Dataombudsmannen gav Skatteförvaltningen en anmärkning för uppgiftsbegäranden som varit för omfattande
Dataombudsmannens byrås granskning har visat att Skatteförvaltningen hade bett banker om uppgifter om alla kontoöverföringar som överskrider Finlands gränser under åren 2015–2021. Uppgiftsbegärandena omfattade bland annat inköp som betalats med bankkort i utländska affärer och webbutiker. Utöver anmärkningen beordrade dataombudsmannen Skatteförvaltningen att radera personuppgifter som behandlats i strid med dataskyddsförordningen och sluta be om för omfattande uppgifter av bankerna.
Skatteförvaltningen har bett banker som är verksamma i Finland om uppgifter om kontoöverföringar som överskrider Finlands gränser. Med kontoöverföringar som överskrider Finlands gränser avses utgående och kommande betalningar där betalarens eller mottagarens bank är belägen i ett annat land. Uppgiftsbegärandena omfattade även gränsöverskridande betalningar med betalkort som kopplats till kontona, till exempel inköp som betalats med bankkort vid utlandsresor eller i utländska webbutiker. Skatteförvaltningen bad banker att lämna uppgifter bland annat om betalningsbelopp och -datum samt kontaktuppgifter till kunder. Uppgifterna begärdes för skattekontroller.
Skatteförvaltningen begränsade inte uppgiftsbegärandena till exempel på basis av kontohändelsernas belopp och beaktade inte heller barn som en grupp som behöver särskilt skydd. Dataombudsmannen ansåg att uppgiftsbegärandena omfattade en betydande del av bankernas kundregister på basis av uppgiftsbegärandenas natur och antalet kontoinnehavare. Till exempel år 2018 omfattade de tre största material som banker lämnat till Skatteförvaltningen sammanlagt omkring 17 860 000 kontohändelser. De tre största material enligt antalet kontoinnehavare berörde omkring 880 000 kontoinnehavare av vilka cirka 85 procent har varit privatpersoner.
Dataombudsmannen anser att Skatteförvaltningen inte i tillräcklig mån har beaktat riskerna med behandling av personuppgifter. När man i allt större utsträckning har övergått från kontanter till betalningsrörelse från bankkonton, kan man av kontohändelserna få en allt mer detaljerad bild av en persons privatliv.
Myndigheters behörighet ska begränsas noggrant
”Trots att Skatteförvaltningen har haft ett viktigt syfte med uppgiftsbegärandena, ska myndigheters behörighet begränsas noggrant i fråga om ärenden som gäller människornas privatliv”, konstaterar dataombudsmannen Anu Talus. ”Att myndigheternas behörighet begränsas är en av de viktigaste hörnstenarna i en rättsstat och dess betydelse har bara ökat på grund av världspolitiska kriser”, betonar Talus.
Personuppgifter får inte samlas eller behandlas i större utsträckning än vad som är nödvändigt för ändamålet, i detta fall alltså för skattekontroll. När Skatteförvaltningen hade fått materialen har kontohändelser som varit föremål för granskning begränsats enligt mer precisa kriterier. Dataombudsmannen anser att Skatteförvaltningen kunde ha begränsat de uppgifter som begärdes redan på förhand.
Dataombudsmannen bedömer Skatteförvaltningens förutsättningar för avvikelse från dataskyddsprinciperna
Skatteförvaltningen har motiverat omfattningen av sina uppgiftsbegäranden bland annat med 10 § i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter. Enligt bestämmelsen får Skatteförvaltningen också för att utföra sina lagstadgade uppgifter behandla beskattningsuppgifter som den tagit emot eller satt upp för ett visst beskattningsärende utan att bestämmelserna om skydd för personuppgifter och sekretessbeläggning av handlingar hindrar det.
Lagstiftningen kan begränsa vissa skyldigheter i enlighet med dataskyddsförordningen med beskattningsrelaterade grunder. Dataombudsmannen anser ändå att Skatteförvaltningen inte kan avvika från principen för uppgiftsminimering eller andra principer i dataskyddsförordningen med stöd av den ovannämnda bestämmelsen, eftersom omfattningen av begränsningarna inte har fastställts i fråga om avvikelser och omständigheter under vilka begränsningar kan tillämpas inte har definierats.
I praktiken betyder motivering med stöd av den ovannämnda bestämmelsen att Skatteförvaltningen skulle kunna behandla material som banker överlämnat och som innehåller till exempel uppgifter om inköp även för andra ändamål än för det som Skatteförvaltningen har begärt uppgifterna för. Dataombudsmannen fäste även uppmärksamhet vid att riksdagens grundlagsutskott inte har bedömt bestämmelsen. Finansministeriet har underrättats om ärendet för bedömning av eventuella behov att ändra lagstiftningen.
Beslutet har inte ännu vunnit laga kraft. Ändring i beslutet kan sökas genom ett klagomål hos förvaltningsrätten.
Dataombudsmannens beslut 3681/186/21 (pdf, på finska)
Mer information:
dataombudsman Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766
dataombudsmannens byrås kommunikationer: viestinta.tietosuoja(at)om.fi
kommunikationskoordinator Sara Jaakonmäki, tfn 029 566 6764
kommunikationsspecialist Elina Autio, tfn 029 566 6705