Indhold
Dette afsnit handler om Skatteforvaltningens adgang til at indsamle og behandle, herunder foretage samkøring, af oplysninger med henblik på udvikling af it-systemer, der er nødvendige for Skatteforvaltningens myndighedsudøvelse.
Afsnittet indeholder:
-
- Regel
- Samkørsel af Skatteforvaltningens egne oplysninger
- Adgang til samkøring med oplysninger fra andre offentlige myndigheder og offentligt tilgængelige kilder
- Bemyndigelse til at fastsætte nærmere regler
Se SKL § 67 a.
Regel
Skatteforvaltningens adgang til at indsamle og behandle, herunder foretage samkøring af oplysninger med henblik på udvikling af it-systemer, der er nødvendige for Skatteforvaltningens myndighedsudøvelse fremgår af SKL § 67 a.
Told- og skatteforvaltningen kan behandle, herunder samkøre, de oplysninger, told- og skatteforvaltningen er i besiddelse af, med henblik på udvikling af it-systemer, der er nødvendige for told- og skatteforvaltningens myndighedsudøvelse. Se SKL § 67 a, stk. 1.
Told- og skatteforvaltningen kan indsamle og behandle alle nødvendige oplysninger om fysiske eller juridiske personers økonomiske og erhvervsmæssige forhold fra andre offentlige myndigheder og offentligt tilgængelige kilder, herunder samkøre sådanne oplysninger med de oplysninger, told- og skatteforvaltningen er i besiddelse af, med henblik på udvikling af it-systemer, der er nødvendige for told- og skatteforvaltningens myndighedsudøvelse. Se SKL § 67 a, stk. 2.
Skatteministeren fastsætter nærmere regler for told- og skatteforvaltningens indsamling og behandling af oplysninger omfattet af stk. 1 og 2, herunder regler om, hvornår og til hvilke formål oplysningerne kan indsamles og behandles, om, hvornår sletning af oplysningerne skal finde sted, og om de tekniske og organisatoriske foranstaltninger, der skal iagttages ved behandlingen. Se SKL § 67 a, stk. 3.
Skatteforvaltningen er i besiddelse af en stor mængde oplysninger om såvel fysiske personers som virksomheders økonomiske og erhvervsmæssige forhold. SKL § 67 a giver Skatteforvaltningen adgang til at samkøre disse oplysninger, herunder samkøre oplysningerne med oplysninger fra andre offentlige myndigheder og offentligt tilgængelige kilder, med henblik på udvikling af it-systemer, der er nødvendige for Skatteforvaltningens myndighedsudøvelse.
§ 67 a skal ses i sammenhæng med SKL § 68, hvilket betyder, at når de enkelte it-systemer (scoringsmodeller) er udviklet, vil modellerne kunne anvendes med hjemmel i bestemmelsen i SKL § 68 om registersamkøring.
Samkørsel af Skatteforvaltningens egne oplysninger
I SKL § 67 a, stk. 1, er det fastsat, at Skatteforvaltningen kan behandle, herunder foretage samkøring, af de oplysninger Skatteforvaltningen er i besiddelse af, med henblik på udvikling af it-systemer, der er nødvendige for Skatteforvaltningens myndighedsudøvelse.
Krav om nødvendighed
Når der i bestemmelsen henvises til, at Skatteforvaltningen kan behandle, herunder foretage samkøring af oplysninger, »med henblik på udvikling af it-systemer, der er nødvendige for Skatteforvaltningens myndighedsudøvelse«, ændres der ikke på det helt grundlæggende princip om, at anvendelse af oplysninger, herunder personoplysninger, kræver et sagligt formål, og at behandlingen ikke må være mere omfattende, end forholdet tilsiger. Bestemmelsen fraviger således ikke databeskyttelsesforordningen eller databeskyttelseslovens regler herom.
Skatteforvaltningen kan foretage samkøring af oplysninger med henblik på udvikling af it-systemer, som vil kunne målrette, understøtte og effektivisere Skatteforvaltningens myndighedsudøvelse, når det er nødvendigt.
Ved udvikling af machine learning-modeller og analyse-modeller er der en række forhold, Skatteforvaltningen skal være opmærksom på:
- Der vil skulle være ét eller flere konkrete, saglige og afgrænsede formål med opbygningen af modellerne. Formålet vil kunne være konkret, f.eks. afdækning af momssvindel, men formålet kan også være at gennemføre analyser eller være mere serviceorienteret i sin karakter.
- De oplysninger, der indgår i modellen, vil skulle være afgrænset til dem, som vurderes at være nødvendige for at opfylde formålene, jf. databeskyttelsesforordningens artikel 5, stk. 2 og 3.
- Der vil skulle fastsættes en praksis for sletning og ajourføring af data, så oplysningerne kasseres/arkiveres, når formålet er opnået, eller når den oprindelige registrering kasseres/arkiveres. Det er derfor centralt, at formålet med det it-system eller den model, der udvikles, er klart defineret og velbeskrevet, og at der er klare retningslinjer for, hvornår der vil skulle ske ajourføring af data, herunder hvornår de oplysninger, der indgår i modellen, vil skulle slettes.
Ved såvel test som udvikling af relevante machine learning-modeller eller analytiske modeller m.v. kan der være behov for at anvende personoplysninger, og at oplysningerne forbliver personhenførbare i processen.
Efter de databeskyttelsesretlige regler er der ikke et egentligt forbud mod at behandle personoplysninger i forbindelse med test og systemudvikling, men udgangspunktet er, at der skal anvendes syntetiske data, dvs. oplysninger om fiktive personer, og ikke oplysninger om eksisterende personer, eller anonymiserede data.
Hvis der anvendes rigtige personoplysninger eller pseudonymiserede personoplysninger som testdata, så vil der skulle foreligge en saglig begrundelse herfor.
Adgang til samkøring med oplysninger fra andre offentlige myndigheder og offentligt tilgængelige kilder
Skatteforvaltningen kan efter SKL § 67 a, stk. 2, indsamle og behandle alle nødvendige oplysninger om fysiske eller juridiske personers økonomiske og erhvervsmæssige forhold fra andre offentlige myndigheder og offentligt tilgængelige kilder, herunder samkøre sådanne oplysninger med de oplysninger, Skatteforvaltningen er i besiddelse af, med henblik på udvikling af it-systemer, der er nødvendige for Skatteforvaltningens myndighedsudøvelse.
Bestemmelsen indebærer, at Skatteforvaltningen kan indsamles og behandles oplysninger om fysiske eller juridiske personers økonomiske og erhvervsmæssige forhold fra andre offentlige myndigheder og offentligt tilgængelige kilder med henblik på systemudvikling.
Oplysningerne som kan indsamles og behandles efter SKL § 67 a, stk. 2, vil være oplysninger om fysiske og juridiske personers erhvervsmæssige og økonomiske forhold. Skatteforvaltningen vil f.eks. kunne indsamle og behandle oplysninger fra cvr-registeret, aktionærejerregisteret og registeret over reelle ejere m.v., som administreres af Erhvervsstyrelsen.
Bestemmelsen giver også adgang til, at Skatteforvaltningen kan indsamle og behandle oplysninger om fysiske eller juridiske personers økonomiske og erhvervsmæssige forhold fra offentligt tilgængelige kilder, f.eks. fra søgemaskiner som Google, kortdata og adresseoplysninger m.v.
Ved vurderingen af, hvilke oplysninger fra andre offentlige myndigheder og offentligt tilgængelige kilder, Skatteforvaltningen vil kunne indsamle og behandle, skal Skatteforvaltningen vurdere, om det er sagligt og proportionalt at indsamle og behandle den pågældende type oplysning. Derved sikres det, at den pågældende type oplysning alene indsamles og behandles, hvis det er nødvendigt og ikke går videre, end hvad formålet tilsiger.
Begrebet offentligt tilgængelige kilder skal forstås bredt og omfatter således både personoplysninger og andre oplysninger fra enhver offentligt tilgængelig kilde, herunder enhver informationskilde af både elektronisk og ikke-elektronisk karakter, som inden for rammerne af gældende ret kan tilgås i det offentlige rum.
Når der i bestemmelsen henvises til, at indsamling og behandling af oplysninger om fysiske eller juridiske personers økonomiske og erhvervsmæssige forhold fra andre offentlige myndigheder og offentligt tilgængelige kilder kan ske »med henblik på udvikling af it-systemer, der er nødvendige for Skatteforvaltningens myndighedsudøvelse«, ændres der ikke på det helt grundlæggende princip om, at anvendelse af oplysninger, herunder personoplysninger, kræver et sagligt formål, og at behandlingen ikke må være mere omfattende, end forholdet tilsiger. Bestemmelsen fraviger således ikke databeskyttelsesforordningen eller databeskyttelseslovens regler herom.
Skatteforvaltningens indsamling og behandling af oplysninger fra offentligt tilgængelig kilder vil omfatte oplysninger, som er offentliggjort - enten af andre offentlige myndigheder eller af virksomheder og borgere. Der vil f.eks. kunne indsamles og behandles offentliggjorte oplysninger fra internetportaler som Den Blå Avis, eBay, Amazon m.fl., lokaliseringstjenester som Google Maps og fra sociale medieportaler m.v.
Bemyndigelse til at fastsætte nærmere regler
Skatteministeren kan efter SKL § 67 a, stk. 3, fastsætte nærmere regler for Skatteforvaltningens indsamling og behandling af oplysninger, herunder om hvornår og til hvilke formål, oplysningerne vil kunne indsamles og behandles, hvornår sletning af oplysningerne vil skulle finde sted, og om de tekniske og organisatoriske foranstaltninger, der vil skulle iagttages ved behandlingen.
Skatteministeren vil i medfør af SKL § 67 a, stk. 3, og inden for rammerne af databeskyttelsesforordningens artikel 23 kunne fastsætte nærmere regler om, at Skatteforvaltningen må viderebehandle personoplysninger til andre formål end de formål, oplysningerne oprindeligt var indsamlet til, uafhængigt af formålenes forenelighed (formålsbestemthedsprincippet).
Ved udnyttelsen af bemyndigelsen vil kravene i forordningens artikel 23, stk. 2, skulle opfyldes.
Bemyndigelsen er udnyttet i bekendtgørelse nr. 2660 af 28. december 2021 om Skatteforvaltningens indsamling og behandling af visse oplysninger ved udvikling af it-systemer.
Anvendelsesområde mv.
Efter bekendtgørelsen kan Skatteforvaltningen indsamle og behandle, herunder samkøre, alle nødvendige oplysninger om fysiske eller juridiske personers økonomiske og erhvervsmæssige forhold fra andre offentlige myndigheder og offentligt tilgængelige kilder med henblik på udvikling af it-systemer, der er nødvendige for Skatteforvaltningens myndighedsudøvelse, efter bestemmelserne i denne bekendtgørelse, jf. SKL § 67 a, stk. 1 og 2.
Skatteforvaltningen er dataansvarlig myndighed for de it-systemer, der udvikles og benyttes til at foretage behandling og samkøring af oplysninger efter denne bekendtgørelse.
Det er i bekendtgørelsens § 3 fastsat, at Skatteforvaltningen kan behandle følgende kategorier af personoplysninger om såvel fysiske som juridiske personer i medfør af denne bekendtgørelse:
1) Identifikationsoplysninger.
2) Oplysninger om økonomiske forhold.
3) Oplysninger om erhvervsmæssige forhold.
4) Oplysninger om ejerforhold.
5) Oplysninger om strafbare forhold.
6) Oplysninger om maskinel registrering (logning) af alle anvendelser af personoplysninger.
Efter bekendtgørelsens § 4 kan Skatteforvaltningen foretage indsamling og behandling af oplysninger, herunder samkøring, med henblik på udvikling af it-systemer, der er nødvendige for udførelsen af følgende opgaver på Skatteforvaltningens område:
1) Administration af skatte- og afgiftsområdet.
2) Administration af toldområdet, herunder likvide midler, varemærker og prækursorer.
3) Opkrævning og inddrivelse.
4) Ejendomsvurdering.
Opbevaring og sletning af oplysninger
Oplysninger, der behandles efter bekendtgørelsens §§ 3 og 4, opbevares af Skatteforvaltningen, og disse oplysninger må ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de pågældende oplysninger behandles.
Skatteforvaltningen skal jævnligt undersøge behovet for opbevaring af de oplysninger, der behandles efter §§ 3 og 4 og påse, at oplysninger ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de pågældende oplysninger behandles.
Når behandlingen af oplysningerne efter §§ 3 og 4 er afsluttet, skal oplysningerne slettes. Hvornår en behandling af oplysningerne efter §§ 3 og 4 er afsluttet beror på en konkret vurdering af behandlingens formål.
Genanvendelse af oplysninger
Hvis oplysninger, der behandles efter bekendtgørelsens §§ 3 og 4, genanvendes som led i behandling eller samkøring, finder reglerne i bekendtgørelsen tilsvarende anvendelse.
Udvikling på baggrund af produktionsdata
Hvis der i forbindelse med udvikling af it-systemer efter SKL § 67 a, stk. 1 og 2, undtagelsesvist er behov for at bruge produktionsdata, skal sådan udvikling ske på baggrund af en kopi af produktionsdata. Forud for udvikling på baggrund af en kopi af produktionsdata skal der foreligge en vurdering af, om behandlingen vil kunne ske inden for rammerne af databeskyttelseslovgivningen, herunder en vurdering af risikoen for den registreredes rettigheder. Ved anvendelse af en kopi af produktionsdata skal der etableres samme sikkerhedsforanstaltninger, som er etableret for produktionsdata. Når behandlingen af kopien af produktionsdata er afsluttet, skal den brugte kopi og nyfremstillet uddata slettes.
Sikkerhedsforanstaltninger
Indsamling og behandling af oplysninger efter skattekontrollovens § 67 a, stk. 1 og 2, skal finde sted under anvendelse af passende tekniske og organisatoriske sikkerhedsforanstaltninger til, at den dataansvarlige og eventuelle databehandlere er i stand til at opfylde deres databeskyttelsesforpligtelser, herunder ved adgangsstyring. Det skal til enhver tid kunne påvises, at dette overholdes.
Skatteforvaltningen skal fastsætte interne skriftlige retningslinjer for adgangen til og behandlingen af oplysninger i henhold til bekendtgørelsen, herunder om begrænsning af det antal personer, som kan tilgå oplysningerne og om, hvilke personer der kan foretage samkøring af oplysninger.