det inte säkert att namnuppgiften behöver behandlas i ett senare skede, t.ex. vid verksamhetsuppföljning. Det ska alltså vid all behandling prövas om det går att avstå från att använda uppgifter som direkt går att hänföra till en viss person. Möjligheten till avidentifiering ska därför användas i så stor utsträckning som möjligt.
Olika kategorier av personuppgifter ska så långt möjligt skiljas åt, och personuppgifter som grundar sig på fakta ska så långt möjligt särskiljas från personuppgifter som grundar sig på personliga bedömningar (2 kap. 9-10 §§ BDL).
Syftet med bestämmelserna är att säkerställa att den som söker eller får del av information också får veta varför uppgifter om en viss person behandlas av Skatteverket. Inom brottsdatalagens tillämpningsområde är det särskilt viktigt att det framgår om en uppgift rör en icke misstänkt person och hur tillförlitlig en underrättelseuppgift bedöms vara. Ofta framgår det redan av sammanhanget där personuppgifterna behandlas, men om en uppgift tas ur sitt sammanhang för att behandlas för ett nytt ändamål blir informationen viktig. Ju längre ett brottmålsförfarande fortskrider, desto tydligare blir det vilken roll olika personer har och varför deras personuppgifter behandlas. Det är framför allt i det inledande skedet av en förundersökning och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om personen behandlas av Skatteverket.
Kravet på att ange särskilda upplysningar för kategorier av personuppgifter och om de grundar sig på fakta eller personliga bedömningar väcker frågan om Skatteverket blir skyldigt att förse alla äldre personuppgifter som saknar sådana upplysningar med det. Regeringen har emellertid ansett att det inte kan krävas av myndigheterna att de går igenom alla äldre personuppgifter för att kontrollera om det finns särskilda upplysningar.
Känsliga personuppgifter ska användas restriktivt och en bedömning av om kravet är uppfyllt ska göras i det enskilda fallet. Den närmare innebörden av uttrycket kan dock variera mellan olika myndigheter, eftersom deras verksamheter och behov av att behandla känsliga personuppgifter skiljer sig åt. Om Skatteverket får behandla känsliga personuppgifter och i så fall vilka uppgifter framgår av Skatteverkets brottsdatalag som gäller för Skatteverkets brottsbekämpande verksamhet.
Även genetiska och biometriska uppgifter räknas som känsliga personuppgifter i brottsdatalagen. Skatteverket har dock inte behov av och får inte behandla genetiska och biometriska uppgifter (prop. 2017/18:269 s. 200).
Huvudregeln är att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (2 kap. 17 § BDL).
I brottsdatalagen använder man begreppet längsta tid för behandling i stället för begreppen bevarande och gallring för att skilja det från vad som gäller på arkivlagstiftningens område. Brottsdatalagen utgår alltså från hur länge personuppgifter får behandlas för ändamål inom lagens tillämpningsområde.
Huvudregeln i brottsdatalagen är att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I 4 kap. BDL finns det särskilda bestämmelser om längsta tid som personuppgifter får behandlas för Skatteverket, ”gallring” enligt registerlagstiftningen görs för att skydda den enskildas integritet. De personuppgifter som Skatteverket behandlar ingår i mycket stor utsträckning i upptagningar som är eller kommer att bli allmänna handlingar. Principen om bestämmelser om längsta tid för behandling hindrar inte att Skatteverket arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter används därför begreppen bevarande och gallring bara i den betydelse de har i arkivlagstiftningen.