Skatteministeriet Nicolai Eigtveds Gade 28 1402 København K Sendt til: js@skat.dk 4. oktober 2010 Vedrørende høring over forslag til lov om ændring af skattekontrolloven Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-post dt@datatilsynet.dk www.datatilsynet.dk J.nr. 2010-112-0322 Sagsbehandler Henrik Rubæk Jørgensen Direkte 3319 3246 1. Ved e-post af 8. september 2010 har Skatteministeriet anmodet om Datatilsynets eventuelle bemærkninger til ovennævnte lovforslag. 2. Ved lovforslagets 1, nr. 1, foreslås indsat to nye stykker efter 6, stk. 5, i skattekontrolloven. 2.1. Ifølge forslaget til et nyt stk. 6 kan told- og skatteforvaltningen tage elektroniske kopier (spejlinger) af dataindholdet af elektroniske medier, der er omfattet af told- og skatteforvaltningens kontrol, og kan medtage det kopierede materiale med henblik på efterfølgende at gennemgå dette. Det fremgår endvidere, at told- og skatteforvaltningen skal slette det kopierede materiale, hvis det vurderes, at materialet ikke indeholder oplysninger, der har betydning for forvaltningens kontrol. Dette gælder dog ikke, såfremt told- og skatteforvaltningen beslutter at gå videre med sagen. I så fald skal det kopierede materiale først slettes, når sagen er endeligt afgjort. 2.2. Lovforslaget giver desuden skatteministeren hjemmel til efter forelæggelse for Skatterådet at fastsætte nærmere regler om SKATs adgang til at tage identiske elektroniske kopier (dataspejling) af dataindholdet af elektroniske medier, der er omfattet af en kontrolundersøgelse, herunder regler om opbevaring og sletning af det kopierede materiale, jf. forslaget til et nyt stk. 7. 2.3. I bemærkningerne til bestemmelsen er anført følgende: Det foreslås, at der fastsættes regler om SKATs adgang til at tage identiske elektroniske kopier (spejlinger) af dataindholdet af elektroniske medier, der er omfattet af en kontrolundersøgelse, herunder om SKAT adgang til at medtage det kopierede materiale med henblik på efterfølgende at gennemgå dette. Da materialet kan indeholde oplysninger, som SKAT efter persondatalovens regler ikke er berettiget til at få, vil der være tale om en fravigelse af persondatalovens regler. Det foreslås derudover, at skatteministeren efter forelæggelse for Skatterådet kan fastsætte nærmere regler om SKATs adgang til at tage identiske elektroniske kopier (spejlinger) af dataindholdet af elektroniske medier, der er omfattet af en kontrolundersøgelse, herunder regler om opbevaring og sletning af det kopierede materiale.
2 2.4. Formålet med lovforslaget er ifølge de almindelige bemærkninger til lovforslaget, afsnit 2, at tilpasse de eksisterende kontrolbestemmelser til den udvikling, der er sket i forhold til udarbejdelse og opbevaring af regnskabsmateriale og forretningskorrespondance m.v., siden de eksisterende kontrolbestemmelser blev indført. Det følger endvidere af bemærkningerne, afsnit 2.1., at da regnskabsmateriale m.v. i dag i betydeligt omfang findes på elektroniske medier, og da gennemgang heraf i virksomheden kan være en meget omfattende opgave, som kan være til gene for virksomheden, er der opstået et behov for, at SKAT kan foretage en dataspejling af de oplysninger, der er nødvendige for gennemførelsen af kontrollen, med henblik på at medtage disse til gennemgang hos SKAT. Det fremgår af de almindelige bemærkninger, afsnit 2.2., at en spejling er en identisk elektronisk kopi af harddiske m.v., som gengiver en nøjagtig kopi (kloning) af den pågældende harddisk m.v. på det tidspunkt, hvor spejlingen foretages. En spejling af f.eks. en computers harddisk indebærer også en kopiering af slettede filer og skjulte spor m.v. I bemærkningerne til lovforslaget, afsnit 2.2., anfører Skatteministeriet, at bl.a. i tilfælde, hvor en erhvervsdrivende ikke i sit it-system har foretaget adskillelse af dels regnskabsmateriale og andre dokumenter, der kan have betydning for skatteligningen, og dels andre oplysninger, såsom personaleoplysninger eller privat korrespondance, som ikke har betydning for kontrollen, kan it-revision i form af dataspejling være i strid med persondataloven. Det fremgår desuden af de almindelige bemærkninger, afsnit 4, at der med elektroniske medier forstås et hvilket som helst medie, der indeholder digital information, f.eks. en harddisk, en diskette, en CD-ROM eller en USB nøgle m.v. Endelig anføres det også, at der er behov for at kunne anvende it-revision i form af dataspejling uden for de tilfælde, hvor der vil kunne opnås retskendelse efter retsplejelovens regler. 2.5. De almindelige bemærkninger indeholder bl.a. et afsnit 3.5. om persondataloven. Herudover er der i de almindelige bemærkninger et afsnit 3.6. om den Europæiske Menneskerettighedskonvention og et afsnit 3.7. om persondataloven og databeskyttelsesdirektivets betydning for it-revision. 2.6. I forhold til bemyndigelsen til skatteministeren til at fastsætte nærmere regler for sletning og opbevaring af det kopierede materiale fremgår det endvidere af samme afsnit, at: Det er væsentlig, når persondatalovens regler fraviges, at der sikres garantier for rets- og databeskyttelse. Forslaget indeholder derfor også et forslag til en bestemmelse, hvorefter skatteministeren efter forelæggelse for Skatterådet kan fastsætte nærmere regler om SKATs
3 adgang til at tage identiske kopier (spejlinger) af dataindholdet af elektroniske medier, der er omfattet af en kontrolundersøgelse. 3. Bemærkninger til lovforslaget 3.1. Lovforslaget rejser efter Datatilsynets opfattelse en række retssikkerhedsmæssige spørgsmål og den foreslåede adgang til dataspejling forekommer særdeles vidtgående i forhold til grundlæggende databeskyttelsesretlige principper og de rammer for behandling af personoplysninger, som fremgår af EU s databeskyttelsesdirektiv. Datatilsynet skal i den forbindelse særligt fremhæve, at den omhandlede kontroladgang vil medføre en indsamling af oplysninger, der er irrelevante for skatteligningen, og som tilmed kan være meget følsomme for den/de personer, som oplysningerne vedrører. Ud over oplysninger om den kontrollerede kan der være tale om oplysninger om f.eks. ansatte, forretningsforbindelser eller tredjeparter, herunder personer fra den kontrolleredes private sfære. Hertil kommer, at der efter det anførte også vil ske indsamling og analyse af slettede filer og data. Det må således lægges til grund, at det vil være helt uforudsigeligt for de personer, der udsættes for kontrollen, hvilke oplysninger SKAT konkret vil indsamle og bearbejde som led i dataspejlingen. Det fremgår udtrykkeligt, at der med lovforslaget tilsigtes en fravigelse af persondatalovens regler, og at det i de almindelige bemærkninger til lovforslaget, afsnit 3.7., konkluderes, at indsamlingen af oplysninger vil være inden for rammerne af databeskyttelsesdirektivet. Databeskyttelsesdirektivet forudsætter efter Datatilsynets opfattelse, at medlemsstaterne ved en eventuel fravigelse af direktivets artikel 6 og ved fastsættelse af undtagelser om behandling af følsomme oplysninger, jf. direktivets artikel 8, stk. 5, fastsætter tilstrækkelige garantier for behandlingen. Datatilsynet mener, at disse garantier må fremgå udtrykkeligt af lovgrundlaget, hvorved de almindelige regler fraviges, frem for i administrativt fastsatte regler. I forslaget til skattekontrollovens 6, stk. 6, er der imidlertid ikke angivet nogen retlig ramme eller nærmere kriterier for, under hvilke omstændigheder told- og skatteforvaltningen kan foretage spejlinger. Eksempelvis om der lægges op til, at den kontrollerede borger får et valg mellem at aflevere oplysningerne på anden vis eller blive udsat for dataspejling og i givet fald under hvilke omstændigheder dette kan ske. Til sammenligning skal Datatilsynet henvise til, at når dataspejling foretages som led i politimæssig efterforskning, sker det som omtalt i lovforslagets almindelige bemærkninger på grundlag af en retskendelse. Dvs. at retsplejelovens betingelser for at foretage indgrebet skal konkret vurderes som opfyldt af domstolen, før indgrebet kan foretages.
4 Efter Datatilsynets opfattelse må det anses for meget betænkeligt, hvis en forvaltningsmyndighed uden videre får mulighed for at foretage indsamling af oplysninger, der normalt kræver retskendelse, og at dette kan ske, uden at helt præcise rammer herfor er udtrykkeligt fastsat i loven. Datatilsynet skal i denne forbindelse også henvise til, at efter forvaltningslovens 32 må ansatte i den offentlige forvaltning ikke skaffe sig fortrolige oplysninger, som ikke er af betydning for udførelsen af den pågældendes opgaver. Som nævnt indebærer spejlingen efter forslaget i yderste konsekvens indsamling af oplysninger af følsom karakter, som er uden betydning for skattekontrollen, og som borgeren går ud fra er slettede. Tilsynet går umiddelbart ud fra, at told- og skatteforvaltningen skal overholde bl.a. forvaltningslovens 32 ved indsamlingen af oplysninger, men kan ikke se spørgsmålet herom adresseret i lovforslaget. Under henvisning til bl.a. almindelige databeskyttelsesprincipper om saglighed, rimelighed, gennemsigtighed og proportionalitet ved behandlingen af personoplysninger finder Datatilsynet samlet set, at forslaget i sin nuværende form giver anledning til væsentlige betænkeligheder i forhold til beskyttelsen af de berørte personers privatliv. Tilsynet må i lyset af det ovenfor anførte endvidere stille sig tvivlende overfor, om der er den fornødne saglighed og proportionalitet mellem indsamlingen af personoplysninger og opfyldelsen af de formål, der er beskrevet i forslaget. 3.2. I forslagets almindelige bemærkninger afsnit 4 er redegjort for forskellige overvejelser om fastsættelse af procedure- og sikkerhedsmæssige regler. Datatilsynet skal i den forbindelse gøre opmærksom på, at der efter persondatalovens kapitel 11, herunder navnlig 41, stk. 3, som er nærmere uddybet i sikkerhedsbekendtgørelsen 1, vil være en række sikkerhedsmæssige krav til behandlingen. Herudover vil de berørte personer have rettigheder efter persondatalovens kapitel 8-10, herunder bl.a. o oplysningspligten persondatalovens 28 og 29 o indsigtsretten persondatalovens 31 o indsigelsesretten persondatalovens 37, og o klageadgang til tilsynsmyndigheden persondatalovens 40 Datatilsynet finder, at der i givet fald kan være behov for at overveje også andre tiltag til forbedring af de berørte personers retsstilling. Eksempelvis kan det overvejes at skabe gennemsigtighed/transparens for den kontrollerede ved, at denne får adgang til kopier af de data, der indgår i dataspejlingen. Herudover kan det overvejes at fastsætte regler om, at den kontrollerede borger skal have indsigt i, hvilke medarbejdere hos SKAT, der har adgang til vedkommendes oplysninger. Der kan endvidere overvejes fastsat en tidsfrist for be- 1 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
5 slutningen om sletning af oplysninger, jf. forslaget til 6, stk. 6, og en bestemmelse, der giver borgeren krav på en orientering ved en sådan frists udløb, om hvorvidt hans materiale er slettet eller fortsat behandles. 4. Uafsluttet sag i forhold til tidligere foretaget dataspejling I afsnit 2.2. i de almindelige bemærkninger i det fremsendte lovforslag er det bl.a. beskrevet, at SKAT tidligere har haft taget dataspejlingsmetoden i brug i 137 sager. Heraf er kopieringen i 46 sager sket med brug af politiets beføjelser, mens SKAT i de resterende 91 sager har foretaget dataspejling som skattekontrol. Datatilsynet blev opmærksom på aktiviteten med dataspejling gennem medieomtale og anmodede den 27. februar 2008 SKAT om en udtalelse om sagen. Datatilsynet har endnu ikke modtaget svar fra SKAT. Ud fra oplysningerne i lovforslaget må Datatilsynet imidlertid lægge til grund, at SKAT i 91 sager har foretaget dataspejling, uden at der har været den fornødne hjemmel hertil. Datatilsynet har derfor ved brev af dags dato bl.a. anmodet SKAT om at redegøre for, hvorledes SKAT efterfølgende har håndteret de omhandlede data, herunder hvorvidt de indsamlede data nu er slettet, samt om de personer, hvorom der uberettiget er behandlet oplysninger, er blevet underrettet om det passerede. Datatilsynet skal anmode om, at tilsynets høringssvar videresendes til Folketinget, og tilsynet forventer at offentliggøre dette brev på sin hjemmeside Med venlig hilsen Janni Christoffersen Direktør