OBS: Detta är utgåva 2024.3. Visa senaste utgåvan.

När Skatteverket lämnar ut personuppgifter som behandlas i beskattningsverksamheten innebär det en behandling av uppgifterna. Behandlingen måste vara tillåten enligt de allmänna dataskyddsbestämmelserna, SdbL och andra författningar. Utlämnandet måste även vara tillåtet enligt sekretessbestämmelserna för beskattningsverksamheten.

Olika sätt att lämna ut personuppgifter

Skatteverket kan lämna ut personuppgifter

  • muntligt
  • skriftligt på papper
  • på medium för automatiserad behandling eller genom direktåtkomst.

Förutsättningar för att lämna ut personuppgifter som behandlas enligt SdbL

Skatteverket får bara lämna ut personuppgifter som behandlas i beskattningsverksamheten om följande förutsättningar är uppfyllda:

  • Det finns rättsligt stöd för den behandling av personuppgifterna som utlämnandet innebär.
  • Utlämnandet hindras inte av sekretess.
  • Utlämnandet kan ske på ett säkert sätt om det görs elektroniskt.

Det ska finnas rättsligt stöd för att lämna ut personuppgifter

Alla utlämnanden av personuppgifter ska ha en rättslig grund. Om en rättslig grund saknas är behandlingen som utlämnandet innebär inte tillåten.

Förutom en rättslig grund ska all behandling av personuppgifter ha ett särskilt, uttryckligt angivet och berättigat ändamål. I SdbL står det för vilka ändamål Skatteverket får behandla uppgifter i beskattnings­verksamheten. Att lämna ut uppgifter till personer som direkt eller indirekt berörs av ett ärende, t.ex. skattskyldiga, arbetsgivare och borgenärer, omfattas av de primära ändamålen i 1 kap. 4 § SdbL (prop. 2000/01:33 s. 99). Att lämna ut uppgifter i enlighet med en uppgiftsskyldighet som finns i en lag eller förordning omfattas av de sekundära ändamålen (jfr 1 kap. 5 och 5 a §§ SdbL).

Exempel på sådan uppgiftsskyldighet finns i lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet och uppgiftsskyldighet enligt 7 och 9 §§ lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.

Skatteverket får behandla uppgifter för att lämna ut dem i enlighet med offentlighetsprincipen (2 kap. TF). Ett utlämnande enligt TF anses inte oförenligt med det ursprungliga ändamålet med behandlingen. Enligt artikel 86 EU:s dataskyddsförordning och 1 kap. 7 § den kompletterande dataskyddslagen hindrar inte dataskydds­regleringen ett utlämnande enligt TF.

Förutom en rättslig grund och ett särskilt, uttryckligt angivet och berättigat ändamål ska även övriga grundläggande principer vid behandling av personuppgifter vara uppfyllda.

Sekretess får inte hindra utlämnandet

För att Skatteverket ska kunna lämna ut uppgifter eller handlingar krävs det, förutom ett rättsligt stöd för behandlingen, att sekretess inte hindrar ett utlämnande. En sekretessprövning måste därför alltid ske innan handlingar eller uppgifter lämnas ut.

SdbL reglerar om ett utlämnande av uppgifter från beskattningsverksamheten får ske elektroniskt. Man kan säga att SdbL reglerar hur utlämnandet får ske. Bestämmelser om att ett utlämnande får ske elektroniskt är dock inte sekretessbrytande bestämmelser och därför måste alltid en sekretessprövning göras i det enskilda fallet innan uppgifter lämnas ut. Om det råder sekretess för uppgifterna måste det finnas en sekretessbrytande bestämmelse som möjliggör utlämnandet. Det gäller oavsett om uppgifterna lämnas ut till en enskild, en myndighet eller självständig verksamhetsgren inom Skatteverket. Det finns flera bestämmelser i SdbF som innebär att Skatteverket ska lämna ut uppgifter i vissa fall, både till andra myndigheter, andra verksamhetsgrenar inom Skatteverket och enskilda. Bestämmelser som innebär att uppgifter ska lämnas ut är sekretessbrytande.

Utlämnandet ska kunna göras på ett säkert sätt

Om utlämnandet ska ske elektroniskt krävs det, förutom ett rättsligt stöd för den behandlingen och att sekretess inte hindrar att personuppgifterna lämnas ut, att utlämnandet kan ske på ett säkert sätt. Eftersom utlämnandet av personuppgifter är en behandling i sig, så måste det uppfylla säkerhetskraven i EU:s dataskyddsförordning.

Kraven om säkerhet enligt EU:s dataskyddsförordning gäller bara för personuppgifter. Kraven gäller alltså inte för uppgifter om juridiska personer och avlidna. Dessa uppgifter omfattas istället av annan reglering av säkerhet för information, exempelvis säkerhetsskyddslagen (2018:585) och säkerhetsskydds­förordningen (2018:658) samt MSB:s föreskrifter 2020:6 om informationssäkerhet för statliga myndigheter.

Lämna ut uppgifter från beskattningsdatabasen i elektroniskt form

Personuppgifter kan lämnas ut i elektronisk form om förutsättningarna om rättsligt stöd, inga sekretesshinder och säkerhet är uppfyllda. När utlämnandet sker elektroniskt från beskattningsdatabasen gäller även andra krav beroende på vilken form av elektroniskt utlämnande som det rör sig om och om utlämnandet sker till myndighet eller enskild.

Utlämnande till annan självständig verksamhetsgren eller myndighet på medium för automatiserad behandling

Med medium för automatiserad behandling menas utlämnande på mejl, USB-minne eller liknande. Skatteverket får lämna ut personuppgifter från beskattningsdatabasen till en annan självständig verksamhetsgren eller myndighet på medium för automatiserad behandling, om den mottagande verksamhetsgrenen eller myndigheten får ta del av uppgifterna enligt gällande sekretessbestämmelser. Det är upp till Skatteverket att bestämma om uppgifterna ska lämnas ut på detta sätt (prop. 2000/01:33 s. 111 f.). De andra förutsättningarna om rättsligt stöd för behandlingen av personuppgifter och säkerhet ska dock också vara uppfyllda.

Direktåtkomst för annan självständig verksamhetsgren eller myndighet

Det finns ingen legaldefinition av begreppet direktåtkomst. Vanligtvis menar man med direktåtkomst att någon har direkt tillgång till någon annans databas eller informationssamling och på egen hand kan söka efter information, men inte påverka innehållet i databasen eller informationssamlingen. Direktåtkomsten kan även ge användaren en möjlighet att hämta hem information till sitt eget system och att bearbeta den där (prop. 2007/08:160 s. 57).

Avgränsning av begreppet direktåtkomst

Den avgränsning som görs i 2 kap. 3 § andra stycket TF (nuvarande 2 kap. 6 § TF) för när en upptagning anses förvarad hos en myndighet kan användas för att bestämma innehållet i begreppet direktåtkomst. Teknisk tillgång enligt 2 kap 6 § första stycket TF föreligger inte om ett utlämnande förutsätter att den utlämnande myndigheten reagerar på en begäran om att de begärda uppgifterna ska lämnas ut (HFD 2015 ref. 61).

Skatteverket får lämna ut personuppgifter från beskattningsdatabasen till en annan självständig verksamhetsgren eller myndighet genom att ge verksamhetsgrenen eller myndigheten direktåtkomst, om det finns en särskild bestämmelse som tillåter detta i SdbL (2 kap. 7-8 d §§ SdbL, se även prop. 2000/01:33 s. 130). Direktåtkomst får dock inte medges till elektroniska handlingar på grund av integritetsskäl (prop. 2000/01:33 s. 130).

En bestämmelse om att direktåtkomst är tillåten medför inte att eventuell sekretess för uppgifterna bryts. Om de uppgifter som ska lämnas ut är sekretessbelagda krävs det att en sekretessbrytande bestämmelse kan tillämpas för att det ska vara tillåtet att lämna ut uppgifterna. Skatteverket måste alltså göra en sekretessprövning av om Skatteverket kan lämna ut uppgifterna innan direktåtkomst medges.

Att en annan självständig verksamhetsgren eller myndighet får ha direktåtkomst till uppgifter i beskattningsdatabasen innebär inte att samtliga anställda vid den andra verksamhetsgrenen eller myndigheten får ha tillgång till uppgifterna. Missbruk av personuppgifterna måste förhindras i enlighet med grundläggande principer och säkerhet vid behandling. Det kan t.ex. innebära att åtkomsten till olika uppgifter inom den andra myndigheten är starkt begränsad till olika behörighetsnivåer, vilket i sin tur innebär att är ett högst begränsat antal personer som har tillgång till samtliga uppgifter (prop. 2000/01:33 s. 131).

Inom beskattningsverksamheten är direktåtkomsten inte begränsad i SdbL, men samma bestämmelser om grundläggande principer och säkerhet vid behandling gäller även här. De anställda ska bara ha åtkomst till de uppgifter som de behöver för att kunna utföra sina arbetsuppgifter.

Under rubrikerna nedan listas situationer där Skatteverket enligt bestämmelser i SdbL och SdbF får medge direktåtkomst för

Direktåtkomst för den brottsbekämpande verksamheten

Den brottsbekämpande verksamheten på Skatteverket får ha direktåtkomst till uppgifter om (2 kap. 7 § SdbL)

  • en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden
  • en juridisk persons identitet, säte, ägarförhållande samt firmatecknare och andra företrädare
  • registrering för skatter och avgifter
  • underlag för att fastställa skatter och avgifter
  • bestämmande av skatter och avgifter
  • revision och annan kontroll av skatter och avgifter
  • yrkanden och grunder i ett ärende
  • beslut, betalning, redovisning och övriga åtgärder i ett ärende.

Den brottsbekämpande verksamheten får bara använda direktåtkomsten till uppgifterna för sådan verksamhet som anges i lagen (1997:1024) om Skatteverkets medverkan i brottsutredningar och behandlingen ska vara tillåten enligt de registerförfattningar som tillämpas inom den brottsbekämpande verksamheten.

Det finns en sekretessbrytande bestämmelse som gör den brottsbekämpande verksamhetens direktåtkomst till de ovan uppräknade uppgifterna möjlig (5 b § SdbF).

Direktåtkomst för Kronofogden

Skatteverket får medge Kronofogden direktåtkomst till uppgifter i beskattningsdatabasen om

  1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden
  2. en juridisk persons identitet, säte, ägarförhållande samt firmatecknare och andra företrädare
  3. registrering för skatter och avgifter
  4. underlag för att fastställa skatter och avgifter
  5. bestämmande av skatter och avgifter
  6. uppgifter som behövs för handläggning enligt BorgL
  7. yrkanden och grunder i ett ärende
  8. beslut, betalning, redovisning och övriga åtgärder i ett ärende.

Direktåtkomst till uppgifterna i punkterna 4-8 får, enligt 2 kap. 8 § första stycket SdbL, bara avse en person som

  • har ansökt om skuldsanering eller F-skuldsanering
  • är registrerad som gäldenär hos Kronofogdemyndigheten
  • är make, maka eller likställd med make eller maka till den som har ansökt om skuldsanering eller F-skuldsanering
  • är make, maka eller likställd med make eller maka till en gäldenär hos Kronofogden.

Det finns en sekretessbrytande bestämmelse som gör Kronofogdens direktåtkomst till de ovan uppräknade uppgifterna möjlig (4 § SdbF).

Direktåtkomst för Tullverket

Skatteverket får enligt 2 kap. 8 § andra stycket SdbL medge Tullverket direktåtkomst till uppgifter i beskattningsdatabasen om

  • en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden
  • en juridisk persons identitet, säte, ägarförhållande samt firmatecknare och andra företrädare
  • registrering för skatter och avgifter
  • underlag för att fastställa skatter och avgifter
  • bestämmande av skatter och avgifter
  • yrkanden och grunder i ett ärende
  • beslut, betalning, redovisning och övriga åtgärder i ett ärende.

Direktåtkomst till de ovan angivna uppgifterna får bara avse en person som

  • är eller kan antas vara gäldenär enligt tullagstiftningen
  • är skyldig att betala skatt för en vara vid import eller otillåten införsel
  • är föremål för Tullverkets kontrollverksamhet enligt LPK.

Skatteverket får medge Tullverket direktåtkomst till uppgifter och handlingar som ingår i EMCS-systemet (2 kap. 8 § tredje stycket SdbL).

Det finns sekretessbrytande bestämmelser som gör Tullverkets direktåtkomst till de ovan uppräknade uppgifterna möjlig (5–5 a §§ SdbF).

Direktåtkomst för socialnämnder

Skatteverket får medge en socialnämnd direktåtkomst till uppgifter i beskattningsdatabasen om

  • en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden
  • underlag för att fastställa skatter och avgifter
  • bestämmande av skatter och avgifter.

Direktåtkomst till de ovan angivna uppgifterna får endast ges om uppgifterna behövs hos socialnämnden i ett ärende om ekonomiskt bistånd enligt 4 kap. SoL eller i ett ärende om återkrav m.m. av sådant bistånd, enligt 9 kap. SoL. För att Skatteverket ska kunna medge socialnämnden direktåtkomst måste Skatteverket se till att handläggarna hos socialnämnden genom direktåtkomsten bara kan ta del av sådana uppgifter som är aktuella i ärenden hos nämnden (2 kap. 8 a § SdbL).

Det finns en sekretessbrytande bestämmelse som gör socialnämnders direktåtkomst till de ovan uppräknade uppgifterna möjlig (8 f § SdbF).

Direktåtkomst för Migrationsverket

Skatteverket får medge Migrationsverket direktåtkomst till uppgifter i beskattningsdatabasen om uppgifterna behövs i ett ärende om dagersättning åt asylsökande enligt lagen (1994:137) om mottagande av asylsökande m.fl. (2 kap. 8 b § SdbL).

Direktåtkomsten får endast omfatta

  • uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. SFL
  • identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
  • uppgift om den redovisningsperiod som deklarationen avser.

Det finns en sekretessbrytande bestämmelse som gör Migrationsverkets direktåtkomst till de ovan uppräknade uppgifterna möjlig (8 b § SdbF).

Direktåtkomst för Försäkringskassan

Skatteverket får enligt 2 kap. 8 c § SdbL medge Försäkringskassan direktåtkomst till uppgifter i beskattningsdatabasen om uppgifterna behövs i ett ärende om

Direktåtkomsten får endast omfatta

  • uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. SFL
  • identifikationsuppgifter för den uppgiftsskyldiga och betalningsmottagaren
  • uppgifter om den redovisningsperiod som deklarationen avser.

Det finns en sekretessbrytande bestämmelse som gör Försäkringskassans direktåtkomst till de ovan uppräknade uppgifterna möjlig (7 § tredje stycket SdbF).

Direktåtkomst för Arbetsförmedlingen

Skatteverket får medge Arbetsförmedlingen direktåtkomst till uppgifter i beskattningsdatabasen om uppgifterna behövs i ett ärende om stöd till arbetsgivare för anställning av en enskild person (2 kap. 8 d § SdbL).

Direktåtkomsten får endast omfatta

  • uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. SFL
  • identifikationsuppgifter för den uppgiftsskyldiga och betalningsmottagaren
  • uppgifter om den redovisningsperiod som deklarationen avser.

Det finns en sekretessbrytande bestämmelse som gör Arbetsförmedlingens direktåtkomst till de ovan uppräknade uppgifterna möjlig (8 c § tredje stycket SdbF).

Direktåtkomst för enskilda

Skatteverket får lämna ut vissa uppgifter i beskattningsdatabasen till enskilda genom att medge direktåtkomst. Direktåtkomsten får bara avse uppgifter om den enskilde själv. Vid direktåtkomsten ska den enskildas identitet kontrolleras genom en säker metod för identifiering (2 kap. 9 § SdbL och 16 § SdbF). Det måste också finnas tillräckligt säkra tekniska lösningar.

Möjligheten för enskilda att få åtkomst till uppgifter om sig själva innebär inte en rättighet att ta del av samtliga uppgifter som finns i Skatteverkets databas. Sekretess kan i vissa fall gälla för uppgifter till skydd för myndighetens verksamhet. I databasen kan det exempelvis finnas uppgifter om planerade revisioner och liknande åtgärder som kan antas att syftet med åtgärden motverkas om uppgifterna röjs (prop. 2000/01:33 s. 115).

Exempel på uppgifter som lämnas ut till enskilda genom direktåtkomst är de förifyllda uppgifterna i en inkomstdeklaration och uppgifter som utförare av rottjänster har lämnat.

Direktåtkomst för en behörig myndighet i ett EU-land

Skatteverket får medge en behörig myndighet i ett annat EU-land direktåtkomst till uppgifter i beskattningsdatabasen om mervärdesskatt. En utländsk myndighet jämställs i detta sammanhang med enskilda (2 kap. 6 § SdbL och 17 § SdbF).

Utlämnande på medium för automatiserad behandling

Tabellen visar vilka uppgifter som Skatteverket får lämna ut till enskilda på medium för automatiserad behandling.

Mottagare

Uppgifter som får lämnas ut

Tillämplig bestämmelse

Enskilda

Uppgifter om den enskilde själv.

2 kap. 6 § SdbL och 13 § SdbF

A-kassa

Uppgifter som avses i 8 d § SdbF.

2 kap. 6 § SdbL

och 12 a § första stycket SdbF

A-kassa

Uppgifter vid en underrättelse enligt 3 § lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen.

2 kap. 6 § SdbL

och 12 a § andra stycket SdbF

Fastighetsägare

Uppgifter om

  • köpare och säljare
  • köpeskilling
  • taxeringsuppgifter
  • överlåtelsedatum
  • identifikationsuppgifter för fastighetsöverlåtelser som har behövts för att fastställa riktvärden i ett värdeområde där den enskildas fastighet är belägen.

2 kap. 6 § SdbL och 14 § SdbF

Arbetsgivare eller uppdragsgivare

Uppgifter

  • om en arbetstagares eller uppdragstagares namn och personnummer
  • om vilket slag av preliminärskatt som personen ska betala
  • som behövs för att beräkna skatteavdrag för preliminär skatt.

2 kap. 6 § SdbL och 10 § SdbF

Uppdragsgivare

Uppgifter om en uppdragstagares

  • registrering för mervärdesskatt eller som arbetsgivare
  • typ av preliminärskatt som personen ska betala
  • företagsform
  • Uppgifterna får lämnas ut för kontroll i samband med upphandling och under avtalstiden.
  • Om den aktuella uppdragstagaren är registrerad som arbetsgivare får även uppgifter om beslutade arbetsgivaravgifter lämnas ut.

2 kap. 6 § SdbL och 10 a § SdbF

Kreditupplysningsföretag, d.v.s.

  • den som har tillstånd enligt 3 § första stycket kreditupplysningslagen (1973:1173) att bedriva kreditupplysningsverksamhet
  • den som bedriver kreditupplysningsverksamhet som är undantagen från tillståndsplikt enligt 3 § andra eller fjärde stycket kreditupplysningslagen.

Uppgifter i beskattningsdatabasen, med undantag för uppgifter som grundar sig på brott.

2 kap. 6 § SdbL och 11 § SdbF

Trossamfund

Uppgifter som utgör underlag för beräkning av avgift till registrerat trossamfund.

2 kap. 6 § SdbL och 12 § SdbF

Behörig myndighet i ett annat EU-land

Vissa uppgifter på punktskatteområdet.

Rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004 (1)

Avgifter för att lämna ut uppgifter

Skatteverket bestämmer vilka avgifter som ska tas ut för att lämna ut uppgifter ur beskattningsdatabasen. Någon avgift ska dock inte tas ut när uppgifter lämnas ut till en annan myndighet och utlämnandet följer av en skyldighet i en lag eller förordning (2 kap. 14 § SdbL och 22 § SdbF).

Rätten att ta ut avgifter får inte inskränka

  • allmänhetens rätt att ta del av, och mot fastställd avgift, få en kopia av en allmän handling enligt TF (2 kap. 14 § SdbL)
  • registrerades rätt till kostnadsfri information enligt artikel 12.5 i EU:s dataskyddsförordning.

Referenser på sidan

Domar & beslut

  • HFD 2015 ref. 61 [1]

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1]

Lagar & förordningar

Propositioner

  • Proposition 1997/98:44 Personuppgiftslag [1]
  • Proposition 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution [1] [2] [3] [4] [5] [6]