När Skatteverket lämnar ut personuppgifter som behandlas i beskattningsverksamheten innebär det en behandling av uppgifterna. Behandlingen måste vara tillåten enligt de allmänna dataskyddsbestämmelserna, SdbL och andra författningar. Utlämnandet måste även vara tillåtet enligt sekretessbestämmelserna för beskattningsverksamheten.
Skatteverket kan lämna ut personuppgifter
Skatteverket får bara lämna ut personuppgifter som behandlas i beskattningsverksamheten om följande förutsättningar är uppfyllda:
Alla utlämnanden av personuppgifter ska ha en rättslig grund. Om en rättslig grund saknas är behandlingen som utlämnandet innebär inte tillåten.
Förutom en rättslig grund ska all behandling av personuppgifter ha ett särskilt, uttryckligt angivet och berättigat ändamål. I SdbL står det för vilka ändamål Skatteverket får behandla uppgifter i beskattningsverksamheten. Att lämna ut uppgifter till personer som direkt eller indirekt berörs av ett ärende, t.ex. skattskyldiga, arbetsgivare och borgenärer, omfattas av de primära ändamålen i 1 kap. 4 § SdbL (prop. 2000/01:33 s. 99). Att lämna ut uppgifter i enlighet med en uppgiftsskyldighet som finns i en lag eller förordning omfattas av de sekundära ändamålen (jfr 1 kap. 5 § SdbL).
Exempel på sådan uppgiftsskyldighet finns i lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet och uppgiftsskyldighet enligt 7 och 9 §§ lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.
Skatteverket får behandla uppgifter för att lämna ut dem i enlighet med offentlighetsprincipen (2 kap. TF). Ett utlämnande enligt TF anses inte oförenligt med det ursprungliga ändamålet med behandlingen. Enligt artikel 86 EU:s dataskyddsförordning och 1 kap. 7 § den kompletterande dataskyddslagen hindrar inte dataskyddsregleringen ett utlämnande enligt TF.
Förutom en rättslig grund och ett särskilt, uttryckligt angivet och berättigat ändamål ska även övriga grundläggande principer vid behandling av personuppgifter vara uppfyllda.
För att Skatteverket ska kunna lämna ut uppgifter eller handlingar krävs det, förutom ett rättsligt stöd för behandlingen, att sekretess inte hindrar ett utlämnande. En sekretessprövning måste därför alltid ske innan handlingar eller uppgifter lämnas ut.
SdbL reglerar om ett utlämnande av uppgifter från beskattningsverksamheten får ske elektroniskt. Man kan säga att SdbL reglerar hur utlämnandet får ske. Bestämmelser om att ett utlämnande får ske elektroniskt är dock inte sekretessbrytande bestämmelser och därför måste alltid en sekretessprövning göras i det enskilda fallet innan uppgifter lämnas ut. Om det råder sekretess för uppgifterna måste det finnas en sekretessbrytande bestämmelse som möjliggör utlämnandet. Det gäller oavsett om uppgifterna lämnas ut till en enskild, en myndighet eller självständig verksamhetsgren inom Skatteverket. Det finns flera bestämmelser i SdbF som innebär att Skatteverket ska lämna ut uppgifter i vissa fall, både till andra myndigheter, andra verksamhetsgrenar inom Skatteverket och enskilda. Bestämmelser som innebär att uppgifter ska lämnas ut är sekretessbrytande.
Om utlämnandet ska ske elektroniskt krävs det, förutom ett rättsligt stöd för den behandlingen och att sekretess inte hindrar att personuppgifterna lämnas ut, att utlämnandet kan ske på ett säkert sätt. Eftersom utlämnandet av personuppgifter är en behandling i sig, så måste det uppfylla säkerhetskraven i EU:s dataskyddsförordning.
Kraven om säkerhet enligt EU:s dataskyddsförordning gäller bara för personuppgifter. Kraven gäller alltså inte för uppgifter om juridiska personer och avlidna. Dessa uppgifter omfattas istället av annan reglering av säkerhet för information, exempelvis säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658) samt MSB:s föreskrifter 2020:6 om informationssäkerhet för statliga myndigheter.
Personuppgifter kan lämnas ut i elektronisk form om förutsättningarna om rättsligt stöd, inga sekretesshinder och säkerhet är uppfyllda. När utlämnandet sker elektroniskt från beskattningsdatabasen gäller även andra krav beroende på vilken form av elektroniskt utlämnande som det rör sig om och om utlämnandet sker till myndighet eller enskild.
Med medium för automatiserad behandling menas utlämnande på mejl, USB-minne eller liknande. Skatteverket får lämna ut personuppgifter från beskattningsdatabasen till en annan självständig verksamhetsgren eller myndighet på ett medium för automatiserad behandling, om den mottagande verksamhetsgrenen eller myndigheten får ta del av uppgifterna enligt gällande sekretessbestämmelser. Det är upp till Skatteverket att bestämma om uppgifterna ska lämnas ut på detta sätt (prop. 2000/01:33 s. 111 f.). De andra förutsättningarna om rättsligt stöd för behandlingen av personuppgifter och säkerhet ska dock också vara uppfyllda.
Skatteverket får lämna ut personuppgifter från beskattningsdatabasen till en annan självständig verksamhetsgren eller myndighet genom att ge verksamhetsgrenen eller myndigheten direktåtkomst, om det finns en särskild bestämmelse som tillåter detta i SdbL (2 kap. 7-8 d §§ SdbL, se även prop. 2000/01:33 s. 130). Direktåtkomst får dock inte medges till elektroniska handlingar på grund av integritetsskäl (prop. 2000/01:33 s. 130).
En bestämmelse om att direktåtkomst är tillåten medför inte att eventuell sekretess för uppgifterna bryts. Om de uppgifter som ska lämnas ut är sekretessbelagda krävs det att en sekretessbrytande bestämmelse kan tillämpas för att det ska vara tillåtet att lämna ut uppgifterna. Skatteverket måste alltså göra en sekretessprövning av om Skatteverket kan lämna ut uppgifterna innan direktåtkomst medges.
Att en annan självständig verksamhetsgren eller myndighet får ha direktåtkomst till uppgifter i beskattningsdatabasen innebär inte att samtliga anställda vid den andra verksamhetsgrenen eller myndigheten får ha tillgång till uppgifterna. Missbruk av personuppgifterna måste förhindras i enlighet med grundläggande principer och säkerhet vid behandling. Det kan t.ex. innebära att åtkomsten till olika uppgifter inom den andra myndigheten är starkt begränsad till olika behörighetsnivåer, vilket i sin tur innebär att är ett högst begränsat antal personer som har tillgång till samtliga uppgifter (prop. 2000/01:33 s. 131).
Inom beskattningsverksamheten är direktåtkomsten inte begränsad i SdbL, men samma bestämmelser om grundläggande principer och säkerhet vid behandling gäller även här. De anställda ska bara ha åtkomst till de uppgifter som de behöver för att kunna utföra sina arbetsuppgifter.
Under rubrikerna nedan listas situationer där Skatteverket enligt bestämmelser i SdbL och SdbF får medge direktåtkomst för
Den brottsbekämpande verksamheten på Skatteverket får ha direktåtkomst till uppgifter om (2 kap. 7 § SdbL)
Den brottsbekämpande verksamheten får bara använda direktåtkomsten till uppgifterna för sådan verksamhet som anges i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar och behandlingen ska vara tillåten enligt de registerförfattningar som tillämpas inom den brottsbekämpande verksamheten.
Det finns en sekretessbrytande bestämmelse som gör den brottsbekämpande verksamhetens direktåtkomst till de ovan uppräknade uppgifterna möjlig (5 b § SdbF).
Skatteverket får medge Kronofogden direktåtkomst till uppgifter i beskattningsdatabasen om
Direktåtkomst till uppgifterna i punkterna 4-8 får, enligt 2 kap. 8 § första stycket SdbL, bara avse en person som
Det finns en sekretessbrytande bestämmelse som gör Kronofogdens direktåtkomst till de ovan uppräknade uppgifterna möjlig (4 § SdbF).
Skatteverket får enligt 2 kap. 8 § andra stycket SdbL medge Tullverket direktåtkomst till uppgifter i beskattningsdatabasen om
Direktåtkomst till de ovan angivna uppgifterna får bara avse en person som
Skatteverket får medge Tullverket direktåtkomst till uppgifter och handlingar som ingår i EMCS-systemet (2 kap. 8 § tredje stycket SdbL).
Det finns sekretessbrytande bestämmelser som gör Tullverkets direktåtkomst till de ovan uppräknade uppgifterna möjlig (5–5 a §§ SdbF).
Skatteverket får medge en socialnämnd direktåtkomst till uppgifter i beskattningsdatabasen om
Direktåtkomst till de ovan angivna uppgifterna får endast ges om uppgifterna behövs hos socialnämnden i ett ärende om ekonomiskt bistånd enligt 4 kap. SoL eller i ett ärende om återkrav m.m. av sådant bistånd, enligt 9 kap. SoL. För att Skatteverket ska kunna medge socialnämnden direktåtkomst måste Skatteverket se till att handläggarna hos socialnämnden genom direktåtkomsten bara kan ta del av sådana uppgifter som är aktuella i ärenden hos nämnden (2 kap. 8 a § SdbL).
Det finns en sekretessbrytande bestämmelse som gör socialnämnders direktåtkomst till de ovan uppräknade uppgifterna möjlig (8 f § SdbF).
Skatteverket får medge Migrationsverket direktåtkomst till uppgifter i beskattningsdatabasen om uppgifterna behövs i ett ärende om dagersättning åt asylsökande enligt lagen (1994:137) om mottagande av asylsökande m.fl. (2 kap. 8 b § SdbL).
Direktåtkomsten får endast omfatta
Det finns en sekretessbrytande bestämmelse som gör Migrationsverkets direktåtkomst till de ovan uppräknade uppgifterna möjlig (8 b § SdbF).
Skatteverket får enligt 2 kap. 8 c § SdbL medge Försäkringskassan direktåtkomst till uppgifter i beskattningsdatabasen om uppgifterna behövs i ett ärende om
Direktåtkomsten får endast omfatta
Det finns en sekretessbrytande bestämmelse som gör Försäkringskassans direktåtkomst till de ovan uppräknade uppgifterna möjlig (7 § tredje stycket SdbF).
Skatteverket får medge Arbetsförmedlingen direktåtkomst till uppgifter i beskattningsdatabasen om uppgifterna behövs i ett ärende om stöd till arbetsgivare för anställning av en enskild person (2 kap. 8 d § SdbL).
Direktåtkomsten får endast omfatta
Det finns en sekretessbrytande bestämmelse som gör Arbetsförmedlingens direktåtkomst till de ovan uppräknade uppgifterna möjlig (8 c § tredje stycket SdbF).
Skatteverket får lämna ut uppgifter från beskattningsdatabasen till enskilda på medium för automatiserad behandling om detta är särskilt reglerat och det inte finns något hinder mot det enligt någon författning (2 kap. 6 § SdbL och 9 § SdbF). Skatteverket får bara lämna ut uppgifter från beskattningsdatabasen till enskilda genom direktåtkomst om det är särskilt reglerat (2 kap. 9 § SdbL). Med enskilda menas både fysiska och juridiska personer.
Tabellen visar vilka uppgifter som Skatteverket får lämna ut till enskilda på medium för automatiserad behandling.
Mottagare |
Uppgifter som får lämnas ut |
Tillämplig bestämmelse |
---|---|---|
Enskilda |
Uppgifter om den enskilde själv. |
A-kassa |
Uppgifter som avses i 8 d § SdbF. |
|
A-kassa |
Uppgifter vid en underrättelse enligt 3 § lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen. |
Fastighetsägare |
Uppgifter om
|
|
Arbetsgivare eller uppdragsgivare |
Uppgifter
|
|
Uppdragsgivare |
Uppgifter om en uppdragstagares
|
|
Kreditupplysningsföretag, d.v.s.
|
Uppgifter i beskattningsdatabasen, med undantag för uppgifter som grundar sig på brott. |
|
Trossamfund |
Uppgifter som utgör underlag för beräkning av avgift till registrerat trossamfund. |
|
Behörig myndighet i ett annat EU-land |
Uppgifter om mervärdesskatt. |
Rådets förordning (EU) nr 904/2010 av den 7 oktober 2010 om administrativt samarbete och kampen mot mervärdesskattebedrägeri (3) |
Behörig myndighet i ett annat EU-land |
Vissa uppgifter på punktskatteområdet. |
Rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004 (1) |
Skatteverket får lämna ut vissa uppgifter i beskattningsdatabasen till enskilda genom att medge direktåtkomst. Direktåtkomsten får bara avse uppgifter om den enskilde själv.
Vid direktåtkomsten ska den enskildas identitet kontrolleras genom en säker metod för identifiering (2 kap. 9 § SdbL och 16 § SdbF). Det måste också finnas tillräckligt säkra tekniska lösningar. Möjligheten för enskilda att få åtkomst till uppgifter om sig själva innebär inte en rättighet att ta del av samtliga uppgifter som finns i Skatteverkets databas. Sekretess kan i vissa fall gälla för uppgifter till skydd för myndighetens verksamhet. I databasen kan det exempelvis finnas uppgifter om planerade revisioner och liknande åtgärder som kan antas att syftet med åtgärden motverkas om uppgifterna röjs (prop. 2000/01:33 s. 115).
Exempel på uppgifter som lämnas ut till enskilda genom direktåtkomst är de förifyllda uppgifterna på en inkomstdeklaration och uppgifter som utförare av rottjänster har lämnat.
Skatteverket kan även medge en behörig myndighet i ett annat EU-land direktåtkomst till uppgifter i beskattningsdatabasen om mervärdesskatt. En utländsk myndighet jämställs i detta sammanhang med enskilda (2 kap. 6 § SdbL och 17 § SdbF).
Skatteverket bestämmer vilka avgifter som ska tas ut för att lämna ut uppgifter ur beskattningsdatabasen. Någon avgift ska dock inte tas ut när uppgifter lämnas ut till en annan myndighet och utlämnandet följer av en skyldighet i en lag eller förordning (2 kap. 14 § SdbL och 22 § SdbF).
Rätten att ta ut avgifter får inte inskränka