När Skatteverket behandlar personuppgifter i sin brottsbekämpande verksamhet måste verket följa principerna i Skatteverkets brottsdatalag om bland annat laglighet och ändamålsbegränsning. Skatteverkets brottsdatalag innehåller också regler för behandling av känsliga personuppgifter och till vilka och på vilket sätt Skatteverket får lämna ut uppgifter elektroniskt.
Skatteverkets brottsbekämpande verksamhet måste ha en rättslig grund för behandling av personuppgifter. Tillåtna rättsliga grunder är om det är nödvändigt för att Skatteverket ska kunna utföra uppgifter som att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda brott eller fullgöra förpliktelser som följer av internationella åtaganden (2 kap. 1 § SBDL). Den uppgift som en behörig myndighet ska utföra ska framgå av en lag, en förordning eller i ett särskilt beslut där regeringen har bestämt att en myndighet ska utföra uppgiften (2 kap. 1 § andra stycket BDL). Kravet på att behandlingen ska ha stöd i unionsrätt eller nationell rätt är uppfyllt genom de författningar som reglerar den verksamhet där personuppgifterna behandlas, tillsammans med ramlagen och registerförfattningarna. Att Skatteverket ska förebygga och motverka ekonomisk brottslighet och medverka i brottsutredningar som rör vissa brott står t.ex. i 6 § Skatteverkets instruktion. De befogenheter Skatteverket har för att genomföra uppdraget framgår av annan reglering, se t.ex. lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet.
Skatteverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna
Behandling av uppgifter för nya ändamål – inom brottsdatalagens tillämpningsområde – är tillåten, om det kan säkerställas att det finns en rättslig grund för den nya behandlingen och att den är nödvändig och proportionerlig för det nya ändamålet (2 kap. 2 § SBDL och 2 kap. 4 § BDL). När Skatteverket har en skyldighet att lämna uppgifter enligt lag eller förordning, ska Skatteverket inte göra någon sådan prövning (prop. 2017/18:269 s. 139).
Behandling av uppgifter för nya ändamål – utanför brottsdatalagens och Skatteverkets brottsdatalags tillämpningsområde – är tillåten, om det kan säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det ändamålet (2 kap. 2 § SBDL och 2 kap. 22 § BDL ). Utöver det måste också säkerställas att behandlingen för nya ändamål är förenlig med dataskyddsförordningens bestämmelser innebärande att den ska vara rättsligt grundad och även i övrigt ske i enlighet med bestämmelserna i förordningen (prop. 2017/18:232 s. 133).
När Skatteverket har en skyldighet att lämna uppgifter enligt lag eller förordning, ska Skatteverket inte göra någon sådan prövning.
Det finns ett generellt förbud mot att söka efter känsliga personuppgifter i syfte att få fram ett särskilt urval av personer (2 kap. 14 § BDL). Sökförbudet i 2 kap. 14 § BDL hindrar emellertid inte att uppgifter som beskriver en persons utseende används som sökbegrepp (2 kap. 4 § SBDL samt prop. 2017/18:232 s. 155 f.).
Det finns ytterligare ett undantag som medger sökning i syfte att få fram ett urval av personer grundat på etniskt ursprung i uppgiftssamlingar som inte har gjorts gemensamt tillgängliga (2 kap. 5 § SBDL). Eftersom detta undantag från sökförbud endast gäller i uppgiftssamlingar som inte har gjorts gemensamt tillgängliga begränsas sökmöjligheterna från vad som gällt tidigare. Det är framför allt i Skatteverkets underrättelseverksamhet som det kan finnas behov av att göra sökningar som innebär att sammanställningar grundade på etniskt ursprung skapas. I exempelvis ärenden om falska identitetshandlingar eller gränsöverskridande ekonomisk brottslighet kan etniskt ursprung vara en gemensam faktor som knyter samman personer i ett nätverk. I utredningsverksamheten finns motsvarande behov av att kunna söka på sådana känsliga personuppgifter (prop. 2017/18:269 s. 201 f.).
Personuppgifter får, om det är förenligt med svenska intressen, lämnas till utländska brottsbekämpande myndigheter och organisationer. Sekretessen bryts emellertid endast om mottagaren behöver uppgifterna för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda brott eller fullgöra förpliktelser som följer av internationella åtaganden (2 kap. 7 § SBDL). Bestämmelsen är tillämplig såväl på begäran som utan föregående framställning (jfr prop. 2016/17:91 s. 206). De myndigheter och organisationer som under dessa förutsättningar har rätt att ta del av uppgifterna är:
Personuppgifter får lämnas ut till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande (2 kap. 7 § SBDL).
Skatteverkets brottsbekämpande verksamhet är behörig myndighet vid tillämpning av förordning (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen. I 3 och 4 §§ i förordningen regleras under vilka förutsättningar uppgiftsutlämnande till en utländsk brottsbekämpande myndighet ska ske. I 5 § i förordningen regleras begränsningar av skyldigheten att lämna uppgifter. En svensk brottsbekämpande myndighet får av annan medlemsstat begära uppgifter som behövs för att upptäcka, förebygga eller utreda ett brott (10 §).
Vissa myndigheter har bedömts ha behov av att ta del av personuppgifter som får göras gemensamt tillgängliga hos Skatteverket även om uppgifterna omfattas av sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § OSL (2 kap. 8 § SBDL). En förutsättning är att dessa myndigheter måste ha ett behov att använda uppgiften i sin egen verksamhet för något av syftena som anges i 1 kap. 2 § BDL. De myndigheter som under dessa förutsättningar har rätt att ta del av uppgifterna är
Myndigheterna får medges direktåtkomst till uppgifterna men det medför ingen absolut rättighet. Skatteverket får ställa villkor i fråga om behörighet och säkerhet för att medge direktåtkomst (3 kap. 6 § SBDL). Bestämmelsen reglerar alltså endast formen för utlämnande inte huruvida det finns stöd för att lämna ut uppgifterna. Möjligheterna till direktåtkomst kan vara begränsad av sekretess om det inte finns en sekretessbrytande bestämmelse, som t.ex. 2 kap. 8 § SBDL. Direktåtkomst får inte heller ges innan Skatteverket har försäkrat sig om att den mottagande myndigheten uppfyller kraven på behörighet och säkerhet (5 § SBDF).
Utlämnande av uppgifter kan även ske på grund av en uppgiftsskyldighet som följer av annan författning. Från och med 1 juni 2020 finns uppgiftsskyldighet under vissa förutsättningar för Skatteverkets brottsbekämpande verksamhet gentemot Skatteverkets beskattningsverksamhet, folkbokföringsverksamhet och ID-kortverksamhet, (8 och 9 §§ lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet).
Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt, det finns en rättslig grund för utlämnandet och uppgifterna inte omfattas av sekretess eller villkor om användningsbegränsningar. Den tidigare regleringen gällde endast enstaka uppgifter vilket nu har tagits bort. Utlämnandesätt som omfattas är t.ex. e-post eller annan elektronisk överföring eller på ett usb-minne. Som regel bör det inte anses vara olämpligt att lämna ut uppgifter på det sättet till en annan myndighet. När det gäller utlämnande till enskilda krävs en mer nyanserad bedömning, där man bl.a. behöver bedöma innehållet i handlingen, vem som är mottagare, behovet av att kunna visa att personen faktiskt tagit del av handlingen och andra faktorer (2 kap. 9 § första stycket SBDL och prop. 2017/18:269 s. 347 f.).
Elektroniskt utlämnande genom direktåtkomst är bara tillåtet i den utsträckning som anges i 3 kap. 6 § SBDL (2 kap. 9 § andra stycket SBDL).