När Skatteverket behandlar personuppgifter i beskattningsverksamheten måste verket följa principerna i EU:s dataskyddsförordning om bland annat laglighet, ändamålsbegränsning och säkerhet. De vanligaste rättsliga grunderna i beskattningsverksamheten är allmänt intresse och myndighetsutövning och rättslig förpliktelse.
Dessutom finns det bestämmelser om sekretess för uppgifter i beskattningsverksamheten.
När Skatteverket behandlar personuppgifter i beskattningsverksamheten ska artikel 5 i EU:s dataskyddsförordning om principer för behandling av personuppgifter tillämpas.
Dessa principer är
Skatteverket måste alltid ha minst en rättslig grund för varje behandling av personuppgifter i beskattningsverksamheten, annars är behandlingen inte laglig och därmed inte tillåten (artikel 6 EU:S dataskyddsförordning). I beskattningsverksamheten är de rättsliga grunderna vanligtvis allmänt intresse och myndighetsutövning samt rättslig förpliktelse. Dessa rättsliga grunder ska fastställas i enlighet med antingen unionsrätten eller svensk rätt. Det innebär att rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning måste vara rättsligt förankrade i unionsrätten eller svensk rätt. Kravet kan jämföras med regleringen i 5 § förvaltningslagen om att myndigheter endast får vidta åtgärder som har stöd i rättsordningen.
I beskattningsverksamheten är bestämmelser i inkomstskattelagen, fastighetstaxeringslagen och skatteförfarandelagen exempel på rättsliga grunder. Genom bestämmelser i de lagarna åläggs Skatteverket att vidta åtgärder som innefattar behandling av personuppgifter. Regleringen bildar då behandlingens rättsliga grund. En registerlag, t.ex. SdbL, utgör normalt inte i sig själv en rättslig grund för behandling av personuppgifter i beskattningsverksamheten.
Du kan läsa mer om rättslig grund under avsnittet Grundläggande bestämmelser.
Skatteverket får bara behandla uppgifter i beskattningsverksamheten för särskilda, i förväg uttryckligt bestämda och berättigade ändamål. SdbL räknar upp för vilka ändamål Skatteverket får behandla uppgifter i de verksamheter där SdbL ska tillämpas (1 kap. 4–5 §§ SdbL). De angivna ändamålen gäller för behandling av uppgifter både i och utanför beskattningsdatabasen.
Ändamålen delas in i
sekundära ändamål (ändamål som avser andra myndigheters eller enskildas verksamhet, t.ex. Kronofogdens indrivningsverksamhet eller tillsynsmyndigheters tillståndsprövning enligt alkohollagen).
Bestämmelserna om ändamål gäller även vid behandling av uppgifter om juridiska personer och avlidna. (1 kap. 1 § andra stycket SdbL).
Skatteverket får behandla uppgifter som Skatteverket behöver för något av följande ändamål (1 kap. 4 § första stycket SdbL och prop. 2000/01:33 s. 198):
Bestämmelsen om de primära ändamålen omfattar praktiskt taget all verksamhet inom beskattningsområdet som Skatteverket ska utföra. Den omfattar även viss annan verksamhet som inte är en del av beskattningsförfarandet, men som Skatteverket ändå ansvarar för (prop. 2000/01:33 s. 197).
En grundläggande förutsättning för att Skatteverket ska få behandla en uppgift är att uppgiften behövs i beskattningsverksamheten. Beskattningsdatabasen får därför inte innehålla några uppgifter som inte behövs för de primära ändamålen, utan endast är till nytta för de sekundära ändamålen, t.ex. för Kronofogdens verksamhet (prop. 2000/01:33 s. 128).
Uppgifter som Skatteverket redan behandlar för något av de primära ändamålen får under vissa förutsättningar behandlas även för andra ändamål, s.k. sekundära ändamål. I 1 kap. 5 § SdbL anges under vilka förutsättningar detta får ske.
Uppgifter som Skatteverket redan behandlar för något av de primära ändamålen får behandlas för att tillhandahålla information som behövs i en författningsreglerad verksamhet hos någon annan än Skatteverket för följande ändamål (1 kap. 5 § 1 SdbL och prop. 2000/01:33 s. 198 f.):
Uppgifter som Skatteverket redan behandlar för något av de primära ändamålen i beskattningsverksamheten får behandlas även för att tillhandahålla information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet (1 kap. 5 § 2 SdbL). Det är dock viktigt att det inte råder något tvivel om att beskattningsverksamheten och den brottsbekämpande verksamheten inom Skatteverket bedrivs åtskilda (prop. 2000/01:33 s. 126). Eventuell sekretess gäller även mellan Skatteverkets olika verksamhetsgrenar.
Uppräkningen av de sekundära ändamålen i SdbL är inte uttömmande. Skatteverket får behandla uppgifter för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av en lag eller förordning (1 kap. 5 § 3 SdbL). En sådan lagreglerad uppgiftsskyldighet finns bl.a. i 2 § lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Det finns bestämmelser om att använda och lämna ut uppgifter från Skatteverkets beskattningsverksamhet även i andra författningar, t.ex. SparL och SparF. Sådana bestämmelser kan tillåta både att uppgifter som omfattas av SdbL används i beskattningsverksamheten och lämnas ut till en annan verksamhetsgren eller annan myndighet på ett elektroniskt medium. Ett annat exempel är utlämnande till verksamheter som regleras av bestämmelserna i kreditupplysningslagen (1973:1173).
Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna från början samlades in. Detta brukar kallas finalitetsprincipen och innebär att personuppgifter som har samlats in för ett ändamål senare får användas för ett annat ändamål så länge det är förenligt med det ursprungliga ändamålet. Vad som är ett förenligt ändamål får bedömas från fall till fall. Finalitetsprincipen kommer till uttryck i SdbL som ett sekundärt ändamål (1 kap. 5 § 4 SdbL). I EU:s dataskyddsförordning benämns finalitetsprincipen som ändamålsbegränsning.
Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 EU:s dataskyddsförordning ska inte anses vara oförenlig med insamlingsändamålen (prop. 2017/18:95 s. 54 f.).
Skatteverket måste ha en lämplig nivå på säkerheten, både tekniskt och organisatoriskt, när myndigheten behandlar personuppgifter i beskattningsverksamheten.