OBS: Detta är utgåva 2024.1. Visa senaste utgåvan.

En del av personuppgiftsskyddet är enskildas rätt att få veta hur Skatteverket behandlar deras personuppgifter, rätten att begära rättelse, radering och begränsning av behandling. De har även rätt att klaga och överklaga. Detta är en förutsättning för att enskilda ska kunna kontrollera behandlingen och tillvarata sina intressen. Information som lämnas ska i princip alltid vara lättillgänglig och lättbegriplig samt lämnas i lämplig form.

Rätten till information

Normalt får Skatteverket inte behandla personuppgifter elektroniskt utan att den registrerade, d.v.s. den som uppgifterna rör, känner till varför behandlingen sker och vem som är personuppgiftsansvarig för behandlingen. Brottsdatalagen reglerar i vilka situationer som information om den behandling myndigheten utför ska lämnas till den registrerade. Men det finns ett flertal undantag när informationen inte behöver lämnas.

Skatteverkets skyldighet att ge allmän information

Skatteverket ska göra allmän information tillgänglig om vilken personuppgiftsbehandling som sker på myndigheten, den kan till exempel finnas på verkets hemsida (4 kap. 1 § BDL). Denna information riktar sig till allmänheten eller en större krets personer och avser allmän information om:

  • den personuppgiftsansvarigas identitet och kontaktuppgifter
  • dataskyddsombudets kontaktuppgifter
  • kategorier av ändamål för behandlingen
  • rätten att få information om behandling av hens uppgifter
  • rätten att få uppgifter rättade, raderade eller behandlingen begränsad
  • möjligheten att lämna in klagomål till tillsynsmyndigheten och kontaktuppgifter till myndigheten.

Personrelaterad information

För Skatteverkets brottsbekämpande verksamhet gäller en skyldighet att lämna personrelaterad information i ett enskilt fall till den registrerade om det behövs för att denne ska kunna ta tillvara sina rättigheter (4 kap. 2 § BDL). Det kan avse fall där den registrerade riskerar att lida rättsförlust eller att det av annat skäl är viktigt för denne att känna till behandlingen. Normalt sett handlar det om behandlingar som föranleder skadeståndsanspråk, allvarlig kritik eller ingripande från tillsynsmyndigheten.

Information på begäran av den registrerade (s.k. registerutdrag)

Om en person vill veta om Skatteverket behandlar personuppgifter om denna ska Skatteverket lämna besked om Skatteverket behandlar personuppgifter som rör den sökande eller inte (4 kap. 3 § första stycket BDL).

Informationen ska lämnas inom en månad från det begäran gjordes. Inom denna tid ska Skatteverket även ta ställning till om det finns något undantag från informationsskyldigheten, t.ex. om sekretess hindrar att vissa uppgifter lämnas ut.

Vilken information ska registerutdraget innehålla?

Om den enskilda begär att få veta vilka personuppgifter som Skatteverket behandlar som rör den enskilde själv ska Skatteverket lämna besked om följande:

  • Vilka uppgifter om den sökande som Skatteverket behandlar, t.ex. namn, adress, personnummer och diarienummer.
  • Var Skatteverket har hämtat uppgifterna.

  • Den rättsliga grunden för behandlingen.
  • Ändamålet med behandlingen, d.v.s. varför Skatteverket behandlar uppgifterna och hur uppgifterna ska användas.
  • Vilka mottagare Skatteverket har lämnat ut uppgifterna till eller kan komma att lämna ut uppgifterna till. Det är tillräckligt att ange kategorier av mottagare eller allmän information, t.ex. ”personuppgiftsbiträde” eller ”den som köper uppgifterna”. Med mottagare avses inte anställda inom Skatteverket.
  • Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras, eller om detta inte är möjligt, de kriterier som används för att fastställa denna period.
  • Förekomsten av rätten att av Skatteverket begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade.
  • Rätten att klaga till Integritetsskyddsmyndigheten.

Undantag från informationsskyldigheten

I vissa situationer behöver Skatteverket inte lämna information till den registrerade personen.

Information som den registrerade redan känner till

Skatteverket behöver inte lämna ut personuppgifter som den registrerade personen redan känner till (4 kap. 3 § andra stycket BDL). Har den registrerade personen redan fått information om behandlingen i enlighet med någon annan lagstiftning behöver Skatteverket inte lämna information.

Den registrerade har emellertid rätt att få del även av sådana uppgifter om han eller hon begär det.

Sekretessbelagd information

Skatteverket ska inte lämna information till den registrerade personen om det finns bestämmelser i lag eller annan författning om att uppgifterna inte får lämnas ut till den registrerade, t.ex. bestämmelser om sekretess i OSL.

Detta undantag från den registrerade personens rätt att få information om behandling av personuppgifter är i många fall nödvändigt för att myndigheter ska kunna utföra sina arbetsuppgifter på ett ändamålsenligt sätt.

Skyldigheten att lämna personrelaterad information gäller inte om uppgifterna inte får lämnas ut med hänsyn till vissa intressen. Det ska i så fall vara särskilt föreskrivet i en lag eller annan författning eller framgå av ett beslut som har meddelats med stöd av en författning (4 kap. 5 § BDL). Det gäller följande intressen

  • att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet
  • att andra rättsliga utredningar eller undersökningar inte hindras
  • att nationell säkerhet skyddas
  • att någon annans rättigheter och friheter skyddas.

Bestämmelser till skydd för dessa intressen finns i OSL och i vissa andra författningar. När Skatteverkets brottsbekämpande verksamhet begränsar informationen på någon av dessa grunder, är verket inte heller skyldigt att lämna ut skälen för beslut att begränsa informationen eller skälen för beslut i fråga om rättelse, radering eller begränsning av behandlingen.

Personuppgifter som inte omfattas av informationsskyldigheten

Skatteverket behöver inte lämna information om följande (4 kap. 6 § första stycket BDL):

  • personuppgifter som finns i löpande text som vid tiden för begäran inte fått sin slutgiltiga form, t.ex. uppgifter i ett utkast till beslut
  • personuppgifter som finns i minnesanteckningar eller liknande, t.ex. uppgifter i en föredragningspromemoria.

I följande fall ska dock Skatteverket ändå lämna ut ovanstående uppgifter (4 kap. 6 § andra stycket BDL):

  • om personuppgifterna lämnats ut till tredje man med undantag för myndighet som utövar tillsyn, kontroll eller revision
  • om personuppgifterna enbart behandlas för vetenskapliga, statistiska eller historiska ändamål
  • om personuppgifterna har behandlats under längre tid än ett år i löpande text som inte har fått sin slutliga utformning.

Om begäran om information är orimlig eller uppenbart ogrundad

Skatteverket får avslå en begäran om information om behandling av personuppgifter om den är orimlig eller uppenbart ogrundad (4 kap. 7 § BDL). En begäran kan vara orimlig om den upprepas ofta eller om den är så oprecis att den i praktiken blir omöjlig att besvara, t.ex. om det rör en större myndighets hela verksamhet. En begäran kan vara uppenbart ogrundad t.ex. om sökanden missbrukar sin rätt till information genom att exempelvis lämna felaktiga eller missvisande uppgifter i sin begäran. Det är Skatteverket som har bevisbördan för att begäran är orimlig eller uppenbart ogrundad. I vissa fall får Skatteverket enligt 4 kap. 12 § BDL ta ut en avgift istället för att avslå en ansökan. (prop. 2017/18:232 s.470)

Hur ska Skatteverket lämna information till den registrerade?

Information på begäran av den registrerade ska ges i skriftlig form (4 kap. 3 § första stycket BDL). Om det är lämpligt får informationen lämnas elektroniskt. Om den registrerade begär det får informationen lämnas muntligen, förutsatt att den registrerades identitet är säkerställd. Informationen ska vara lättillgänglig och lättbegriplig (4 kap. 1 § BDF).

Förkortningar och koder som Skatteverket använder ska förklaras.

Det är viktigt att Skatteverket sänder informationen till rätt mottagare. Informationen bör därför skickas till den registrerade personens folkbokföringsadress. Innehåller informationen känsliga uppgifter bör försändelsen skickas rekommenderat.

Informationen ska vara kostnadsfri

Den registrerade ska få informationen utan avgift en gång per år. Om någon begära information eller uppgifter enligt 3 § mer än en gång per år får Skatteverket ta ut en rimlig avgift eller avslå begäran enligt 7 § första stycket (4 kap. 12 § BDL).

Skillnaden mellan rätten till information enligt TF och rätten till information enligt dataskyddsregleringen

Det är viktigt att hålla isär reglerna om rätt till tillgång till allmänna handlingar och rätt till information om personuppgiftsbehandling.

Rätten till rättelse

Skatteverket ska på den registrerade personens begäran rätta eller komplettera personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen (4 kap. 9 § BDL).

I sammanhanget ska det även uppmärksammas att Skatteverket har en skyldighet att iaktta kravet på korrekthet för de personuppgifter som myndigheten behandlar. Kravet på att uppgifter ska vara korrekta innebär att Skatteverket ska rätta felaktiga uppgifter på eget initiativ när dessa upptäcks (2 kap. 7 § BDL).

Rätten till radering (”rätten att bli bortglömd”)

Den registrerade har i vissa fall rätt till radering av personuppgifter (4 kap. 10 § BDL). Den registrerades begäran om radering omfattar även uppgifter som finns i säkerhetskopior eller liknande datamedium. Detsamma gäller om det krävs radering för att Skatteverket ska utföra en rättslig förpliktelse (exempelvis verkställighet av domstolsbeslut eller föreläggande från tillsynsmyndighet). En radering innebär med andra ord att personuppgifter förstörs eller utplånas på ett sätt som gör att de inte går att återskapa.

Rätten till begränsning av behandling

Om Skatteverket inte kan fastställa att personuppgifterna är korrekta och därmed ska rättas eller förutsättningarna för att radera personuppgifter är uppfyllda, men uppgifterna behöver finnas kvar av bevisskäl, ska behandlingen av uppgifterna i stället begränsas utan onödigt dröjsmål (4 kap. 9–10 §§ BDL).

Det är Skatteverkets brottsbekämpande verksamhet som avgör vilken åtgärd som ska vidtas med anledning av en begäran om rättelse, radering eller begränsning av behandlingen (4 kap. 11 § BDL).

Underrättelseskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling

Skatteverket ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller kompletteringar och om radering av personuppgifter eller begränsningar av behandling som har skett på den registrerades begäran.

Skatteverket ska även underrätta den myndighet från vilken personuppgifter kommer om beslut att rätta eller komplettera uppgifter (4 kap. 8 § BDF).

Automatiserade beslut

För Skatteverkets brottsbekämpande verksamhet gäller att den som berörs av ett beslut som grundas på automatiserad behandling av personuppgifter har rätt att få beslutet prövat på nytt av någon fysisk person. Det är förbjudet att fatta automatiserade beslut enbart grundat på känsliga personuppgifter (2 kap. 19 § och 4 kap. 4 §§ BDL).

Rätten att begära kontroll av och klaga till Integritetsskyddsmyndigheten

En registrerad person har rätt att begära att Integritetsskyddsmyndigheten kontrollerar att Skatteverkets brottsbekämpande verksamhet behandlar dennes personuppgifter författningsenligt (4 kap. 8 § BDL och 5 kap. 3 § BDL).

Om Skatteverkets brottsbekämpande verksamhet fattar ett beslut att begränsa rätten till information vid en begäran om registerutdrag ska den sökande informeras om möjligheterna att lämna in klagomål till Integritetsskyddsmyndigheten och begära kontroll (4 kap. 4 § BDF och 5 kap. 3 § BDL).

Om Skatteverkets brottsbekämpande verksamhet fattar beslut om rättelse, radering eller begränsning av behandling ska den sökande också underrättas om möjligheten att lämna in klagomål till Integritetsskyddsmyndigheten och begära kontroll (4 kap. 9 och 10 §§ BDL, 5 kap. 3 § BDL samt 4 kap. 6 § BDF).

Rätten att klaga till Integritetsskyddsmyndigheten gäller parallellt med rätten att lämna in en begäran till Skatteverket och rätten att överklaga ett beslut från Skatteverket som går den registrerade emot.

Skadestånd – den registrerades rätt till ersättning

Om den registrerades rättigheter inte tillgodoses av Skatteverket kan den registrerade kräva skadestånd för den uppkomna skadan.

Att handlägga en begäran enligt brottsdatalagen

En registrerad persons begäran om information om behandling, rättelse, radering och begränsning av behandling ska göras skriftligen hos Skatteverket. Skatteverket ska även säkerställa att en begäran görs av en behörig person (4 kap. 2 § BDF).

För Skatteverkets brottsbekämpande verksamhet finns bestämmelser som anger att myndigheten utan onödigt dröjsmål ska informera den registrerade skriftligen om uppföljningen av dennas begäran. Vidare framgår det av bestämmelserna som reglerar rättigheterna att åtgärderna ska ske utan dröjsmål (4 kap. 9-10 §§ BDL och 4 kap. 4 och 6 §§ BDF).

En begäran ska i övrigt handläggas som ett förvaltningsärende enligt förvaltningslagen (2017:900).

Handläggningen av en begäran avslutas med att Skatteverket fattar ett beslut. Det gäller även om Skatteverket avslår en begäran.

Ett beslut som går den registrerade personen emot kan överklagas.

Referenser på sidan

Lagar & förordningar

Propositioner

  • Proposition 2017/18:232 Brottsdatalag [1]