OBS: Detta är utgåva 2022.7. Visa senaste utgåvan.

En del av personuppgiftskyddet är enskildas rätt att få veta hur Skatteverket behandlar deras personuppgifter, rätten att begära rättelse, radering, begränsning av behandling, dataportabilitet och invändning mot behandling. De har även rätt att klaga och överklaga. Detta är en förutsättning för att enskilda ska kunna kontrollera behandlingen och tillvarata sina intressen. Information som lämnas ska i princip alltid vara lättillgänglig och lättbegriplig samt lämnas i lämplig form.

Innehållsförteckning

Rätten till information

Normalt får Skatteverket inte behandla personuppgifter elektroniskt utan att den registrerade, d.v.s. den som uppgifterna rör, känner till varför behandlingen sker och vem som är personuppgiftsansvarig för behandlingen. Både EU:s dataskyddsförordning och brottsdatalagen reglerar i vilka situationer som information om den behandling myndigheten utför ska lämnas till den registrerade. Men det finns ett flertal undantag när informationen inte behöver lämnas.

Skatteverkets skyldighet att ge allmän information

Skatteverket ska göra allmän information tillgänglig om vilken personuppgiftsbehandling som sker på myndigheten, den kan till exempel finnas på verkets hemsida (artikel 13 i EU:s dataskyddsförordning och 4 kap. 1 § BDL). Denna information riktar sig till allmänheten eller en större krets personer och avser allmän information om:

  • den personuppgiftsansvarigas identitet och kontaktuppgifter
  • dataskyddsombudets kontaktuppgifter
  • kategorier av ändamål för behandlingen
  • rätten att få information om behandling av hens uppgifter
  • rätten att få uppgifter rättade, raderade eller behandlingen begränsad
  • rätten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifter till myndigheten.

Uppgifter som Skatteverket samlar in från personen själv

Skatteverket ska i vissa fall på eget initiativ lämna information till den registrerade personen om behandling av dennas personuppgifter (artikel 13.1 i EU:s dataskyddsförordning). Om Skatteverket avser att fortlöpande samla in uppgifter om den registrerade personen räcker det att Skatteverket lämnar information till den registrerade inledningsvis. Information behöver inte lämnas varje gång nya uppgifter samlas in.

Personrelaterad information

För Skatteverkets brottsbekämpande verksamhet gäller en skyldighet att lämna personrelaterad information i ett enskilt fall till den enskilda om det behövs för att denna ska kunna ta tillvara sina rättigheter (4 kap. 2 § BDL). Det kan avse fall där den registrerade riskerar att lida rättsförlust eller att det av annat skäl är viktigt för den registrerade att känna till behandlingen. Normalt sett handlar det om behandlingar som föranleder skadeståndsanspråk, allvarlig kritik eller ingripande från tillsynsmyndigheten.

Uppgifter som Skatteverket samlar in från någon annan källa

Om Skatteverket behandlar personuppgifter genom att samla in från någon annan källa än den registrerade personen själv, finns det i EU:s dataskyddsförordning krav på att Skatteverket ska lämna information om behandlingen av uppgifterna till den registrerade personen när uppgifterna registreras (artikel 14 i EU:s dataskyddsförordning). Detta krav finns inte i brottsdatalagen.

Om Skatteverket ska använda personuppgifterna för kommunikation med den registrerade ska information om behandlingen lämnas senast vid tidpunkten för den första kommunikationen med den registrerade. Om det är meningen att Skatteverket ska lämna ut uppgifterna till tredje man kan Skatteverket vänta med att lämna information till dess uppgifterna lämnas ut för första gången (artikel 14.3 i EU:s dataskyddsförordning). Med tredje man menas någon annan än den registrerade personen, den personuppgiftsansvariga, personuppgiftsbiträdet eller sådana personer som behandlar personuppgifter för angivna personers räkning, t.ex. anställda inom Skatteverket.

Vilken information ska Skatteverket lämna till den registrerade?

När Skatteverket samlat in personuppgifter direkt från den registrerade ska information om behandlingen lämnas till den registrerade som berörs. Denna informationsskyldighet gäller oavsett att allmän information finns på Skatteverkets hemsida. Informationen ska innehålla:

  • Skatteverkets identitet, exempelvis myndighetens namn, adress, telefonnummer och organisationsnummer.
  • Kontaktuppgifter för dataskyddsombudet.
  • Ändamålet för behandlingen, d.v.s. varför Skatteverket behandlar uppgifterna och den rättsliga grunden för behandlingen.
  • Vilka mottagare Skatteverket kan komma att lämna ut uppgifterna till. Det är tillräckligt att ange kategorier av mottagare eller allmän information, t.ex. ”personuppgiftsbiträde” eller ”den som köper uppgifterna”. Med mottagare avses inte anställda inom Skatteverket.

Informationen ska även innehålla övriga uppgifter som den registrerade personen behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Det kan vara t.ex. följande information:

  • vilka typer av personuppgifter som Skatteverket behandlar, t.ex. namn, adress, personnummer och diarienummer
  • hur länge Skatteverket kommer att behandla uppgifterna
  • rätten att begära s.k. registerutdrag
  • möjligheten att begära rättelse, radering eller begränsningar i behandling av personuppgifter samt rätten att göra invändningar och till dataportabilitet
  • rätten att lämna klagomål till Integritetsmyndigheten
  • den registrerade personens skyldighet att lämna uppgifter, t.ex. att lämna inkomstdeklaration (32 kap. 1 § SFL)
  • förekomsten av automatiserat beslutsfattande som innefattar profilering
  • förekomsten av överföring av uppgifter till tredje land.

När Skatteverket har samlat in uppgifter från någon annan än den registrerade själv ska Skatteverket dessutom informera den registrerade om

  • de kategorier av personuppgifter som har samlats in
  • varifrån uppgifterna har samlats in.

Information på begäran av den registrerade (s.k. registerutdrag)

Om en person vill veta om Skatteverket behandlar personuppgifter om denna ska Skatteverket lämna besked om Skatteverket behandlar personuppgifter som rör den sökande eller inte (artikel 15 i EU:s dataskyddsförordning och 4 kap. 3 § BDL).

Informationen ska lämnas inom en månad från det begäran gjordes. Inom denna tid ska Skatteverket även ta ställning till om det finns något undantag från informationsskyldigheten, t.ex. om sekretess hindrar att vissa uppgifter lämnas ut.

Vilken information ska registerutdraget innehålla?

Om den enskilda begär att få veta vilka personuppgifter som Skatteverket behandlar som rör den enskilde själv ska Skatteverket lämna besked om följande:

  • Den rättsliga grunden för behandlingen.
  • Ändamålet med behandlingen, d.v.s. varför Skatteverket behandlar uppgifterna och hur uppgifterna ska användas.
  • Vilka uppgifter om den sökande som Skatteverket behandlar, t.ex. namn, adress, personnummer och diarienummer.
  • Var Skatteverket har hämtat uppgifterna.
  • Förekomsten av rätten att av Skatteverket begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.
  • Vilka mottagare Skatteverket har lämnat ut uppgifterna till eller kan komma att lämna ut uppgifterna till. Det är tillräckligt att ange kategorier av mottagare eller allmän information, t.ex. ”personuppgiftsbiträde” eller ”den som köper uppgifterna”. Med mottagare avses inte anställda inom Skatteverket.
  • Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras, eller om detta inte är möjligt, de kriterier som används för att fastställa denna period.
  • Rätten att klaga till Integritetsskyddsmyndigheten.
  • Förekomsten av automatiserat beslutsfattande, inbegripet profilering.

Personuppgifter som inte omfattas av informationsskyldigheten

Skatteverket behöver inte lämna information om följande (5 kap. 2 § första stycket kompletterande dataskyddslag och 4 kap. 6 § första stycket BDL):

  • personuppgifter som finns i löpande text som vid tiden för begäran inte fått sin slutgiltiga form, t.ex. uppgifter i ett utkast till beslut
  • personuppgifter som finns i minnesanteckningar eller liknande, t.ex. uppgifter i en föredragningspromemoria.

I följande fall ska dock Skatteverket ändå lämna ut ovanstående uppgifter (5 kap. 2 § andra stycket kompletterande dataskyddslag och 4 kap. 6 § andra stycket BDL):

  • om personuppgifterna lämnats ut till
    • tredje part (kompletterande dataskyddslag), eller
    • tredje man med undantag för myndighet som utövar tillsyn, kontroll eller revision (BDL)
  • om personuppgifterna enbart behandlas för
    • arkivändamål av allmänt intresse eller statistiska ändamål (kompletterande dataskyddslag), eller
    • vetenskapliga, statistiska eller historiska ändamål (BDL)
  • om personuppgifterna har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.

Skatteverket ska inte heller lämna ut information som är sekretessbelagd mot den registrerade själv i registerutdragen (5 kap. 1 § första stycket kompletterande dataskyddslag). Detta innebär att om en registrerad person begär ut ett registerutdrag och utdraget innehåller uppgifter som är sekretessbelagda ska dessa tas bort från utdraget. Det räcker alltså inte att mörka uppgifterna. I förhållande till den registrerade ska Skatteverket inte avslöja att uppgifterna finns över huvud taget. Hanteringen av en begäran om registerutdrag skiljer sig således från en begäran om att få ut allmänna handlingar och en begäran om partsinsyn.

Hur ska Skatteverket lämna information till den registrerade?

Informationen ska ges i skriftlig form. Om det är lämpligt får informationen lämnas elektroniskt. Om den registrerade begär det får informationen lämnas muntligen, förutsatt att den registrerades identitet är säkerställd. Informationen ska vara lättillgänglig, tydlig och lättbegriplig (artikel 12.1 i EU:s dataskyddsförordning och 4 kap. 1 § BDF).

Förkortningar och koder som Skatteverket använder ska förklaras.

Det är viktigt att Skatteverket sänder informationen till rätt mottagare. Informationen bör därför skickas till den registrerade personens folkbokföringsadress. Innehåller informationen känsliga uppgifter bör försändelsen skickas rekommenderat.

När Skatteverket behandlar personuppgifter som Skatteverket samlar in från personen själv kan Skatteverket lämna information om behandlingen på samma sätt som insamlandet sker:

  • Om Skatteverket samlar in personuppgifterna via telefonsamtal eller annan muntlig kontakt kan Skatteverket lämna informationen muntligen.
  • Om Skatteverket samlar in personuppgifterna skriftligen kan Skatteverket lämna informationen i den blankett eller liknande som den registrerade fyller i eller i en informationsbroschyr som hör till blanketten.
  • Om Skatteverket samlar in personuppgifterna genom att den registrerade personen använder en e-tjänst på Skatteverkets webbplats kan Skatteverket lämna information om personuppgiftsbehandlingen på webbplatsen, antingen på samma webbsida eller genom en länk till en annan webbsida.

När Skatteverket behandlar personuppgifter som Skatteverket samlar in från någon annan källa än personen själv bör Skatteverket lämna information till den registrerade personen om behandlingen skriftligen. Ett exempel på detta kan vara när en person anmäler både sig själv och någon annan till att delta vid en av Skatteverkets informationsträffar.

Undantag från informationsskyldigheten

I vissa situationer behöver Skatteverket inte lämna information till den registrerade personen. Det gäller till exempel när Skatteverket har samlat in från någon annan källa än den registrerade personen själv om det finns bestämmelser i lag eller annan författning om registrering av personuppgifterna eller om utlämnande av personuppgifterna. Skatteverket behöver till exempel inte lämna information till den registrerade om behandling av sådana personuppgifter som Skatteverket får från Bolagsverkets aktiebolagsregister och som Skatteverket behandlar i beskattningsdatabasen i enlighet med 2 § SdbF.

Information som den registrerade redan känner till

Skatteverket behöver inte lämna information på eget initiativ om sådant som den registrerade personen redan känner till (artikel 13.4 och 14.5 a i EU:s dataskyddsförordning och 4 kap. 3 § BDL). Har den registrerade personen redan fått information om behandlingen i enlighet med någon annan lagstiftning behöver Skatteverket inte lämna information.

Detta undantag gäller inte information som Skatteverket ska lämna till den registrerade personen efter begäran, s.k. registerutdrag.

Uppgifter som föreskrivs uttryckligen i lag

Informationskravet gäller inte för Skatteverket om det följer av unionsrätten eller nationell rätt att myndigheten är skyldig att samla in eller lämna ut personuppgifter (artikel 14.5 c i EU:s dataskyddsförordning).

Undantaget i artikel 14.5 c i EU:s dataskyddsförordning kan inte tillämpas om Skatteverket samlar in personuppgifter direkt från den registrerade.

Sekretessbelagd information

Skatteverket ska inte lämna information till den registrerade personen om det finns bestämmelser i lag eller annan författning om att uppgifterna inte får lämnas ut till den registrerade, t.ex. bestämmelser om sekretess i OSL. Skatteverket ska inte heller lämna information om det framgår av ett beslut som har meddelats med stöd av en författning att uppgifterna inte får lämnas ut till den registrerade personen. Bestämmelserna om information till den registrerade gäller alltså inte om det finns en bestämmelse som hindrar utlämnade av uppgifterna (artikel 14.5 d i EU:s dataskyddsförordning och 5 kap. 1 § kompletterande dataskyddslag).

Detta undantag från den registrerade personens rätt att få information om behandling av personuppgifter är i många fall nödvändigt för att myndigheter ska kunna utföra sina arbetsuppgifter på ett ändamålsenligt sätt. Det är till exempel viktigt att Skatteverket har möjlighet att behandla personuppgifter inför en förestående revision utan att den skattskyldiga får reda på det.

Motsvarande bestämmelser om undantag från informationsskyldigheten finns reglerad för Skatteverkets brottsbekämpande verksamhet (4 kap. 2-3 §§ BDL och 4 kap. 5 § BDL).

Skyldigheten att lämna personrelaterad information gäller inte om uppgifterna inte får lämnas ut med hänsyn till vissa intressen. Det ska i så fall vara särskilt föreskrivit i en lag eller annan författning eller framgå av ett beslut som har meddelats med stöd av en författning. Det gäller följande intressen

  • att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet
  • att andra rättsliga utredningar eller undersökningar inte hindras
  • att nationell säkerhet skyddas
  • att någon annans rättigheter och friheter skyddas.

Bestämmelser till skydd för dessa intressen finns i OSL och i vissa andra författningar. När Skatteverkets brottsbekämpande verksamhet begränsar informationen på någon av dessa grunder, är verket inte heller skyldigt att lämna ut skälen för beslut att begränsa informationen eller skälen för beslut i fråga om rättelse, radering eller begränsning av behandlingen om motiveringen skulle riskera att skada något av de ovan uppräknade intressena.

Om det är omöjligt eller medför en oproportionerligt stor arbetsinsats att lämna information

Skatteverket behöver inte lämna information om behandling av personuppgifter som Skatteverket har samlat in från någon annan källa än den registrerade personen själv, om det visar sig vara omöjligt att lämna informationen eller om det skulle innebära en oproportionerligt stor arbetsinsats att lämna informationen. I detta sammanhang kan Skatteverket ta hänsyn till t.ex. antal registrerade personer som är berörda och hur gamla uppgifterna är (artikel 14.5 b i EU:s dataskyddsförordning och 4 kap. 7 § BDL).

Detta undantag gäller inte information som Skatteverket ska lämna till den registrerade personen efter begäran, s.k. registerutdrag.

Skillnaden mellan rätten till information enligt TF och rätten till information enligt dataskyddsregleringen

Det är viktigt att hålla isär reglerna om rätt till tillgång till allmänna handlingar och rätt till information om personuppgiftsbehandling.

Rätten till tillgång till allmänna handlingar

Syftet med reglerna i tryckfrihetsförordningen är att ge var och en insyn i den offentliga verksamheten (2 kap. TF). Alla, inte bara specifikt en viss person, ska få en möjlighet att ta del av handlingar och uppgifter som rör en viss fråga. Däremot kan vissa uppgifter och handlingar omfattas av sekretess enligt offentlighets- och sekretesslagen. Sekretessregleringen syftar till att värna viktiga intressen, t.ex. det allmännas intresse av brotts­bekämpning, lagföring och straffverkställighet, men också värna de enskildas intresse av att känsliga uppgifter om deras personliga eller ekonomiska förhållanden inte sprids.

Rätten till information om personuppgiftsbehandling

Rätten till personrelaterad information ger inte den registrerade någon rätt att få del av annat än information om just behandlingen av personuppgifterna. Det handlar alltså inte om att pröva om den registrerade ska få tillgång till all den information som finns i ett visst mål eller ärende. I stället ska det prövas om det förhållandet att personuppgifter behandlas i ett visst sammanhang kan avslöjas för den registrerade, t.ex. i underrättelseverksamhet eller i förundersökningen om ett visst brott. Informationen kan begränsas om det skulle riskera att hindra underrättelseverksamheten eller förundersökningen i fråga om den lämnades ut. En sådan prövning kräver inte lika ingående överväganden som när det gäller att ta ställning till om en viss handling som innehåller sekretessbelagd information kan lämnas ut helt eller delvis utan att det vållar förundersökningen eller underrättelseverksamheten skada.

I förarbetena ges exemplet om en viss person pekas ut som gärningsman i en polisanmälan. Gäller sekretess för den uppgiften kommer personen i fråga inte att få någon upplysning om polisanmälan om hen vänder sig till Polismyndigheten och begär besked om vilka person­uppgifter som behandlas. Ett sådant beslut får överklagas enligt ramlagens regler. En begäran om att få besked om personuppgifter behandlas ska alltså besvaras utifrån regelverket om skydd för personuppgifter. I den prövningen ingår inte att ta ställning till om uppgifterna finns i en allmän handling och om den kan lämnas ut. (jfr prop. 2017/18:232 s. 238 f.)

Informationen ska vara kostnadsfri

Den registrerade ska få informationen kostnadsfritt (artikel 12.5 i EU:s dataskyddsförordning och 4 kap. 12 § BDL). Om begäran om information skulle vara uppenbart ogrundad eller orimlig får Skatteverket vidta någon av följande åtgärder:

  • ta ut en avgift för att täcka de administrativa kostnaderna
  • vägra att lämna ut informationen.

Skatteverket kan tillämpa undantaget t.ex. om en registrerad skulle göra samma begäran upprepade gånger. Det är Skatteverket som måste visa att begäran är uppenbart ogrundad eller orimlig.

Rätten till rättelse

Skatteverket ska på den registrerade personens begäran rätta felaktiga personuppgifter (artikel 16 i EU:s dataskyddsförordning och 4 kap. 9 § BDL).

Med beaktande av ändamålet med behandlingen kan den registrerade även ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande (artikel 16 i EU:s dataskyddsförordning och 4 kap. 9 § BDL).

I sammanhanget ska det även uppmärksammas att Skatteverket har en skyldighet att iaktta kravet på riktighet för de personuppgifter som myndigheten behandlar. Kravet på riktighet innebär att Skatteverket ska rätta felaktiga uppgifter på eget initiativ när dessa upptäcks (artikel 5.1 d i EU:s dataskyddsförordning och 2 kap. 7 § BDL).

Rätten till radering (”rätten att bli bortglömd”)

Den registrerade har i vissa fall rätt till radering av personuppgifter (artikel 17 i EU:s dataskyddsförordning och 4 kap. 10 § BDL). Den registrerades begäran om radering omfattar även uppgifter som finns i säkerhetskopior eller liknande datamedium. Detsamma gäller om det krävs radering för att Skatteverket ska utföra en rättslig förpliktelse (exempelvis verkställighet av domstolsbeslut eller föreläggande från tillsynsmyndighet). En radering innebär med andra ord att personuppgifter förstörs eller utplånas på ett sätt som gör att de inte går att återskapas.

Rätten till radering, även kallad för ”rätten att bli bortglömd” i EU:s dataskyddsförordning, gäller inte om t.ex. uppgiften är nödvändig för behandling på de rättsliga grunderna uppgift av allmänt intresse, vid myndighetsutövning eller rättslig förpliktelse (artikel 17.3 b i EU:s dataskyddsförordning). Skatteverkets behandling av personuppgifter i myndighetens olika verksamheter regleras i särskilda registerförfattningar. Det innebär att Skatteverket inte får radera personuppgifter på begäran av den registrerade så länge myndigheten har stöd för behandlingen i någon författning. Skatteverket får bara radera eller ta bort uppgifter om det finns stöd för det i en gallringsbestämmelse.

I de fall personuppgifter om den registrerade förekommer i en allmän handling behövs även här gallringsbeslut för att radera eller ta bort sådan information, eftersom Skatteverket är skyldigt att bevara allmänna handlingar.

Rätten till begränsning av behandling

Med begränsning menas att uppgifterna markeras så att de i framtiden bara får behandlas för vissa avgränsade syften (artikel 4.3 i EU:s dataskyddsförordning). Registrerade personer kan i vissa fall kräva att behandlingen av personuppgifter begränsas (artikel 18 i EU:s dataskyddsförordning och 4 kap. 11 § BDL). Det gäller bland annat när den registrerade anser att uppgifterna är felaktiga och begärt rättelse. I sådana fall kan den registrerade även begära att behandlingen av uppgifterna begränsas under tiden uppgifternas riktighet utreds.

Om behandlingen har begränsats enligt ovan får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat (artikel 18.2 i EU:s dataskyddsförordning).

När begränsningen upphör ska den enskilda informeras om detta (artikel 18.3 i EU:s dataskyddsförordning).

För Skatteverkets brottsbekämpande verksamhet gäller följande. Om Skatteverket inte kan fastställa att personuppgifterna är korrekta och därmed ska rättas eller förutsättningarna för att radera personuppgifter är uppfyllda, men uppgifterna behöver finnas kvar av bevisskäl, ska behandlingen av uppgifterna i stället begränsas utan onödigt dröjsmål (4 kap. 9–10 §§ BDL).

Det är Skatteverkets brottsbekämpande verksamhet som avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen (4 kap. 11 § BDL).

Underrättelseskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling

Skatteverket ska på den registrerades begäran underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling (artikel 19 i EU:s dataskyddsförordning och 4 kap. 8 § BDF). En begäran enligt artikeln får endast avse underrättelse om åtgärder med den registrerades egna personuppgifter.

Skatteverket behöver inte lämna information till tredje man om åtgärderna, om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats.

Den registrerade har även rätt att på begäran få information om till vem uppgifterna har lämnats ut.

Skatteverket har ingen underrättelseskyldighet enligt artikeln vad gäller uppgifter som myndigheten självmant har rättat eller raderat enligt artikel 5.1 d i EU:s dataskyddsförordning.

Motsvarande underrättelseskyldighet finns för Skatteverkets brottsbekämpande verksamhet (4 kap. 8 § BDF). Om Skatteverket beslutar att personuppgifter ska rättas ska verket även underrätta

  • den som verket har fått uppgifterna ifrån
  • den som har tagit emot uppgifterna från verket.

Om Skatteverket har tagit ett beslut om att radera uppgifterna ska verket även underrätta den som har tagit emot uppgifterna från verket.

Rätten till dataportabilitet

I EU:s dataskyddsförordning regleras en rättighet för den registrerade att få ut de personuppgifter som personen själv har tillhandahållit den personuppgiftsansvariga i ett strukturerat format för att överföra uppgifterna till en annan personuppgiftsansvarig. Förutsättningarna är att behandlingen grundar sig på samtycke eller avtal (artikel 20 i EU:s dataskyddsförordning). Ett ytterligare krav är att behandlingen är automatiserad (artikel 20.1 b i EU:s dataskyddsförordning)

Rätten till dataportabilitet gäller inte om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller om behandlingen är ett led i den personuppgiftsansvarigas myndighetsutövning. De uppgifter som Skatteverket har mottagit i en e-tjänst för t.ex. deklarationsinlämning omfattas inte av rätten till dataportabilitet.

Rätten att göra invändningar

I EU:s dataskyddsförordning regleras en rättighet för en registrerad att i vissa fall kunna invända mot den personuppgiftsansvarigas behandling av hens personuppgifter (artikel 21.1 i EU:s dataskyddsförordning). Rätten att invända gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning.

Rätten att göra invändningar gäller inte vid behandling av personuppgifter som exempelvis är nödvändig för att den personuppgiftsansvariga ska kunna uppfylla en rättslig förpliktelse t.ex. när en myndighet genom författning har ålagts att föra ett register (prop. 2017/18:105 s. 105). Skatteverkets behandling av personuppgifter i olika verksamhetsgrenar regleras i de flesta fall i särskilda registerförfattningar. Författningarna innehåller bestämmelser om att rätten att göra invändningar inte gäller sådan behandling som regleras av respektive lag.

Automatiserade beslut

Den enskilda har enligt huvudregeln rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för den enskilda eller på liknande sätt i betydande grad påverkar hen (artikel 22 i EU:s dataskyddsförordning).

Automatiserat beslutsfattande kan i vissa fall ändå vara tillåtet, bl.a. med stöd av nationella bestämmelser (artikel 22.2 b i EU:s dataskyddsförordning). Fr.o.m. den 1 juli 2018 möjliggör förvaltningslagen automatiserade beslut (28 § FL). Skatteverket kan därmed fatta automatiserade beslut, förutsatt att förvaltningslagens övriga bestämmelser följs, t.ex. bestämmelserna om underrättelse om beslut (33 § FL).

Automatiserat beslutsfattande som grundar sig på känsliga personuppgifter får endast behandlas efter den registrerades uttryckliga samtycke eller för att fullgöra ett viktigt allmänt intresse och när lämpliga åtgärder som ska skydda den registrerades berättigade intresse har vidtagits (artikel 22.4 i EU:s dataskyddsförordning).

Skatteverket måste även informera den registrerade om att automatiserat beslutsfattande används enligt den generella informationsskyldigheten i förordningen. I informationen ska Skatteverket på ett enkelt sätt förklara logiken bakom behandlingen, eller kriterierna för att komma fram till, beslutet.

För Skatteverkets brottsbekämpande verksamhet gäller att den som berörs av ett beslut som grundas på automatiserad behandling av personuppgifter har rätt att få beslutet prövat på nytt av någon fysisk person. Det är förbjudet att fatta automatiserade beslut enbart grundat på känsliga personuppgifter ( 2 kap. 19 § och 4 kap. 4 §§ BDL ).

En begäran från en registrerad person ska vara skriftlig

En registrerad persons begäran om information om behandling, rättelse, radering och begränsning av behandling ska göras skriftligen hos Skatteverket. Skatteverket ska även säkerställa att en begäran görs av en behörig person (4 kap. 2 § BDF)

Rätten att klaga till Integritetsskyddsmyndigheten

En registrerad person som anser att Skatteverket behandlar personuppgifter i strid mot EU:s dataskyddsförordning har rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten. Detta gäller endast om de eventuellt felaktigt behandlade personuppgifterna avser den registrerade själv (artikel 77 i EU:s dataskyddsförordning).

Om Skatteverkets brottsbekämpande verksamhet fattar ett beslut att begränsa rätten till information vid en begäran om registerutdrag ska den sökande informeras om möjligheterna att lämna in klagomål till Integritetsskyddsmyndigheten och begära kontroll (4 kap. 4 § BDF och 5 kap. 3 § BDL)

Om Skatteverkets brottsbekämpande verksamhet fattar beslut om rättelse, radering eller begränsning av behandling ska den sökande också underrättas om möjligheten att lämna in klagomål till Integritetsskyddsmyndigheten och begära kontroll (4 kap. 9 och 10 §§ BDL, 5 kap. 3 § BDL samt 4 kap. 6 § BDF).

En registrerad person har rätt begära att Integritetsskyddsmyndigheten kontrollerar att Skatteverkets brottsbekämpande verksamhet behandlar dennas personuppgifter författningsenligt (4 kap. 8 § BDL).

Rätten att klaga till Integritetsskyddsmyndigheten gäller parallellt med rätten att lämna in en begäran till Skatteverket och rätten att överklaga ett beslut från Skatteverket som går den registrerade emot.

Rätten att överklaga

Registrerade personer har rätt att överklaga Skatteverkets beslut som gäller deras rättigheter som registrerade. Rätten att överklaga och rätten att klaga till Integritetsskyddsmyndigheten är två skilda förfaranden som inte utesluter varandra. Den registrerade personen kan välja att utnyttja båda rättigheterna samtidigt.

Skadestånd – den registrerades rätt till ersättning

Om den registrerades rättigheter inte tillgodoses av Skatteverket kan den registrerade kräva skadestånd för den uppkomna skadan.

Att handlägga en begäran enligt EU:s dataskyddsförordning

Rättigheterna i EU:s dataskyddsförordning innebär att registrerade personer kan begära att den personuppgiftsansvariga ska vidta åtgärder, exempelvis rätta felaktiga personuppgifter eller radera personuppgifter. En begäran kan göras både skriftligt och muntligt. Handläggningstiden för en begäran enligt EU:s dataskyddsförordning är en månad och tiden räknas från det att begäran tas emot. Handläggningstiden får förlängas med maximalt två månader om Skatteverket har godtagbara skäl till förlängningen (artikel 12.3 EU:s dataskyddsförordning). Ett sådant skäl kan vara att en begäran är komplicerad och behöver utredas ytterligare eller om en begäran behöver kompletteras men den registrerade personen kommer inte in med nödvändig komplettering inom handläggningstiden.

Om handläggningstiden överskrider en månad har Skatteverket en skyldighet att utan dröjsmål informera den registrerade om orsaken till den förlängda handläggningstiden (artikel 12.3 EU:s dataskyddsförordning).

För Skatteverkets brottsbekämpande verksamhet finns bestämmelser som anger att myndigheten utan onödigt dröjsmål ska informera den registrerade skriftligen om uppföljningen av dennas begäran. Vidare framgår det av bestämmelserna som reglerar rättigheterna att åtgärderna ska ske utan dröjsmål.

Om Skatteverket inte tillmötesgår den registrerades begäran ska Skatteverket informera den registrerade om rätten att lämna in ett klagomål till Integritetsskyddsmyndigheten (artikel 12.4 EU:s dataskyddsförordning).

Gemensamt för handläggning enligt EU:s dataskyddsförordning och brottsdatalagen

För att kunna handlägga en begäran har Skatteverket rätt att be den registrerade personen att bekräfta sin identitet (artikel 12.1 och 12.6 i EU:s dataskyddsförordning och 4 kap. 2 § andra stycket BDF).

En begäran ska i övrigt handläggas som ett förvaltningsärende enligt förvaltningslagen (2017:900).

Handläggningen av en begäran avslutas med att Skatteverket fattar ett beslut. Det gäller även om Skatteverket avslår en begäran.

Ett beslut som går den registrerade personen emot kan överklagas.

Referenser på sidan

EU-författningar

Lagar & förordningar

Propositioner

  • Proposition 2017/18:232 Brottsdatalag [1]