När Skatteverket behandlar personuppgifter i folkbokföringsverksamheten måste verket följa principerna i EU:s dataskyddsförordning om bland annat laglighet, ändamålsbegränsning och säkerhet. De vanligaste rättsliga grunderna i folkbokföringsverksamheten är allmänt intresse och myndighetsutövning samt rättslig förpliktelse.
Dessutom finns det bestämmelser om sekretess för uppgifter i folkbokföringsverksamheten.
När Skatteverket behandlar personuppgifter inom folkbokföringsverksamheten ska artikel 5 i EU:s dataskyddsförordning om principer för behandling av personuppgifter tillämpas. Dessa principer är
Skatteverket måste alltid ha minst en rättslig grund för varje behandling av personuppgifter i folkbokföringsverksamheten, annars är behandlingen inte laglig och därmed inte tillåten (artikel 6 i EU:s dataskyddsförordning). I folkbokföringsverksamheten är de rättsliga grunderna vanligtvis allmänt intresse, myndighetsutövning och rättslig förpliktelse. Dessa rättsliga grunder, som anges i artikel 6, ska fastställas i enlighet med antingen unionsrätten eller svensk rätt. Det innebär att rättsliga förpliktelser, uppgifter av allmänt intresse och myndighetsutövning måste vara rättsligt förankrade i unionsrätten eller svensk rätt. Kraven kan jämföras med regleringen i 5 § FL om att myndigheter endast får vidta åtgärder som har stöd i rättsordningen.
I folkbokföringsverksamheten är folkbokföringslagen, föräldrabalken, äktenskapsbalken och lagen om personnamn exempel på nationella författningar varigenom den rättsliga grunden fastställs. Genom bestämmelser i de lagarna ges Skatteverket en skyldighet att vidta åtgärder som innefattar behandling av personuppgifter. Regleringen bildar då behandlingens rättsliga grund. En registerlag, t.ex. FdbL, utgör normalt inte i sig själv en rättslig grund för behandling av personuppgifter i folkbokföringsverksamhetens kärnverksamhet.
Kärnverksamheten för folkbokföringsverksamheten är att föra och tillhandahålla uppdaterade uppgifter i folkbokföringsdatabasen till andra myndigheter och till samhället i stort. Skatteverket får bara behandla insamlade uppgifter i folkbokföringsverksamheten för särskilda, i förväg uttryckligt bestämda och berättigade ändamål. FdbL räknar upp för vilka ändamål Skatteverket får behandla uppgifter i folkbokföringsverksamheten (1 kap. 4 § FdbL). Dessa ändamål anger den yttersta ramen för när personuppgifterna får behandlas. De angivna ändamålen gäller för behandling av uppgifter både i och utanför folkbokföringsdatabasen. Bestämmelserna om ändamål gäller även vid behandling av uppgifter om avlidna (1 kap. 1 § tredje stycket FdbL).
Skatteverket får behandla personuppgifter för att tillhandahålla information som behövs för följande ändamål (1 kap. 4 § första stycket FdbL):
Uppgifter som Skatteverket behandlar för något av de primära ändamålen får även behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning (1 kap. 4 § andra stycket första meningen FdbL). Uppgifter får behandlas för att tillhandahålla information inte bara i de fall det finns en skyldighet att lämna ut uppgifter, utan även i andra fall då det finns en bestämmelse i lag eller förordning som tillåter uppgiftsutlämnande (prop. 2017/18:95 s. 107). Ändamålet för behandlingen är därmed tillåtet, men utlämnandet måste även basera sig på en bestämmelse i lag eller förordning som då kommer att utgöra den rättsliga grunden, t.ex. ett utlämnande enligt 6 kap. 5 § OSL eller offentlighetsprincipen (2 kap. TF).
Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna från början samlades in (1 kap. 4 § andra stycket sista meningen FdbL). Detta brukar kallas finalitetsprincipen och innebär att uppgifter som har samlats in för ett ändamål senare får användas för ett annat ändamål så länge det är förenligt med det ursprungliga ändamålet. Vad som är ett förenligt ändamål får bedömas från fall till fall. Vid den prövningen bör man utgå från vad en registrerad person rimligen kan förvänta sig för ny behandling mot bakgrund av det ursprungliga ändamålet.
I EU:s dataskyddsförordning benämns finalitetsprincipen som ändamålsbegränsning.
Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 EU:s dataskyddsförordning ska inte anses vara oförenlig med insamlingsändamålen (prop. 2017/18:95 s. 54 f.).
När Skatteverket behandlar uppgifter i folkbokföringsverksamheten måste myndigheten säkerställa att det finns en lämplig nivå på säkerheten, både tekniskt och organisatoriskt.