OBS: Detta är utgåva 2023.8. Visa senaste utgåvan.

Skatteverket ansvarar för den behandling av personuppgifter som görs hos myndigheten. Skatteverket kan under vissa förutsättningar överlåta behandlingen av person­uppgifter åt ett person­uppgifts­biträde. Som personuppgiftsansvarigt ska Skatteverket bl.a. föra ett register över personuppgiftsbehandlingar som verket har ett personuppgiftsansvar för, genomföra konsekvensbedömningar samt, vid behov, samråda med Integritetsskyddsmyndigheten.

Nytt: 2023-02-07

I årsutgåva 2023 har information om brottsdatalagen och brottsdataförordningen flyttats till sidan Brottsdatalagen.

Skatteverkets personuppgiftsansvar

Personuppgiftsansvar är ett centralt begrepp i EU:s dataskyddsförordning. Utgångspunkten är att det alltid ska finnas någon som bär ansvaret för att dataskyddsreglerna följs vid behandling av personuppgifter och som den registrerade kan vända sig till för att göra sina rättigheter gällande.

Den som ensam eller tillsammans med andra bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till har ansvaret för behandlingen och är personuppgiftsansvarig (artikel 4.7 EU:s dataskyddsförordning). Skatteverket är personuppgiftsansvarigt för den personuppgiftsbehandling som görs inom Skatteverket. Ansvaret omfattar både personuppgiftsbehandling som förekommer vid Skatteverket och den behandling som personuppgiftsbiträden gör på Skatteverkets vägnar. Helhetsansvaret har betydelse för det skadeståndsrättsliga ansvaret och för eventuella sanktionsavgifter.

När en anställd hos Skatteverket behandlar personuppgifter för att utföra sina arbetsuppgifter, är det inte den anställda som är personuppgiftsansvarig för behandlingarna utan Skatteverket. En anställd ska behandla personuppgifter i enlighet med de instruktioner som Skatteverket ger.

Det är inte alltid enkelt att avgöra vem som är personuppgiftsansvarig för en behandling när EU:s dataskyddsförordning ska tillämpas. Detta eftersom det inte anges i EU:s dataskyddsförordning, den kompletterande dataskyddslagen eller förarbetena till lagen exakt hur en avgränsning av personuppgiftsansvaret ska göras.

Vissa särskilda registerförfattningar innehåller emellertid bestämmelser om att en utpekad myndighet ska vara personuppgiftsansvarig för den behandling av personuppgifter som registerförfattningen reglerar. I SdbL respektive FdbL anges uttryckligen att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket ska utföra (1 kap. 5 § FdbL och 1 kap. 6 § SdbL).

Det kan även finnas mer än en personuppgiftsansvarig för en behandling, t.ex. om flera myndigheter har en gemensam databas. De ansvariga myndigheterna ska i så fall reglera sina respektive förpliktelser i en skriftlig överenskommelse (artikel 26 i EU:s dataskyddsförordning). Den europeiska dataskyddsstyrelsen har gett ut vägledning i hur detta kan bestämmas.

Rättsfall: Omfattande personuppgiftsansvar vid e-tjänster (Försäkringskassan)

Rättsfallet visar att en myndighet som tillhandahåller elektroniska självbetjäningstjänster har ett långtgående ansvar för behandlingen av personuppgifter.

Försäkringskassan tillhandahöll elektroniska självbetjäningstjänster i form av anmälan av tillfällig föräldrapenning via sms och anmälan av sjukfall via en s.k. Infratjänst. I tjänsterna kunde enskilda personer lämna uppgifter genom elektroniska informationskanaler. Uppgifterna var tillgängliga för Försäkringskassan först när de nådde Försäkringskassans elektroniska mottagningsställen.

Domstolen ansåg att Försäkringskassan var ansvarig för hela behandlingen eftersom Försäkringskassan bestämde ändamålet för behandlingen (att anmäla olika typer av sjukfall) och medlen för behandlingen av personuppgifterna (anvisade kommunikations­vägar). Domstolen ansåg att de åtgärder som gjordes med personuppgifterna var led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Detta gällde trots att Försäkringskassan saknade möjlighet att påverka hur uppgifterna hanterades innan de blev tillgängliga för Försäkringskassan. Det gällde också oberoende av om någon eller några av åtgärderna skulle utgöra behandling av personuppgifter även hos någon annan (HFD 2012 ref. 21).

Vad personuppgiftsansvaret innefattar

Skatteverket ansvarar för att principerna om personuppgiftsbehandling följs (artikel 5.2 i EU:s dataskyddsförordning). Som personuppgiftsansvarig måste Skatteverket kunna visa att behandlingen av personuppgifter är författningsenlig och att den registrerades rättigheter skyddas genom att vidta lämpliga tekniska och organisatoriska åtgärder. Åtgärderna ska ses över och uppdateras vid behov (artikel 24 i EU:s dataskyddsförordning). Skatteverket måste kunna visa på vilket sätt man följer dem, t.ex. genom att

  • dokumentera de behandlingar av personuppgifter som Skatteverket ansvarar för
  • dokumentera de överväganden som Skatteverket har gjort inför en behandling
  • ha tydlig information till de registrerade
  • ha dokumenterade interna riktlinjer för dataskyddet

Register över behandlingar

Skatteverket är skyldigt att föra ett register över alla personuppgiftsbehandlingar som verket är personuppgiftsansvarigt för. Registret ska vara skriftligt, vara tillgängligt i elektroniskt format och hållas uppdaterat (artikel 30 i EU:s dataskyddsförordning). Registret ska innehålla:

  • namn och kontaktuppgifter för den personuppgiftsansvariga, den personuppgiftsansvarigas företrädare samt dataskyddsombudet
  • ändamålen med behandlingen
  • en beskrivning av kategorierna av registrerade och kategorierna av personuppgifter
  • de kategorier av mottagare som personuppgifterna har lämnats ut till eller ska lämnas ut till
  • i tillämpliga fall, överföringar av personuppgifter till ett tredje land eller en internationell organisation
  • om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter
  • om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Även personuppgiftsbiträden har en skyldighet att upprätta förteckningar (artikel 30.2 i EU:s dataskyddsförordning).

Konsekvensbedömning

Skatteverket måste alltid göra en konsekvensbedömning om en behandling av personuppgifter sannolikt skulle leda till hög risk för de registrerades fri- och rättigheter (artikel 35 EU:s dataskydds­förordning). En konsekvensbedömning kan öka förståelsen för integritetsrisker. Bedömningen kan också ge stöd vid val av säkerhetsåtgärder och tekniska lösningar. En konsekvensbedömning kan också vara nödvändig för behandling av personuppgifter i övriga fall även om det i formell mening inte krävs enligt lagen. Det kan exempelvis vara nödvändigt för att man ska kunna bedöma vilka säkerhets- och skyddsåtgärder som krävs. Dataskyddsförordningen förutsätter i allmänhet att den som ansvarar för behandlingen säkerställer att bestämmelserna följs med utgångspunkt i ett riskbaserat arbetssätt och är också ett sätt att visa de registrerade och Integritetsskyddsmyndigheten att Skatteverket följer EU:s dataskyddsförordning. En konsekvensbedömning ska inte vara en engångsföreteelse. Bedömningen bör omprövas och uppdateras löpande.

Personuppgiftsbiträden

Skatteverket kan under vissa förutsättningar överlåta behandlingen av personuppgifter till någon annan. Den som behandlingen överlåts till kallas personuppgiftsbiträde (artikel 4.8 EU:s dataskyddsförordning). Ett personuppgiftsbiträde finns alltid utanför Skatteverkets organisation, t.ex. ett externt företag. Den som är anställd hos Skatteverket är inte personuppgiftsbiträde.

Det är bara själva behandlingen av personuppgifterna som kan överlåtas till ett personuppgiftsbiträde, ansvaret för behandlingen kan inte överlåtas.

Exempel på personuppgiftsbiträde som Skatteverket anlitar är Statens servicecenter. Statens servicecenter behandlar personuppgifter om Skatteverkets anställda på uppdrag av Skatteverket.

När kan Skatteverket anlita ett personuppgiftsbiträde?

En förutsättning för att Skatteverket ska kunna anlita ett personuppgiftsbiträde är att sekretess inte hindrar att Skatteverket lämnar ut uppgifterna. En annan förutsättning är att Skatteverket har en rättslig grund för behandlingen av personuppgifterna. Skatteverket ska dokumentera sitt ställningstagande i dessa rättsliga frågor innan Skatteverket anlitar ett personuppgiftsbiträde för behandling av Skatteverkets personuppgifter.

Om Skatteverket anlitar ett personuppgiftsbiträde ska parterna skriva ett avtal om personuppgiftsbiträdets behandling av personuppgifter för Skatteverkets räkning, ett s.k. personuppgiftsbiträdesavtal (artikel 28.3 EU:s dataskyddsförordning).

Förhandssamråd

Vid en konsekvensbedömning ska Skatteverket bl.a. dokumentera vilka säkerhetsåtgärder som kommer att vidtas. Om det skulle visa sig att det finns en hög risk med personuppgiftsbehandlingen trots säkerhetsåtgärderna ska Skatteverket samråda med Integritetsskyddsmyndigheten innan verket påbörjar behandlingen. Ett sådant exempel är om riskerna inte kan begränsas tillräckligt genom de åtgärder som är rimliga med tanke på tillgänglig teknik och kostnader för att åtgärda riskerna. Av artikel 36.3 i EU:s dataskyddsförordning framgår vilka slags uppgifter Skatteverket ska lämna till Integritetsskyddsmyndigheten vid ett förhandssamråd.

Referenser på sidan

Domar & beslut

  • HFD 2012 ref. 21 [1]

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

Lagar & förordningar

  • Lag (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet [1]
  • Lag (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet [1]
  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1]