Datatilsynet

  17. januar  2008

  Vedrørende høring over udkast til lov om ændring af forskellige skattelove (Modernisering af skatteadministrationen), Skatteministeriets j.nr. 2007-711-0008

Ved e-post af 14. december 2007 har Skatteministeriet anmodet om Datatilsynet eventuelle bemærkninger til ovenstående udkast til lovforslag.

Datatilsynet har følgende bemærkninger til udkastet:

1. Digital indhentelse af sagsoplysninger

1.1. Det foreslås i § 1, nr. 5, at indsætte en ny § 15 A i skatteforvaltningsloven. Efter bestemmelsen bemyndiges skatteministeren til at fastsætte regler, hvorefter et ankenævn og Landsskatteretten kan få elektronisk adgang til oplysninger om fysiske og juridiske personer, der er registreret hos told- og skatteforvaltningen, hvis oplysningerne er nødvendige for behandlingen af en klage.

Formålet med bemyndigelsen er at forenkle proceduren for indhentning af materiale hos SKAT.

Af bemærkningerne til bestemmelsen (afsnit 3.1.4.) fremgår det, at SKAT herved vil kunne give online adgang til indscannet materiale med henblik på, at klageinstansen kan foretage dels udsøgning, dels elektronisk indhentelse af materiale, der har dannet grundlag for SKATs afgørelse.

Det er videre anført, at ordningen indebærer, at klageinstansen kan få relevant systemopkobling og -understøttelse til SKAT. Det betyder kontrollerede grænseflader, hvor klageinstansernes it-systemer med legal autorisation får adgang til de data og funktioner, de har brug for.

I forbindelse med fastsættelse af nærmere regler for ordningen vil det ifølge bemærkningerne blive sikret, at persondatalovens regler overholdes.

Der vil således blive fastsat bestemmelser i overensstemmelse med sikkerhedsbekendtgørelsens regler om autorisation og adgangskontrol, og den pågældende klagemyndighed vil skulle fastsætte uddybende sikkerhedsregler for bl.a. at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til. Der skal bl.a. fastsættes regler om sikkerhed ved modtagelse og videregivelse, opbevaring og sletning af oplysninger.

Endelig er det anført, at da det ifølge forslaget er et krav, at persondatalovens beskyttelsesregler er opfyldt, sikrer det borgerne, at kun nødvendige oplysninger indhentes til brug for sagsbehandlingen.

1.2. Datatilsynet ser som udgangspunkt positivt på, at man anvender de teknologiske muligheder for effektivisering af det administrative arbejde.

Persondataloven^[1] og databeskyttelsesdirektivet^[2], som persondataloven gennemfører, sætter imidlertid grænser for myndighedernes udveksling og genbrug af oplysninger.

Datatilsynet har tidligere tilkendegivet, at persondatalovens begrænsninger navnlig ligger i kravet om, at offentlige myndigheder ikke må behandle eller have adgang til oplysninger, som de ikke har behov for i forbindelse med deres konkrete myndighedsudøvelse. Dette krav er udtrykt i forskellige afskygninger i lovens almindelige behandlingsregler, de generelle krav i lovens § 5 samt lovens regler om behandlingssikkerhed.

1.3. Datatilsynet har noteret sig, at det i forbindelse med fastsættelse af nærmere regler for ordningen vil blive sikret, at persondatalovens regler overholdes.

Datatilsynet har endvidere noteret sig, at tilsynet ifølge bemærkningerne til forslaget vil blive hørt over de regler om behandling af personoplysninger, som skatteministeren efter forslaget fastsætter, jf. persondatalovens § 57.

Datatilsynet finder imidlertid allerede nu anledning til understrege, at der ved indretningen af ordningen er en række forhold, som må overvejes.

1.4. Det skal således overvejes, hvordan det teknisk sikres, at der kun bliver adgang til at foretage opslag, når det er nødvendigt for behandlingen af en klage. Det skal i den forbindelse navnlig overvejes, om det er nødvendigt at give teknisk adgang til at foretage opslag i alle SKATs sager (uden hensyn til, om der er indgivet en klage), eller om adgangen kan begrænses ud fra f.eks. geografiske eller opgavemæssige hensyn.

Datatilsynet kan i den forbindelse til orientering oplyse, at tilsynet tidligere har udtalt, at en ordning, hvor SKAT ønskede se-adgang til kommunale debitorsystemer vedrørende underholdsbidrag med henblik på at indhente supplerende oplysninger i restanceinddrivelsessager, ikke kunne etableres inden for rammerne af persondataloven.

Datatilsynet lagde i den forbindelse vægt på, at SKAT ville få adgang til oplysninger om mellemværender om underholdsbidrag, uanset om disse fordringer var sendt til inddrivelse hos SKAT.

Datatilsynet tilkendegav samtidig, at tilsynet var indstillet på at se på sagen igen, hvis SKATs adgang til de kommunale systemer kunne begrænses til de sager, hvor fordringer vedrørende underholdsbidrag var sendt til inddrivelse hos SKAT. Kopi af Datatilsynets udtalelse af 24. august 2006 vedlægges.

Efter Datatilsynets umiddelbare opfattelse medfører persondataloven, at den i lovforslaget beskrevne adgang ligeledes må tilrettelægges, så adgangen til SKATs registreringer teknisk begrænses til oplysninger om personer, der har en klagesag hos de indhentende myndigheder, og kun til de for sagens behandling nødvendige oplysninger.

1.5. Datatilsynet skal endvidere pege på, at der – afhængig af hvordan adgangen til systemerne indrettes – kan være behov for at overveje at etablere kontrolordninger.

Dette kan f.eks. være relevant, hvis det ikke er muligt på forhånd at definere de nødvendige oplysninger om en person, der kan gives adgang til ved en given type af klage.

Tilsynet kan i den forbindelse oplyse, at tilsynet tidligere har henstillet over for myndigheder, at der foretages stikprøvekontrol af logfilerne, bl.a. når andre myndigheder har adgang til at foretage opslag. Datatilsynet har således henstillet over for Rigspolitiet og SKAT, at der foretages stikprøvekontrol af logfilerne for kommunernes opslag i forbindelse med udstedelse af pas og kørekort, henholdsvis borgerbetjening på skatteområdet.

1.6. Datatilsynet skal endvidere understrege vigtigheden af, at de medarbejdere, der skal have adgang til at foretage opslag i SKATs systemer, modtager den fornødne instruktion.

2. Frivillig indberetning af lejeindtægter fra sommerhusudlejning

2.1. Efter forslagets § 2, nr. 8, foreslås det at indsætte en ny § 11 G i skattekontrolloven, hvorefter et udlejningsbureau efter aftale med den skattepligtige

kan indberette den skattepligtiges lejeindtægter til SKAT. Indberetningen skal indeholde bl.a. personnummer til identifikation af den skattepligtige.

Det fremgår af bemærkningerne, at der er tale om en frivillig ordning, som vil bero på en aftale mellem udlejningsbureauet og sommerhusudlejeren, og at sommerhusudlejeren skal give samtykke til, at bureauet kan indberette lejeindtægten til SKAT.

Formålet med ordningen er at sikre, at lejeindtægterne kan fortrykkes på årsopgørelsen og derved lette selvangivelsesopgaven for den skattepligtige.

Det er anført i bemærkningerne, at udlejningsbureauet skal overholde bestemmelserne i persondataloven om opbevaring af personnumre, hvis der etableres en aftale mellem skatteyderen og udlejningsbureauet om indberetning af lejeindtægten. Der vil i de administrativt fastsatte retningslinjer for ordningen være en henvisning til persondatalovens regler, således at der er fokus på disse regler ved etablering af en frivillig aftale mellem skatteyderen og udlejningsbureauet.

2.2. Datatilsynet skal i den forbindelse bemærke, at registrering, videregivelse og anden behandling af personnumre i private udlejningsbureauer forudsætter den skattepligtiges samtykke, når der ikke er tale om en egentlig indberetningspligt, jf. persondatalovens § 11, stk. 2, nr. 2.

Datatilsynet har noteret sig, at ordningen baserer sig på de berørte personers samtykke.

2.3. Datatilsynet skal endvidere henlede opmærksomheden på persondatalovens kapitel 8 om den dataansvarliges oplysningspligt over for den registrerede, som kan være relevant for SKAT, når myndigheden modtager indberetninger fra udlejningsbureauerne.

Persondatalovens § 29 regulerer den dataansvarliges oplysningspligt ved indsamling af oplysninger hos andre end den registrerede selv.

Som udgangspunkt skal SKAT give de berørte personer meddelelse som nærmere beskrevet i persondatalovens § 29, stk. 1.

Ifølge § 29, stk. 2, er der dog ikke oplysningspligt, hvis den registrerede allerede er bekendt med de i § 29, stk. 1, nævnte oplysninger, eller hvis registreringen eller videregivelsen udtrykkeligt er fastsat ved lov eller bestemmelser fastsat i henhold til lov. Den sidstnævnte situation er f.eks., hvis der gælder en lovbestemt indberetningspligt.

I tilfælde, hvor indberetningen til SKAT er frivillig, og hvor den sidstnævnte undtagelse derfor ikke finder anvendelse, må det vurderes, om den registrerede allerede er bekendt med de i § 29, stk. 1, nævnte oplysninger, jf. § 29. stk. 2, 1. led.

Dette kan f.eks. være tilfældet, hvis det indberettende udlejningsbureau har givet den skattepligtige de i § 29, stk. 1, nævnte oplysninger.

3. Afsluttende bemærkninger

Datatilsynet forudsætter, at tilsynets høringssvar medsendes til det relevante folketingsudvalg.

Kopi af Datatilsynets høringssvar er sendt til Justitsministeriets lovafdeling til orientering.

Med venlig hilsen

Lena Andersen

Kontorchef

Bilag:    Kopi af Datatilsynets brev af 24. august 2006 til SKAT

SKAT - Hovedcentret

Østbanegade 123 

2100 København Ø

Sendt til: skat@skat.dk

  Vedrørende etablering af se-adgang til UHB-debitor

Ved e-post af 21. juli 2006 har SKAT anmodet om Datatilsynets bemærkninger til en ordning, hvor der etableres se-adgang til de kommunale UHB-debitorsystemer.

Der er indhentet supplerende oplysninger telefonisk.

Det er oplyst, at se-adgangen vil give SKAT mulighed for korrekt inddrivelse af underholdsbidrag, idet de oplysninger, der kommer fra kommunerne til SKAT vedrørende underholdsbidrag i forbindelse med autooverdragelse af fordringen, er så mangelfulde, at SKAT ikke umiddelbart kan iværksætte inddrivelse, da der bl.a. mangler periodeoplysninger og bidragsoplysninger.

Det er videre oplyst, at det alene er bevægelser inden for de sidste 13 måneder, der vil blive vist ved se-adgangen. Adgangen vil blive etableret gennem den eksisterende se-adgang til kommunernes systemer.

Der vil ikke være adgang til oplysninger om grunden til debitors manglende betaling, oplysninger om, at debitor modtager f.eks. førtids- eller invalidepension eller i øvrigt oplysninger omfattet af persondatalovens §§ 7 og 8. Disse oplysninger vil SKAT modtage på anden vis, herunder fra debitor selv.

Det er oplyst, at adgangen til UHB-debitor forudsætter, at der er en inddrivelsessag på den pågældende borger. Det er imidlertid ikke en forudsætning, at inddrivelsessagen omhandler underholdsbidrag. Der vil således være adgang til oplysninger om restancer med underholdsbidrag mv., uanset om denne fordring er sendt til inddrivelse.

I den anledning skal Datatilsynet bemærke følgende:

Persondatalovens[3] § 5 indeholder en række grundlæggende principper for den dataansvarliges behandling, herunder indsamling, ajourføring, opbevaring m.v. af oplysninger. Disse krav skal altid være opfyldt.

Efter lovens § 5, stk. 1, skal oplysninger behandles i overensstemmelse med god databehandlingsskik.

Af § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.

Ifølge § 5, stk. 3, skal oplysninger, som behandles, være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Behandling af almindelige ikke-følsomme oplysninger, herunder f.eks. oplysninger om økonomiske forhold, skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, eller hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave, for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.

Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

For så vi angår offentlige myndigheder er sikkerhedsbestemmelsen i § 41 stk. 3, uddybet i sikkerhedsbekendtgørelsen[4] og sikkerhedsvejledningen[5].

Som anført i Datatilsynets brev af 19. oktober 2005 har tilsynet ingen indvendinger mod, at SKAT får adgang til oplysninger i kommunernes systemer, som er nødvendige for, at myndigheden kan varetage sine opgaver.

Persondatalovens begrænsninger ligger imidlertid navnlig i kravet om, at offentlige myndigheder ikke må behandle eller have adgang til oplysninger, som de ikke har behov for i forbindelse med deres konkrete myndighedsudøvelse.

Det er derfor Datatilsynets opfattelse, at løsningen – i den skitserede form – ikke kan etableres inden for rammerne af persondataloven.

Datatilsynet har i den forbindelse lagt vægt på, at SKAT vil få adgang til oplysninger om mellemværender om underholdsbidrag, uanset om disse fordringer er sendt til inddrivelse.

Datatilsynet er indstillet på at se på sagen igen, hvis SKATs adgang til UHB-debitor kan begrænses til de sager, hvor fordringer vedrørende underholdsbidrag er sendt til inddrivelse hos SKAT.

I givet fald må en eventuel adgang efter Datatilsynets opfattelse desuden indrettes under iagttagelse af sikkerhedsbekendtgørelsens regler om autorisation (§ 11). Dette medfører, at alene de medarbejdere i SKAT, der er beskæftiget med inddrivelse af underholdsbidrag, må have adgang til oplysningerne.

Endvidere vil Datatilsynet i givet fald anbefale, at der kun bliver adgang for det skattecenter, der behandler sagen. Der henvises i øvrigt til det i brevet af 19. oktober 2005 anførte.

Med venlig hilsen

Lena Andersen

Kontorchef