OBS: Detta är utgåva 2024.1. Visa senaste utgåvan.

All personuppgiftsbehandling som Skatteverket är personuppgiftsansvarigt för måste alltid uppfylla de grundläggande principerna i brottsdatalagen.

Principerna i brottsdatalagen

De grundläggande principerna måste vara uppfyllda när Skatteverket behandlar personuppgifter med stöd av brottsdatalagen. Principerna finns inte uttryckta i brottsdatalagen i någon motsvarande generell bestämmelse som i EU:s dataskyddsförordning. De grundläggande kraven på behandling av personuppgifter regleras i stället i sitt sammanhang i särskilda bestämmelser i brottsdatalagen (prop. 2017/18:232 sid. 141).

De grundläggande kraven korresponderar nästan helt med de grundläggande principerna i EU:s dataskyddsförordning. Eftersom insynsrätten för den enskilda inte är lika stark i den brottsbekämpande verksamheten har detta kompenserats för att säkerställa skyddet av den enskildas integritet. De grundläggande principerna är att

  • ändamålet ska vara särskilt och berättigat (ändamålsbegränsningar)
  • behandlingen ska vara författningsenlig och korrekt
  • uppgifterna ska vara korrekta
  • uppgifterna ska vara adekvata, relevanta och inte fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (uppgiftsminimering)
  • olika kategorier av uppgifter ska skiljas åt
  • känsliga personuppgifter ska användas restriktivt
  • uppgifterna inte får behandlas under längre tid än nödvändigt (lagringsminimering).

Ändamålsbegränsningar

Även om en viss behandling är rättsligt grundad innebär det inte att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt. Skatteverket måste också iaktta övriga krav som gäller för behandling av personuppgifter – att ändamålen ska vara särskilda och berättigade.

  • Särskilda ändamål innebär att de måste vara tillräckligt specificerade för att man ska kunna bedöma vilka uppgifter som är adekvata och relevanta för den aktuella behandlingen och för att man ska kunna avgöra att inte för många uppgifter behandlas. Man kan dock ange flera parallella ändamål för behandlingen. Ändamålen ska anges uttryckligen redan när personuppgifterna samlas in.
  • Berättigade ändamål innebär att de ska ha en koppling till den rättsliga grunden. Det betyder att myndighetens arbetsuppgift som medför ett behov av att behandla personuppgifter måste framgå av rättsordningen. Varje åtgärd som vidtas fortsättningsvis med insamlade uppgifter ska naturligtvis också uppfylla samtliga grundläggande krav.

Att det tydligt ska framgå för vilka ändamål personuppgifter behandlas är särskilt viktig i den del av den brottsbekämpande verksamheten där det långtifrån alltid framgår av omständigheterna för vilket ändamål uppgifter behandlas. Som exempel anges underrättelseverksamheten (prop. 2017/18: 232 s. 120-122).

Behandling för nya ändamål

Vid behandling för nya ändamål måste Skatteverket alltid avgöra om ändamålen med behandlingen av personuppgifter omfattas av brottsdatalagens tillämpningsområde, på samma sätt som första gången en uppgift behandlas.

Det måste därför finnas en rättslig grund för den nya behandlingen. Därefter måste Skatteverket pröva om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet innan behandlingen påbörjas. Kravet på proportionalitet innebär att skälen för att personuppgifterna behandlas för det nya ändamålet ska väga tyngre än det intrång som behandlingen innebär för den enskilda (2 kap. 4 § BDL).

När personuppgifter behandlas för andra ändamål än de som anges i brottsdatalagen eller av någon som inte är en behörig myndighet ska EU:s dataskyddsförordning tillämpas (2 kap. 22 § och 1 kap. 2 § BDL).

Behandlingen ska vara författningsenlig och korrekt

Personuppgifterna ska behandlas författningsenligt och korrekt (2 kap. 6 § BDL).

De grundläggande kraven på lagenlighet, saklighet och opartiskhet i offentlig verksamhet finns i regeringsformen. I brottsdatalagen har man dock använt uttrycket ”författningsenligt” för att markera att behandlingen ska stå i överensstämmelse inte bara med lag utan även med föreskrifter på lägre nivåer.

Kravet på att behandlingen ska vara korrekt innebär i det här sammanhanget att behandlingen inte bara formellt ska vara i enlighet med regleringen utan också spegla intentionerna med lagstiftningen (prop. 2017/18:232 s. 142-143).

Uppgifterna ska vara korrekta

De personuppgifter som behandlas ska vara korrekta (2 kap. 7 § BDL). En uppgift är korrekt om den stämmer överens med de verkliga förhållandena. För att bestämma vilka de verkliga förhållandena är som personuppgifterna ska spegla får Skatteverket utgå från ändamålen med behandlingen. I vissa fall är avsikten med behandlingen bara att registrera uppgifter som kommit in, t.ex. i en brottsanmälan. De behandlade personuppgifterna får då betraktas som korrekta om de stämmer överens med de inkomna uppgifterna, oavsett hur de förhåller sig till de verkliga förhållandena (jfr Öman och Lindblom 2011, Personuppgiftslagen – en kommentar s. 206).

Bedömningen av om en personuppgift är korrekt ska emellertid inte bara utgå från ändamålen för behandlingen. Eftersom uppgifter som förekommer i bl.a. brottsbekämpande verksamhet och vid annan behandling av uppgifter om lagöverträdelser har en särskild karaktär måste Skatteverket även ta hänsyn till vad uppgiften rör, när den lämnas och vem som lämnar den för att avgöra om en uppgift är korrekt.

Som exempel anges i förarbetena om en person anmäler en annan person för brott är uppgifterna i anmälan korrekta om de återspeglar vad anmälaren har uppgett. Det förhållandet att det senare hålls ett förhör där vissa uppgifter tas tillbaka eller ändras innebär inte att de först nedtecknade uppgifterna i anmälan är felaktiga. Och om personen sedan vid en rättegång lämnar nya uppgifter eller ändrar tidigare påståenden, så återspeglar ändå uppgifterna från förhöret vad som sades vid det tillfället och är därigenom korrekta.

För att kunna avgöra om uppgifterna är korrekta är det också av stor betydelse att veta om de grundar sig på fakta eller på personliga bedömningar. De behandlade uppgifterna behöver bara vara uppdaterade om det är nödvändigt. Frågan om det är nödvändigt att uppgifterna är uppdaterade får avgöras med hänsyn till ändamålen med behandlingen (jfr Öman och Lindblom 2011, Personuppgiftslagen – en kommentar s. 206). Exempelvis kan adressuppgifter ändras under handläggningen av ett ärende och därmed behöva uppdateras. Men när ärendet har avslutats är det inte nödvändigt att uppdatera en adressuppgift (prop. 2017/18:232 s. 143-144).

Särskilt om uppgifter om en persons utseende

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt och med respekt för människovärdet. Bestämmelsen har placerats tillsammans med reglerna om personuppgifters kvalitet för att tydliggöra att uppgifter om utseende inte i sig ska ses som känsliga personuppgifter. Ett signalement kan dock innehålla uppgifter där man kan utläsa uppgifter om t.ex. hälsa eller etniskt ursprung. Sådana uppgifter ska hanteras enligt reglerna om känsliga personuppgifter (prop. 2017/18:232 s. 144).

Uppgifterna ska vara adekvata och relevanta (uppgiftsminimering)

Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen (2 kap. 8 § BDL). Det betyder att Skatteverket inte får behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, och inte heller behandla ovidkommande uppgifter.

Vilka uppgifter som är adekvata och relevanta ska bedömas i förhållande till ändamålen med behandlingen. Detsamma gäller hur många personuppgifter det finns behov av att behandla. Det får betydelse för hur s.k. överskottsinformation ska hanteras, alltså uppgifter som samlas in och som visar sig inte vara adekvata eller relevanta för det bestämda ändamålet (prop. 2017/18:232 s. 144-145).

Prövningen av om en personuppgift är nödvändig för en viss behandling måste göras kontinuerligt av Skatteverket och inte bara när uppgiften registreras eller på annat sätt samlas in i verksamheten. Det innebär exempelvis att även om uppgiften om en persons namn måste behandlas vid handläggningen av ett ärende där personen är part eller annars direkt berörd, är det inte säkert att namnuppgiften behöver behandlas i ett senare skede, t.ex. vid verksamhetsuppföljning. Det ska alltså vid all behandling prövas om det går att avstå från att använda uppgifter som direkt går att hänföra till en viss person. Möjligheten till avidentifiering ska därför användas i så stor utsträckning som möjligt (prop. 2017/18:232 s. 158-159).

Åtskillnad mellan olika slag av personuppgifter

Olika kategorier av personuppgifter ska så långt möjligt skiljas åt, och personuppgifter som grundar sig på fakta ska så långt möjligt särskiljas från personuppgifter som grundar sig på personliga bedömningar (2 kap. 9-10 §§ BDL).

Syftet med bestämmelserna är att säkerställa att den som söker eller får del av information också får veta varför uppgifter om en viss person behandlas av Skatteverket. Inom brottsdatalagens tillämpningsområde är det särskilt viktigt att det framgår om en uppgift rör en icke misstänkt person och hur tillförlitlig en underrättelseuppgift bedöms vara. Ofta framgår det redan av sammanhanget där personuppgifterna behandlas, men om en uppgift tas ur sitt sammanhang för att behandlas för ett nytt ändamål blir informationen viktig. Ju längre ett brottmålsförfarande fortskrider, desto tydligare blir det vilken roll olika personer har och varför deras personuppgifter behandlas. Det är framför allt i det inledande skedet av en förundersökning och i underrättelseverksamhet som det kan vara otydligt vilken roll en person har och varför uppgifter om personen behandlas av Skatteverket.

Kravet på att ange särskilda upplysningar för kategorier av personuppgifter och om de grundar sig på fakta eller personliga bedömningar väcker frågan om Skatteverket blir skyldigt att förse alla äldre personuppgifter som saknar sådana upplysningar med det. Regeringen har emellertid ansett att det inte kan krävas av myndigheterna att de går igenom alla äldre personuppgifter för att kontrollera om det finns särskilda upplysningar (prop. 2017/18:232 s. 145-147).

Känsliga uppgifter ska användas restriktivt

Känsliga personuppgifter ska användas restriktivt och en bedömning av om kravet är uppfyllt ska göras i det enskilda fallet. Den närmare innebörden av uttrycket kan dock variera mellan olika myndigheter, eftersom deras verksamheter och behov av att behandla känsliga personuppgifter skiljer sig åt. Om Skatteverket får behandla känsliga personuppgifter och i så fall vilka uppgifter framgår av Skatteverkets brottsdatalag som gäller för Skatteverkets brottsbekämpande verksamhet.

Även genetiska och biometriska uppgifter räknas som känsliga personuppgifter i brottsdatalagen. Skatteverket har dock inte behov av och får inte behandla genetiska och biometriska uppgifter (prop. 2017/18:269 s. 200).

Uppgifterna får inte behandlas under längre tid än nödvändigt (lagringsminimering)

Huvudregeln är att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (2 kap. 17 § BDL).

I brottsdatalagen använder man begreppet längsta tid för behandling i stället för begreppen bevarande och gallring för att skilja det från vad som gäller på arkivlagstiftningens område. Brottsdatalagen utgår alltså från hur länge personuppgifter får behandlas för ändamål inom lagens tillämpningsområde.

Huvudregeln i brottsdatalagen är att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. I 4 kap. BDL finns det särskilda bestämmelser om längsta tid som personuppgifter får behandlas för Skatteverket, ”gallring” enligt registerlagstiftningen görs för att skydda den enskildas integritet. De personuppgifter som Skatteverket behandlar ingår i mycket stor utsträckning i upptagningar som är eller kommer att bli allmänna handlingar. Principen om bestämmelser om längsta tid för behandling hindrar inte att Skatteverket arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter används därför begreppen bevarande och gallring bara i den betydelse de har i arkivlagstiftningen.

Referenser på sidan

Lagar & förordningar

Propositioner

  • Proposition 2017/18:232 Brottsdatalag [1] [2] [3] [4] [5] [6] [7] [8]
  • Proposition 2017/18:269 Brottsdatalag – kompletterande lagstiftning [1]

Övrigt

  • Öman och Lindblom 2011, Personuppgiftslagen – en kommentar [1] [2]