OBS: Detta är utgåva 2024.3. Visa senaste utgåvan.

Skatteverket behandlar många personuppgifter och andra uppgifter i beskattningsverksamheten. För behandling av uppgifter i beskattnings­verksamheten gäller de särskilda dataskydds­bestämmelserna i SdbL, SdbF och de allmänna dataskyddsbestämmelserna.

Dessutom finns det bestämmelser om sekretess för uppgifter i beskattningsverksamheten.

Behandling i beskattningsverksamheten

Vad som kan anses vara behandling av uppgifter i beskattningsverksamheten är generellt all behandling som sker med utgångspunkt i den materiella skatteregleringen, exempelvis behandling som har sin grund i skatteförfarandelagen, inkomstskattelagen eller mervärdeskattelagen. Ett annat exempel på behandling som sker i beskattnings­verksamheten ur ett dataskyddsperspektiv är behandling som grundar sig i lagen (2009:194) om förfarandet vid skattereduktion för hushållsarbete.

Då ska SdbL tillämpas

SdbL är tillämplig vid

  • behandling av personuppgifter i Skatteverkets beskattningsverksamhet
  • handläggning enligt BorgL
  • handläggning enligt lagen (2013:948) om stöd vid korttidsarbete
  • handläggning enligt lagen (1991:1047) om sjuklön
  • handläggning enligt lagen om (2020:548) om omställningsstöd, och
  • handläggning enligt lagen (2023:230) om förfarande för elstöd till företag.

När behandlingen sker i dessa sammanhang ska SdbL tillämpas. SdbL ska tillämpas om uppgifterna behandlas helt eller delvis automatiserat. SdbL ska även tillämpas om uppgifterna ingår i – eller kommer att ingå i – en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier, d.v.s. ett register, trots att samlingen inte är helt eller delvis automatiserad (1 kap. 1 § första stycket SdbL).

Andra tillämpliga bestämmelser

När behandlingen sker i beskattningsverksamheten ska EU:s dataskyddsförordning tillämpas eftersom SdbL kompletterar förordningen (1 kap. 2 § SdbL).

De bestämmelser i EU:s dataskyddsförordning som ska tillämpas i beskattningsverksamheten är

  • definitioner (artikel 4)
  • principer för behandling av personuppgifter (artikel 5)
  • laglig behandling av personuppgifter (artikel 6)
  • den registrerades rättigheter (artikel 12–15)
  • rättelse, radering, begränsning av behandling m.m. (artikel 16–19)
  • hinder mot automatiserat beslutsfattande som inbegriper profilering (artikel 22)
  • personuppgiftsansvarigas ansvar (artikel 24–25, 30–31)
  • säkerhet för personuppgifter (artikel 32–34).

Även bestämmelser i den kompletterande dataskyddslagen och den kompletterande dataskyddsförordningen ska tillämpas om inte annat anges i SdbL eller föreskrifter som meddelats i anslutning till den lagen (1 kap. 3 § SdbL). Det innebär att regleringen i SdbL och SdbF har företräde framför regleringen i den kompletterande dataskyddslagen och den kompletterande dataskyddsförordningen.

De bestämmelser i den kompletterande dataskyddslagen som ska tillämpas när behandlingen sker i beskattningsverksamheten är

Personuppgiftsansvarig för behandlingen

Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som Skatteverket utför enligt SdbL (1 kap. 6 § SdbL).

Revisioner är en del av Skatteverkets beskattningsverksamhet. När uppgifter behandlas elektroniskt i samband med revisionerna är bestämmelserna om behandling av uppgifter i Skatteverkets beskattningsverksamhet tillämpliga. Skatteverket är personuppgiftsansvarigt för behandlingen. Detta gäller oavsett om behandlingen görs med Skatteverkets eller den skattskyldigas tekniska utrustning eller program (prop. 2000/01:33 s. 137).

Uppgifter om juridiska personer och avlidna

En personuppgift är varje uppgift som avser en identifierad eller identifierbar fysisk person i livet (artikel 4.1 EU:s dataskyddsförordning). Uppgifter om juridiska personer och avlidna är därför per definition inte personuppgifter. Vissa bestämmelser i SdbL gäller trots det även för behandlingen av uppgifter om juridiska personer och avlidna i beskattningsverksamheten. Det gäller bestämmelserna om ändamål för behandlingen, personuppgiftsansvar och gallring. Skatteverket ska även tillämpa bestämmelserna i 2 kap. SdbL om beskattningsdatabasen när behandlingen avser uppgifter om juridiska personer och avlidna. Med juridiska personer menas även handelsbolag (1 kap. 1 § andra stycket SdbL).

Administrativa uppgifter

Vid behandling av personuppgifter för administrativa ändamål i beskattningsverksamheten ska Skatteverket inte tillämpa SdbL utan de allmänna dataskyddsbestämmelserna. Administrativa uppgifter kan exempelvis vara uppgift om

  • vilken enhet ett visst ärende tillhör,
  • vem som handlägger ett ärende eller
  • uppgifter om vilka specialkunskaper en handläggare besitter.

Uppgifter som behandlas för administrativa ändamål är alltså sådana uppgifter som hänför sig till Skatteverkets interna verksamhet och inte till den enskilda som är föremål för Skatteverkets åtgärder.

Skatteverket får behandla de administrativa uppgifterna tillsammans med andra uppgifter i beskattningsdatabasen så länge detta är förenligt med ändamålen för behandling av uppgifter i beskattningsdatabasen. Det innebär att även om uppgifterna är av administrativ karaktär så måste de ändå vara nödvändiga för den verksamhet som bedrivs. Uppgifter som behandlas för rent administrativa ändamål och som inte har någon koppling till ändamålen för beskattningsverksamheten, får alltså inte behandlas i beskattningsdatabasen.

Referenser på sidan

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1]

Lagar & förordningar

  • Lag (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet [1] [2] [3] [4] [5]
  • Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning [1] [2] [3] [4] [5] [6]

Propositioner

  • Proposition 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution [1]