Grundläggande principer

Principerna i artikel 5 EU:s dataskyddsförordning

När behandlingen av personuppgifter grundar sig på EU:s dataskyddsförordning, får Skatteverket bara behandla personuppgifterna om behandlingen uppfyller principerna i artikel 5 EU:s dataskyddsförordning. Dessa principer är

• laglighet, korrekthet och öppenhet
• ändamålsbegränsning
• uppgiftsminimering
• riktighet
• lagringsminimering
• integritet och konfidentialitet.

Laglighet, korrekthet och öppenhet

Att personuppgiftsbehandlingen ska vara laglig innebär att Skatteverket alltid måste ha minst en rättslig grund för varje behandling av personuppgifter. Laglighetskravet innebär också att Skatteverket måste följa övriga principer och bestämmelser i EU:s dataskyddsförordning och i annan kompletterande lagstiftning (legalitetsprincipen).

Att personuppgiftsbehandlingen ska vara korrekt innebär att den ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade. Personuppgiftsbehandlingen ska stå i rimlig proportion till den nytta som personuppgiftsbehandlingen innebär (proportionalitetsprincipen). Skatteverket ska också ta hänsyn till vilken personuppgiftsbehandling de registrerade rimligen kan förvänta sig. Personuppgiftsbehandlingen ska vara förståelig och begriplig för de registrerade och inte göras på dolda eller manipulerande sätt.

Att behandlingen av personuppgifter ska vara öppen innebär att det ska vara klart och tydligt för de registrerade hur uppgifter samlas in och i övrigt behandlas. Skatteverket har en skyldighet att informera de registrerade om vad de har för rättigheter, t.ex. hur de kan begära registerutdrag, hur de kan få fel rättade och hur de kan få personuppgifter raderade (öppenhetsprincipen).

Ändamålsbegränsning

Redan innan Skatteverket börjar samla in personuppgifter, måste verket bestämma ändamålet eller ändamålen för behandlingen. De fastställda ändamålen påverkar bl.a. vilka personuppgifter Skatteverket får behandla och hur länge de får behandlas. Ändamålen ska även dokumenteras, bl.a. med hänsyn till den skyldighet att lämna information om personuppgiftsbehandlingar som Skatteverket har. Personuppgifter får aldrig behandlas på ett sätt som är oförenligt med det eller de ändamål som fastställdes innan uppgifterna först samlades in.

Samtliga ändamål ska vara konkreta och kunna anges på en detaljerad nivå. Det får inte vara för allmänt hållet. Det går alltså inte att endast hänvisa till någon av punkterna i en ändamålsbestämmelse i en registerförfattning. Dessa punkter utgör endast de yttersta ramarna för Skatteverkets behandling. Exempel på ett tydligt ändamål är behandling av anställdas personuppgifter i personaladministrativ verksamhet för att betala ut löner. Det går alltså att ha mer än ett ändamål för en personuppgiftsbehandling, om förutsättningarna för alla ändamål är uppfyllda.

Om ett ändamål är förenligt eller inte ska avgöras genom en bedömning i det enskilda fallet. Behandlingen för de ursprungliga ändamålen, måste kunna hänföras under någon av de lagliga grunderna i artikel 6 dataskyddsförordningen. Skatteverket bör då också utgå från vilken behandling av uppgifter som en registrerad person rimligen kan förvänta sig mot bakgrund av det ursprungliga ändamålet. Den ändamålsbegränsningen begränsar bl.a. möjligheten för Skatteverket att samköra personuppgifter som verket behandlar för olika ändamål.

Om någon av Skatteverkets verksamhetsgrenar vill lämna ut personuppgifter till någon annan verksamhetsgren eller till någon annan organisation måste även själva utlämnandet vara förenligt med det ursprungliga ändamålet. Om det i lag eller förordning är reglerat att Skatteverket ska eller får lämna ut uppgifter behöver inte Skatteverket pröva om utlämnandet är förenligt med det ursprungliga ändamålet. I sådana fall är det tillräckligt att pröva ett utlämnande enligt dessa bestämmelser i sig (HFD 2021 ref.10). Det måste också finnas en rättslig grund för själva utlämnandet, t.ex. en bestämmelse om uppgiftsskyldighet eller en bestämmelse som anger att utlämnande får ske. För det fall utlämnandet innefattar sekretessbelagda uppgifter måste det också finnas stöd för att bryta sekretessen i en sekretessbrytande bestämmelse. Bestämmelserna om ändamål för behandling begränsar inte Skatteverkets skyldighet att lämna ut personuppgifter enligt offentlighetsprincipen i 2 kap. TF (1 kap. 7 § kompletterande dataskyddslag).

Om det finns lämpliga skyddsåtgärder för de registrerades rättigheter får Skatteverket behandla de insamlade personuppgifterna för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen.

Uppgiftsminimering

De personuppgifter som Skatteverket behandlar ska vara av betydelse för ändamålet, det vill säga adekvata och relevanta. För varje personuppgift – eller kategori av personuppgifter – som Skatteverket vill behandla måste verket ta ställning till om uppgiften verkligen är nödvändig för ändamålen med behandlingen. Skatteverket får alltså inte behandla personuppgifter enbart för att uppgifterna eventuellt kan komma till användning i framtiden. Uppgifterna ska även vara riktiga och, om det är nödvändigt för ändamålen för behandlingen, också aktuella.

Riktighet

Skatteverket ska vidta alla åtgärder som är rimliga för att rätta eller radera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen för behandlingen. En sådan rättelse ska Skatteverket göra på eget initiativ.

EU-domstolen har uttalat att riktigheten av personuppgifter ska bedömas i förhållande till det ändamål för vilket de samlas in (C-434/16, Nowak). I de fall ändamålet med behandlingen av personuppgifter är att registrera personuppgifter som kommit in, genom t.ex. en ansökan, så är personuppgifterna riktiga om de stämmer överens med de inkomna personuppgifterna oavsett hur de lämnade personuppgifterna förhåller sig till de verkliga förhållandena,

Lagringsminimering

Skatteverket får inte bevara personuppgifter under längre tid än vad som är nödvändigt med hänsyn till ändamålen för behandlingen.

Integritet och konfidentialitet

Skatteverket måste ha tillräcklig säkerhet för att skydda personuppgifterna mot bland annat obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Skatteverket ansvarar för att de it-system som används inte medför integritetsrisker. Eftersom integritets- och dataskyddsfrågor påverkar ett it-systems hela livscykel är det viktigt att man tar hänsyn till dem från förstudie och kravställning till användning och avveckling, s.k. inbyggt dataskydd.