Skatteverket kan behandla personuppgifter och andra uppgifter elektroniskt i beskattningsverksamheten, både i och utanför den s.k. beskattningsdatabasen. Det är viktigt att veta var en uppgift behandlas eftersom olika bestämmelser gäller för behandling av uppgifter i respektive utanför beskattningsdatabasen.
Begreppet databas är en juridisk beteckning. Begreppet är inte knutet till hur en samling uppgifter är uppbyggd eller hur den lagras rent tekniskt. En databas kan innehålla flera register och flera andra uppgiftssamlingar.
Beskattningsdatabasen är en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom beskattningsverksamheten för de ändamål som anges i 1 kap. 4–5 §§ SdbL (2 kap. 1 § SdbL). Med detta menas att uppgiften behandlas på ett sätt som medför att den utgör ”allmän egendom” i verksamheten (SOU 1999:105 s. 231). En uppgift anses vara gemensamt använd om den registreras och lagras i ett datasystem på ett sådant sätt att handläggare har möjlighet att vid behov och i olika sammanhang ta del av uppgiften direkt på automatiserad väg, till exempel i samband med handläggningen av ett ärende (prop. 2000/01:33 s. 88 f.).
Beskattningsdatabasen består teoretiskt sett av en uppgiftsdel och en handlingsdel. Det är noggrant reglerat vilka uppgifter Skatteverket får behandla i uppgiftsdelen, t.ex. identitetsuppgifter, beloppsuppgifter från deklarationer och slutskatteuppgifter. Handlingsdelen innehåller handlingar i ärenden som handläggs elektroniskt. Det kan både vara handlingar som har kommit in till Skatteverket och handlingar som har upprättats inom Skatteverket. Exempel på sådana handlingar är inkomstdeklaration, svar på förfrågningar, kommunikation efter förslag till beslut och beslut.
Samma uppgifter kan förekomma i både uppgiftsdelen och handlingsdelen i beskattningsdatabasen. Ett exempel på detta är uppgifter i en elektronisk inkomstdeklaration som är inlämnad i form av ett elektroniskt dokument. Deklarationen lagras i handlingsdelen i den fixerade form som den lämnades in i. Dessutom förs de enskilda uppgifterna från deklarationen in i uppgiftsdelen i beskattningsdatabasen. I uppgiftsdelen kan Skatteverket göra beräkningar och kontroller m.m., exempelvis jämförelser med kontrolluppgifter. Nästan alla uppgifter som förekommer på en inkomstdeklaration får föras in i uppgiftsdelen. Det kan dock finnas uppgifter som den skattskyldiga har antecknat som ”övriga upplysningar” som Skatteverket bara får behandla i handlingsdelen.
Skatteverket ska tillämpa samtliga bestämmelser i SdbL vid behandling av uppgifter i beskattningsdatabasen. Dessutom ska de grundläggande dataskyddsbestämmelserna om principer för behandling av personuppgifter tillämpas.
Bestämmelserna i 2 kap. SdbL gäller särskilt för behandling av uppgifter i beskattningsdatabasen. Där regleras bland annat vilka uppgifter som får behandlas i beskattningsdatabasen. Bestämmelserna i 2 kap. SdbL gäller även vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 § andra stycket SdbL). Det är från integritetssynpunkt viktigt att det finns särskilda skyddsregler för stora uppgiftssamlingar där man kan sammanställa en rad olika uppgifter om enskilda personer (prop. 2000/01:33 s. 91).
I beskattningsdatabasens uppgiftsdel får Skatteverket enbart behandla vissa förutbestämda uppgifter. Uppgifterna ska behövas för de ändamål som anges i 1 kap. 4 § SdbL. Bestämmelser om vilka uppgifter som får behandlas finns i 2 kap. SdbL och i 2 och 3 §§ SdbF. I Skatteverkets föreskrifter finns bestämmelser om vilka uppgifter som får behandlas enligt 2 kap. 3 § SdbL (SKVFS 2018:12).
I beskattningsdatabasen får Skatteverket behandla uppgifter om personer som omfattas av de verksamheter som anges i 1 kap. 4 § 1–9 SdbL (2 kap. 2 § SdbL). Skatteverket får bara behandla uppgifter om andra fysiska eller juridiska personer om det behövs för att handlägga ett ärende. Det kan till exempel vara uppgifter om en make eller ett hemmavarande barn, liksom uppgifter om en företrädare för en juridisk person eller en revisor (prop. 2000/01:33 s. 200).
Skatteverket får behandla nedanstående uppgifter i beskattningsdatabasen, under förutsättning att uppgifterna behövs för något av de ändamål som anges i SdbL (2 kap. 3 § SdbL och prop. 2000/01:33 s. 200 f.).
I databasen får Skatteverket även behandla andra uppgifter som behövs för att fullgöra en skyldighet som följer av ett bindande internationellt åtagande för Sverige (2 kap. 3 § andra stycket SdbL).
Uppgifter om förflyttningar och kontroller av punktskattepliktiga varor som ingår i EMCS-systemet får behandlas i beskattningsdatabasen (2 kap. 4 a § SdbL och 3 § SdbF). Vilka uppgifter som ska ingå i det datoriserade systemet har bestämts på EU-nivå och är samma i alla medlemsstater (prop. 2011/12:155 s. 108).
Vilka uppgifter som får behandlas i beskattningsdatabasen beskrivs närmare i 2 § SdbF. Där står det att Skatteverket i databasen får behandla uppgifter
Skatteverket har närmare preciserat vilka uppgifter som Skatteverket får behandla i beskattningsdatabasen i Skatteverkets föreskrifter (SKVFS 2018:12).
Skatteverket får behandla följande handlingar i beskattningsdatabasens handlingsdel:
De handlingar som finns i handlingsdelen i beskattningsdatabasen kallas elektroniska handlingar. De elektroniska handlingarna kan jämställas med pappershandlingar. De har ett bestämt, fixerat innehåll och de går att återskapa gång på gång.
En elektronisk inkomstdeklaration som lämnas in som ett elektroniskt dokument är ett exempel på en elektronisk handling som behandlas i beskattningsdatabasen.
Skatteverket får bara i undantagsfall behandla känsliga personuppgifter och uppgifter om lagöverträdelser i beskattningsdatabasen. Som utgångspunkt får sådana uppgifter bara behandlas i det fall de har lämnats i ett ärende eller om de är nödvändiga för ärendets handläggning (1 kap. 7 § SdbL). Särskilda bestämmelser gäller sedan beroende på om behandlingen sker i beskattningsdatabasens uppgiftsdel eller handlingsdel.
Uppgifter om registrerat trossamfund och uppgifter om medlemskap i en fackförening får behandlas i beskattningsdatabasens uppgiftsdel trots att de är känsliga personuppgifter (2 kap. 3 § 9 SdbL). Några andra känsliga personuppgifter än dessa får inte behandlas i uppgiftsdelen. Uppgifter om lagöverträdelser får inte behandlas i uppgiftsdelen.
Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser i handlingsdelen i beskattningsdatabasen om någon av följande förutsättningar är uppfylld (2 kap. 4 § SdbL):
Att Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser om de finns i en handling som kommer in till Skatteverket, beror på att Skatteverket inte kan påverka innehållet i de handlingar som kommer in till myndigheten.
Att Skatteverket får behandla känsliga personuppgifter och uppgifter om lagöverträdelser i en handling som upprättas inom myndigheten, beror på att det inte är möjligt att förutse de olika situationer som kan uppstå i hanteringen av ärenden. Skatteverket kan i ett beslut eller någon annan handling behöva skriva om sakomständigheter eller argument som innefattar uppgifter av vitt skilda slag. Att behandlingen av de aktuella uppgifterna ska vara nödvändig innebär inte att det krävs att det är omöjligt att hantera frågorna på något annat sätt, t.ex. genom pappershantering eller att utelämna vissa delar av skälen för ett beslut. Vad som avses är att behandlingen ska vara nödvändig för att myndigheten ska kunna hantera sina ärenden enligt gällande rutiner och regler (prop. 2000/01:33 s. 101 f.).
När Skatteverket söker efter en elektronisk handling i beskattningsdatabasen får endast följande uppgifter användas som sökbegrepp (2 kap. 10 § första stycket SdbL):
Sökbegränsningen gäller när man söker efter handlingar. Begränsningen gäller inte när man söker i handlingar när handlingarna väl har identifierats. Det finns alltså inga sökbegränsningar när man söker i en handling (prop. 2000/01:33 s. 203). Man kan till exempel använda de sökmöjligheter som finns i ordbehandlingsprogrammet Word för att söka fram ett visst avsnitt eller en viss uppgift i en handling.
Känsliga personuppgifter och uppgifter om lagöverträdelser får inte användas som sökbegrepp i någon del av beskattningsdatabasen utom vid sökning i en redan identifierad handling (2 kap. 10 § andra stycket SdbL).
Skatteverket får göra sammanställningar av uppgifter som behandlas elektroniskt inom beskattningsverksamheten, exempelvis i samband med urvalsverksamhet och analysverksamhet. Att göra en sammanställning innebär att man behandlar uppgifterna och att man måste följa samtliga tillämpliga bestämmelser i SdbL, SdbF och de allmänna dataskyddsbestämmelserna. Det är särskilt viktigt att Skatteverket säkerställer att en sådan behandling enbart görs för de ändamål som anges i 1 kap. 4 och 5 §§ SdbL och att den föreskrivna gallringen av uppgifterna görs.
I uppgiftsdelen i beskattningsdatabasen finns det väldigt många uppgifter som kan sammanställas i en mängd olika konstellationer. En sammanställning av sådana uppgifter sker ofta genom att uppgifterna visas i olika terminalbilder. Vilka uppgifter som ska visas och hur de ska visas är då bestämt i förväg.
Med behandling utanför beskattningsdatabasen menas all behandling av uppgifter i beskattningsverksamheten som görs utanför den gemensamt tillgängliga uppgiftssamlingen, beskattningsdatabasen. Behandlingen ska vara helt eller delvis automatiserad eller så ska det röra sig om behandling av personuppgifter som ingår eller kommer att ingå i ett register.
Behandlingar utanför beskattningsdatabasen är inte detaljreglerade på samma sätt när det gäller vilka uppgifter som får ingå. Dessa behandlingar får omfatta uppgifter som inte får behandlas i strukturerad form i beskattningsdatabasen. Skatteverket kan t.ex. sambearbeta uppgifter som finns i beskattningsdatabasen med uppgifter som inte får behandlas i databasen. Bearbetningen måste då ske utanför beskattningsdatabasen och bestämmelserna i 1 kap. och 3 kap. SdbL ska tillämpas (prop. 2000/01:33 s. 200).
Exempel på behandlingar utanför beskattningsdatabasen är
Uppgifter som behandlas utanför beskattningsdatabasen får bara vara tillgängliga för ett fåtal namngivna personer. Det är inte tillräckligt att koppla tillgängligheten till en organisatorisk enhet eller till en viss arbetsuppgift. En uppgift anses inte vara gemensamt tillgänglig om den lagras elektroniskt på hårddisken i en dator eller på en server hos Skatteverket när en anställd arbetar med ordbehandling. Uppgiften är i sådana situationer vanligtvis tillgänglig bara för den anställda själv och exempelvis systemadministratören (prop. 2000/01:33 s. 89 f.).
Uppgiftssamlingen och det ändamål som den ska tjäna ska till sin karaktär även vara kortvariga.
När Skatteverket behandlar uppgifter utanför beskattningsdatabasen är det bestämmelserna i 1 kap. och 3 kap. SdbL som är tillämpliga. Dessutom ska de grundläggande dataskyddsbestämmelserna om grundläggande principer tillämpas. Uppgiftssamlingar utanför beskattningsdatabasen ska hanteras i enlighet med gällande bestämmelser om t.ex. gallring, registerutdrag, säkerhetsåtgärder och information om behandlingen.
En grundläggande förutsättning för att uppgifter ska få behandlas utanför beskattningsdatabasen är att uppgifterna behövs för de ändamål som anges i 1 kap. 4 och 5 §§ SdbL. Ändamålsbestämmelserna gäller all behandling av uppgifter som utförs i beskattningsverksamheten, alltså även när behandlingen sker utanför beskattningsdatabasen. Behandling utanför beskattningsdatabasen kan vara helt eller delvis automatiserad eller avse personuppgifter som ingår i, eller kommer att ingå i, ett register (1 kap. 1 § SdbL). När det gäller känsliga personuppgifter och uppgifter om lagöverträdelser är behandlingen särskild reglerad.
Skatteverket får bara behandla känsliga personuppgifter och uppgifter om lagöverträdelser utanför beskattningsdatabasen om någon av följande förutsättningar är uppfyllda (1 kap. 7 § SdbL):
Skatteverket kan med stöd av denna bestämmelse behandla uppgifter och handlingar i de ärenden om brottsanmälningar som Skatteverket gör med stöd av 17 § SkBrL.
Uppgifter om brottsanmälan får bara behandlas när det är nödvändigt för att handlägga ett ärende om brottsanmälan. Uppgifterna får alltså inte behandlas för urval eller kontroll.
Skatteverket får bara behandla personnummer utanför beskattningsdatabasen om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat viktigt skäl (3 kap. 10 § kompletterande dataskyddslag).
Regleringen i SdbL innebär inte någon begränsning av vilka ord som Skatteverket får använda som sökbegrepp vid sökning efter uppgifter eller handlingar utanför beskattningsdatabasen. Begränsningar följer dock av bestämmelsen i 3 kap. 3 § den kompletterande dataskyddslagen. Den anger att det är förbjudet att utföra sökningar med hjälp av känsliga personuppgifter i syfte att få fram ett urval av personer grundat på sådana uppgifter. Det är endast tillåtet att använda känsliga personuppgifter som sökord när syftet och ändamålet med sökningen är att t.ex. utöva tillsyn, ta fram verksamhetsstatistik eller för registervård (prop. 2017/18:105 s. 90 f).