2.2.1  Valet av föremål för jämförelseuppgiftsgranskningen

Vid jämförelseuppgiftsgranskning är granskningsobjektet en aktör vars egna uppgifter Skatteförvaltningen inte samlar in, utan vid granskningen inhämtas det uppgifter om ekonomisk verksamhet och beskattning som används i beskattningen av andra skattskyldiga. Typiskt är att uppgifter inhämtas av kunder eller affärspartner till den som granskas. 

Det material som vid jämförelseuppgiftsgranskning ska visas upp för granskning kan gälla både finländska och utländska fysiska personer eller juridiska personer, när uppgifterna behövs i skattekontrollen till exempel för kontroll av den skattskyldiges skyldighet att lämna uppgifter, säkerställande av skattskyldighetsställningen eller kontroll av huruvida förpliktelser i anknytning till källskatt har uppfyllts eller för fullgörande av Skatteförvaltningens internationella förpliktelser. I fråga om fysiska personer handlar behovet av att använda uppgifterna i regel om kontroll av fullgörande av deklarationsskyldigheten. Omfattningen av jämförelseuppgiftsgranskningen fastställs utifrån behoven i den aktuella granskningen och granskningen kan således inriktas också på en omfattande mängd ekonomiska transaktioner. Till exempel av banker har vid jämförelseuppgiftsgranskningar begärts uppgifter om kontohavarnas alla gränsöverskridande gireringar, om inköp utomlands på distans med finländska privata kort, om betalningar till finländska kontokunder från vissa utländska bankkonton eller betalningar till finländska kunders betalkort från vissa mäklare på utländska börsar för virtuell valuta. Dessa kontotransaktioner har innehållit sådana ekonomiska transaktioner som Skatteförvaltningen inte får information om från annat håll och som det är nödvändigt att behandla vid skattekontrollen för att en korrekt och lika beskattning ska kunna säkerställas.  

2.2.2  Innehållet i det material som granskas, möjligheten till upprepade granskningar och tidsmässig dimension

Att jämförelseuppgiftsgranskningen är proportionell i förhållande till skattekontrollens målsättningar förutsätter att granskningen avgränsas till och inriktas på endast uppgifter som behövs för skattekontrollen. Enligt Skatteförvaltningens anvisning om jämförelseuppgiftsgranskningar begärs att för granskning visas upp ett material som i den enskilda jämförelseuppgiftsgranskningen bedöms vara nödvändigt med tanke på kontrollen av den skatterisk som är föremål för granskningen. Skatteförvaltningens detaljerade skatteanvisningar: Jämförelseuppgiftsgranskningar, diarienummer VH/4409/00.01.00/2023. Uppgifternas nödvändighet bedöms i förhållande till de skatterisker som kontrolleras samt med beaktande av den administrativa börda utlämnande av uppgifter orsakar granskningsobjektet. Skatteförvaltningens detaljerade skatteanvisningar: Jämförelseuppgiftsgranskningar, diarienummer VH/4409/00.01.00/2023. Till exempel i fråga om gränsöverskridande gireringar har vid jämförelseuppgiftsgranskningar begärts uppgifter av bankerna om beloppet av kundernas gireringar, betalningsdatum samt betalaren och mottagaren. I fråga om kontohavarna kan de uppgifter som begärs anknyta bland annat till kundbeteckning, kontonummer och kundens kontaktinformation. Om objektet för jämförelseuppgiftsgranskning är till exempel en plattformsoperatör anknyter det material som begärs i allmänhet till uppgifter om kundrelationen mellan granskningsobjektet och dess kunder, såsom avtal och identifieringsuppgifter samt uppgifter om försäljnings- och inköpsfakturor. Vid planeringen av varje jämförelseuppgiftsgranskning säkerställs det att det material som begärs gäller endast uppgifter som på förhand bedömts vara nödvändiga och som gäller granskningsobjektets ekonomiska transaktioner. Vid behov har diskussioner förts med den uppgiftsskyldige om hur begäran ska riktas. I den begäran om uppgifter som riktas till objektet för jämförelseuppgiftsgranskningen ingår motiveringar till att uppgifterna ska visas och till att de behövs i skattekontrollen. Även om det är fråga om en omfattande jämförelseuppgiftsgranskning gäller begäran om uppgifter i regel inte ett helt register.  

Skatteförvaltningen har en lagstadgad skyldighet att utföra skattekontroll. Avsikten med kontrollerna är att utreda om den skattskyldige som utgör granskningsobjekt har anmält uppgifterna korrekt till Skatteförvaltningen. Till kontrollens natur hör således att all information som samlas in vid jämförelseuppgiftsgranskningen inte leder till beskattningsåtgärder. Vid jämförelseuppgiftsgranskning strävar man efter att genom att behandla och sålla uppgifterna kontrollera att skattskyldigheterna uppfylls inom vissa riskområden och behandlingen av uppgifter kan inte i förväg avgränsas på individnivå. Genom att uppgifterna avgränsas och inriktas säkerställs emellertid att den information som inhämtas vid jämförelseuppgiftsgranskning är relevant för bedömningen av den skatterisk som kontrolleras. Skatteförvaltningens detaljerade skatteanvisningar: Jämförelseuppgiftsgranskningar, diarienummer VH/4409/00.01.00/2023. 

Lagstiftningen innehåller inga begränsningar i fråga om antalet jämförelseuppgiftsgranskningar gällande en och samma uppgiftsskyldige. Således kan en jämförelseuppgiftsgranskning flera gånger riktas mot samma uppgiftsskyldige om de uppgifter som samlas in behövs i skattekontrollen av skatterisken. Detta förutsätter emellertid alltid bedömning från fall till fall, vilket innebär att genomförandet av varje jämförelseuppgiftsgranskning övervägs separat, även om granskningsobjektet är en utomstående som också tidigare har varit föremål för jämförelseuppgiftsgranskning. För att garantera en effektiv skattekontroll måste jämförelseuppgiftsgranskningen i vissa fall upprepas tillräckligt ofta om jämförelseuppgifterna har visat till exempel på allvarliga brister i deklarationen av inkomster. Trots att granskningsobjektet då är samma uppgiftsskyldige är de jämförelseuppgifter som inhämtas nya. När jämförelseuppgiftsgranskningen avgränsas och de uppgifter som begärs väljs ut tas hänsyn till de iakttagelser som gjorts utifrån en tidigare granskning. Varje jämförelseuppgiftsgranskning är en kontrollåtgärd för sig. Det är inte fråga om en regelmässig skyldighet att lämna uppgifter som riktas mot granskningsobjektet. Skatteförvaltningens detaljerade skatteanvisningar: Jämförelseuppgiftsgranskningar, diarienummer VH/4409/00.01.00/2023. Jämförelseuppgifter kan samlas in för tidsperioder av olika längd beroende på granskningsbehovet. Uppgifter kan begäras exempelvis per kalenderår eller för en period på ett halvt år.  

Det är möjligt för den uppgiftsskyldige att få ett överklagbart beslut om den begäran om uppgifter som framförts vid jämförelseuppgiftsgranskningen i enlighet med 65 a § 7 mom. i lagen om beskattningsförfarande. Ändring i beslutet kan sökas genom en skriftlig begäran om omprövning hos skatterättelsenämnden. 

2.2.3  Faser vid jämförelseuppgiftsgranskningen

Jämförelseuppgiftsgranskningen följer motsvarande förfarande som vanlig skattegranskning. Jämförelseuppgiftsgranskningen inleds genom kontakt från Skatteförvaltningen och en inledande diskussion med granskningsobjektet. Jämförelseuppgiftsgranskningen genomförs nuförtiden i regel som datateknisk skattegranskning (it-skatterevision) på grund av att de informationsmaterial som behandlas är omfattande. Vid it-skatterevision utnyttjas elektroniska filer över affärstransaktioner som ingår i företagets ekonomiförvaltning och andra system. Skatteförvaltningen skickar en skriftlig begäran till granskningsobjektet om det material som behövs för granskningen. I fråga om det material som ska granskas är utgångspunkten att skatterevisorerna från det material som uppvisats för dem samlar in de jämförelseuppgifter som behövs i skattekontrollen. Vid jämförelseuppgiftsgranskningen kan man också komma överens om att granskningsobjektet själv samlar in de nödvändiga och exakt definierade uppgifterna och visar upp dem för granskning för Skatteförvaltningen. Skatteförvaltningens detaljerade skatteanvisningar: Jämförelseuppgiftsgranskningar, diarienummer VH/4409/00.01.00/2023. 

En jämförelseuppgiftsgranskning upphör då skatterevisorerna plockat de uppgifter som de behöver i skattekontrollen från det material som visats upp för granskning. Över jämförelseuppgiftsgranskningen upprättas en berättelse där det framgår att skattegranskning har förrättats för insamling av jämförelseuppgifter. Granskningsberättelsen delges den aktör som varit granskningsobjekt och av vilken jämförelseuppgifterna samlats in. Skatteförvaltningen har fastställt principerna för lagring av jämförelseuppgifter och utser områdesspecifika dataansvariga för uppgifterna. De dataansvariga ser till att personuppgifter som skatterevisorerna samlat in med en jämförelseuppgiftsgranskning raderas, då det inte längre finns något användningsbehov för dem enligt skattelagstiftningen. Skatteförvaltningens detaljerade skatteanvisningar: Jämförelseuppgiftsgranskningar, diarienummer VH/4409/00.01.00/2023. 

Efter att jämförelseuppgiftsgranskningen slutförts används de uppgifter som samlats in vid granskningen i beskattningsåtgärder som gäller enskilda skattskyldiga. Utifrån uppgifterna kan en skattegranskning av en skattskyldig inledas eller uppgifterna kan användas för rättelse av beskattningen. Användningen av uppgifterna i beskattningsåtgärder som gäller en enskild skattskyldig hör inte längre till jämförelseuppgiftsgranskningen och skattekontrollen riktas inte mot den uppgiftsskyldige som är föremål för jämförelseuppgiftsgranskningen. Skattekontrollen är således en åtgärd som är åtskild från jämförelseuppgiftsgranskningen och som gäller en sådan skattskyldig som Skatteförvaltningen inte har fått uppgifter om av den skattskyldige som är föremål för jämförelseuppgiftsgranskningen. Skattekontrollen gäller inte den skattskyldige som varit föremål för jämförelseuppgiftsgranskningen. 

2.2.4  Exempel på begäran om uppgifter

I exempelfallet har Skatteförvaltningen begärt följande uppgifter: 

”Skatteförvaltningen förrättar jämförelseuppgiftsgranskning nr X, som gäller betalningar/uttag i euro från utländska börsar för virtuell valuta till dessa börsars finländska kunders betalkort. 

Förfrågan gäller betalningar där handelsnamn innehåller något av följande: 

- *** 

- *** 

- *** 

- *** 

- *** 

- *** 

- *** 

- *** 

- *** 

- *** 

- *** 

- *** 

Vi ber er presentera uppgifterna om korttransaktionerna kalenderåret 2021 för granskning. 

Skatteförvaltningen uppmanar Y att senast den 31 augusti 2022 lämna in följande uppgifter i sin besittning per transaktion avseende betalningar/uttag från de nämnda köpmansnamnen till Y:s kunders betalkort: 

Datainnehåll: 

– mottagarens namn 

– mottagarens personbeteckning 

– mottagarens företags- och organisationsnummer 

– betalningsbelopp (euro) 

– tidpunkten för betalningen (datum) 

– betalarens handelsnamn 

– betalarens köpmansbeteckning (id)” 

Utöver de citerade punkterna ovan innehåller den begäran om uppgifter som använts som exempel den lagstiftning som begäran grundar sig på. Dessutom innehåller begäran om uppgifter anvisningar om i vilken form uppgifterna ska lämnas och en beskrivning av de begärda uppgifternas användningsändamål och proportionalitet vid jämförelseuppgiftsgranskningen. I det nuvarande förfarandet avslöjade Skatteförvaltningen inte i sin begäran riskobjekten för skattekontrollen. De begärda uppgifternas användningsändamål och proportionalitet beskrivs på ett sådant sätt att det utifrån dem inte direkt kan härledas uppgifter som kan äventyra uppfyllelsen av syftet med skattekontrollen. Sådana uppgifter är sekretessbelagda med stöd av 24 § 1 mom. 15 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999). 

2.4.1  Högsta förvaltningsdomstolen

Högsta förvaltningsdomstolen har i sitt förhandsbeslut HFD 2020:8 behandlat lagenligheten av en begäran om uppgifter som Skatteförvaltningen lämnat till en bank för jämförelseuppgiftsgranskning. Högsta förvaltningsdomstolen ansåg att Skatteförvaltningens begäran om uppgifter, där myndigheten bland annat begärde en förteckning över bankens alla kunder, inte var förenlig med dataskyddsförordningen. Uppgifterna begärdes i alltför stor omfattning, då man inte hade försökt begränsa begäran till att gälla kunder vilkas uppgifter kunde antas vara nödvändiga för genomförande av skattekontrollen. I sitt beslut bedömde högsta förvaltningsdomstolen ärendet med stöd av artikel 5 och 6 i dataskyddsförordningen, 4 § 2 punkten i dataskyddslagen och 21 § i lagen om beskattningsförfarande. 

I fallet hade Skatteförvaltningen av banken för jämförelseuppgiftsgranskning begärt bland annat bankens kundförteckning vid en given tidpunkt och uppgifter om lån som banken beviljat samt uppgifter om förmedlade försäkringar samt om försäkringsrelaterade förmögenheter i bankens förvar och förvaltning under en period på fyra kalenderår. Dessutom begärdes uppgifter om betalningar som gäller vissa länder inklusive uppgifter om betalningstagare och betalningsmottagare utan undre gräns i euro och statistik över utrikespenningrörelse. Högsta förvaltningsdomstolen har påpekat att 21 § i lagen om beskattningsförfarande, som handlar om jämförelseuppgiftsgranskning, inte har ändrats sedan dataskyddsförordningen trädde i kraft. Enligt artikel 6.3 andra stycket i dataskyddsförordningen ska en medlemsstats lagstiftning uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. I lagen om beskattningsförfarande ingår inget uttryckligt krav på proportionalitet i 21 §. När bestämmelsen tillämpas ska därför efter att dataskyddsförordningen trädde i kraft också 4 § 2 punkten i dataskyddslagen beaktas, för att den nationella lagstiftningen ska uppfylla dataskyddsförordningens krav på laglighet och proportionalitet. Enligt högsta förvaltningsdomstolen ska man vid bedömning av proportionaliteten väga tryggandet av skattekontrollen, som hör till utövning av offentlig makt, som en faktor som talar för insamling av uppgifter i förhållande till kraven i artikel 5 i dataskyddsförordningen avseende korrekthet, öppenhet, ändamålsbegränsning samt uppgiftsminimering som faktorer som begränsar insamlingen av uppgifter. Högsta förvaltningsdomstolen har också slagit fast att ingressen till dataskyddsförordningen, där syftena och målen för förordningen beskrivs, ska beaktas vid bedömningen. Enligt högsta förvaltningsdomstolen kan en myndighets begäran, med stöd av skäl 31, i allmänhet inte anses vara förenlig med proportionalitetsprincipen när begäran gäller ett helt register. 

Högsta förvaltningsdomstolen har på den ovan beskrivna grunden i sitt beslut slagit fast att omfattningen av begäran om uppgifter visar att man inte har strävat efter att begränsa begäran till kunder vilkas uppgifter kan antas vara nödvändiga vid skattekontrollen. Begäran om uppgifter var så omfattande att tillmötesgående av begäran om uppgifter hade konsekvenser som kunde jämställas med utlämnande av ett helt kundregister. 

2.4.2  Europeiska unionens domstol

Europeiska unionens domstol (femte avdelningen) har i sitt förhandsavgörande den 24 februari 202 i målet C-175/20 ”SS” SIA mot Valsts ieņēmumu dienests bedömt de krav på behandlingen av personuppgifter som dataskyddsförordningen ställer i fråga om uppgifter som samlas in för beskattningen. I målet hade Lettlands förvaltningsdomstol begärt ett förhandsavgörande gällande tolkningen av dataskyddsförordningen. Skatteförvaltningen i Lettland hade begärt en i Lettland etablerad tillhandahållare av tjänster som gäller annonser som publiceras på internet att återskapa och ge skatteförvaltningen tillgång till chassinumren på fordon som utannonserats på företages webbportal och till säljarnas telefonnummer. Unionens domstol har i sitt avgörande slagit fast att medlemsstatens skatteförvaltning inte kan avvika från bestämmelserna i artikel 5.1 i dataskyddsförordningen när rätt till avvikelse inte har beviljats genom en lagstiftningsåtgärd som avses i artikel 23.1 i förordningen. Dessutom har domstolen konstaterat att bestämmelserna i dataskyddsförordningen ska tolkas så att de inte utgör ett hinder för att skatteförvaltningen i en medlemsstat ålägger en tillhandahållare av tjänster som gäller annonser som publiceras på internet att lämna ut uppgifter till skatteförvaltningen om skattskyldiga som har publicerat annonser i bolagets internetportal. Detta förutsätter emellertid att uppgifterna är nödvändiga för ändamålet med insamlingen av uppgifter och att den tidsperiod för vilken uppgifterna samlas in inte är längre än vad som är absolut nödvändigt för uppnåendet av ett ändamål som gäller allmänt intresse. 

I domen har också slagits fast att det regelverk som utgör grunden för behandlingen måste innehålla tydliga och exakta bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden samt anger minimikrav, så att de personer vars personuppgifter det är fråga om har tillräckliga garantier för att uppgifterna på ett effektivt sätt kan skyddas mot riskerna för missbruk. Detta regelverk måste även vara rättsligt bindande enligt nationell rätt och i synnerhet ange under vilka omständigheter och på vilka villkor en åtgärd för behandling av sådana uppgifter får vidtas för att säkerställa att ingreppet begränsas till vad som är strikt nödvändigt. Den nationella lagstiftning som reglerar en sådan begäran om utlämnande av uppgifter som den som är aktuell i domen måste vara grundad på objektiva kriterier som gör det möjligt att fastställa under vilka omständigheter och på vilka villkor den som lämnar ut uppgifter är skyldig att lämna ut personuppgifter om sina användare. Europeiska domstolens dom av den 24 februari 2022 – Mål C-175/20. 

Europeiska unionens domstol (stora avdelningen) har i sitt förhandsavgörande av den 24 juni 2021 i målet C-1439/19 Latvijas Republikas Saeima bedömt frågan om förhandsavgörande när det gäller huruvida bestämmelserna i den allmänna dataskyddsförordningen ska tolkas så att de ställer hinder för nationell lagstiftning, enligt vilken ett offentligrättsligt organ som är ansvarigt för ett register där poäng för vägtrafikförseelser som påförts fordonsförare antecknas åläggs en skyldighet att överlåta uppgifterna i fråga till var och en som begär dem utan att personen i fråga behöver motivera något särskilt intresse för att få uppgifterna. Domstolen har i sitt avgörande konstaterat att all behandling av personuppgifter måste ske i överensstämmelse dels med de principer i fråga om behandling av uppgifter som anges i artikel 5 i den allmänna dataskyddsförordningen, dels med ett av de kriterier för behandlingens lagenlighet som anges i artikel 6 i samma förordning. I enlighet med domstolens avgörande ska det vid behandling av personuppgifter även tas hänsyn till de andra principerna i artikel 5.1 i förordningen, bland annat principen om ”uppgiftsminimering” i led c i bestämmelsen. Denna princip innebär att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, och den är ett uttryck för den ovan nämnda proportionalitetsprincipen. Europeiska domstolens dom av den 24 juni 2021 – Mål 439/19. 

2.4.3  Dataombudsmannen

Dataombudsmannen gav den 11 november 2022 ett beslut (Dnr 3681/186/21) om begränsning av de personuppgifter som behandlas i samband med utförande av jämförelseuppgiftsgranskning. I beslutet ansåg dataombudsmannen att Skatteförvaltningen inte har begränsat den mängd personuppgifter som behandlats i samband med utförande av jämförelseuppgiftsgranskningar till det som är nödvändigt med tanke på ändamålet med behandlingen. Behandlingen av personuppgifter ansågs därför inte vara proportionell mot det mål som eftersträvas med behandlingen. Begärandena om uppgifter och den behandling av personuppgifter som följer av dessa har därför inte uppfyllt kraven i dataskyddsförordningen om minimering av personuppgifter och om dataskydd som standard och inte heller villkoren i dataskyddslagen om proportionell behandling av personuppgifter i en myndighets verksamhet för utförande av en uppgift av allmänt intresse. Dataombudsmannen tog dessutom i sitt beslut fasta på att bestämmelsen i lagen om beskattningsförfarande om jämförelseuppgiftsgranskning inte har bedömts av grundlagsutskottet. I dataombudsmannens beslut hänvisas det till högsta förvaltningsdomstolens och Europeiska unionens domstols avgöranden som behandlas ovan. Se närmare i dataombudsmannens beslut 11.11.2022, Dnr 3681/186/21. 

I ärendet utredde dataombudsmannen allmännare den begäran om uppgifter som Skatteförvaltningen framför vid jämförelseuppgiftsgranskningar och lagligheten i behandlingen av personuppgifter i anslutning till jämförelseuppgiftsgranskningar utifrån diskussioner med Finanssiala ry och Skatteförvaltningen samt det ställningstagande av dataombudsmannen som Finanssiala ry begärt rörande jämförelseuppgiftsgranskningen. De utredningar som Skatteförvaltningen lämnade in i ärendet visar att den har begärt uppgifter av bankerna för jämförelseuppgiftsgranskning om gireringar över Finlands gränser bland annat om betalningsdatum, betalare och mottagare. Begäran om uppgifter har omfattat alla transaktioner som debiterat eller gottskrivit kontot. Begäranden om uppgifter har riktats till flera banker under olika år för jämförelseuppgiftsgranskningar.  

Skatteförvaltningen har i sina utredningen påpekat att alla insamlade uppgifter inte leder till åtgärder inom skattekontrollen och att detta inte heller är syftet med jämförelseuppgiftsgranskningar. Alla insamlade uppgifter analyseras emellertid. Som en följd av behandlingen av uppgifterna väljs en del av uppgifterna ut för närmare fortsatt behandling för att man ska kunna lyfta fram de risker som ska utredas vid jämförelseuppgiftsgranskningen. Den skatterisk som undersöks kan vara till exempel hemlighållande av löneinkomst från utlandet eller bristfällig deklaration. När en jämförelseuppgiftsgranskning utförs har de kontroll- eller styrmetoder som genomförs utifrån jämförelseuppgifterna ännu inte fastställts per kund. I det skedet är det heller ännu inte känt vilka kunders uppgifter som kräver noggrannare utredning och kontroll- eller styråtgärder. Behandlingen av uppgifter är en process, där uppgifter plockas och söks i materialet och jämförs med beskattningsuppgifterna för en definierad kundgrupp. Med hjälp av analys får man ur datamängden fram de kunder som kräver åtgärder och samtidigt kan man från fortsatta åtgärder utesluta de kunder som har beskattningen i ordning. Dessutom säkerställs genom jämförelseuppgiftsgranskning också att de skattskyldiga har deklarerat sina inkomster korrekt. 

Enligt dataombudsmannens åsikt ska Skatteförvaltningen för att följa minimeringsprincipen och proportionalitetskravet tillämpa de kriterier som de använder i det senare analyseringsskedet redan när begäran om uppgifter görs. Dataombudsmannen anser att Skatteförvaltningen vid jämförelseuppgiftsgranskningar redan i utgångsläget begär alltför omfattande uppgifter som sedan avgränsas utifrån förhandlingar med granskningsobjektet och genom det analysarbete som inleds vid Skatteförvaltningen efter att uppgifterna samlats in. 

I dataombudsmannens beslut påpekas det att det enligt artikel 23 i dataskyddsförordningen ska vara möjligt att i en medlemsstats nationella rätt införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter som föreskrivs artikel 5, i den mån dessa bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. En sådan begränsning ska emellertid till sina centrala delar ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa medlemsstatens viktiga mål av generellt allmänt intresse, särskilt ett ekonomiskt eller finansiellt intresse, däribland beskattningsrelaterade frågor. Dataombudsmannen har ansett att det finns en grund enligt artikel 23 för en sådan begränsning i lagstiftningen som beskrivs i artikel 23 i dataskyddsförordningen. Det har dock stor betydelse att den gällande nationella lagstiftningen inte innehåller någon rätt till avvikelse som uppfyller villkoren i artikel 23. 

Dessutom har dataombudsmannen tagit fasta på de krav på dataskydd som standard som följer av artikel 25 i dataskyddsförordningen. Enligt dataombudsmannen borde Skatteförvaltningen vid planering av åtgärder för att minimera personuppgifterna i större utsträckning ha tagit hänsyn till att det i behandlingsåtgärder som vidtas på grund av den begäran om uppgifter som det här handlar om är fråga om omfattande behandling av känsliga uppgifter som hör till kärnområdet för skydd för privatlivet och som kan ha betydande konsekvenser för registrerades rättigheter och friheter. Dataombudsmannen poängterade också i sitt beslut skäl 31 i dataskyddsförordningen, enligt vilket begäranden om att uppgifter ska lämnas ut ska vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dataombudsmannen ansåg i sitt beslut att Skatteförvaltningens begäranden inte kan anses läggas fram i enskilda fall och att behandlingen av personuppgifter inte till alla delar kan betraktas som motiverad, eftersom Skatteförvaltningen har gjort begäranden om uppgifter med motsvarande innehåll till bankerna årligen under 2015–2021. 

I beslutet ansåg dataombudsmannen med de motiveringar som sammanfattas ovan att Skatteförvaltningen inte har begränsat den mängd personuppgifter som behandlats i samband med utförande av jämförelseuppgiftsgranskningar till det som är nödvändigt med tanke på ändamålet med behandlingen. Behandlingen av personuppgifter ansågs därför inte heller vara proportionell mot det mål som eftersträvas med behandlingen. Av denna anledning uppfyller de begäranden om uppgifter som Skatteförvaltningen gjort och som gällt alla gireringar över Finlands gränser samt den behandling av personuppgifter som utförts på grund av dem inte villkoren i artikel 5.1 c och artikel 25.2 i den allmänna dataskyddsförordningen och 4 § 2 punkten i dataskyddslagen. 

4.2.1  Ekonomiska konsekvenser för de offentliga finanserna

Propositionen bedöms sammanlagt öka skatteintäkterna med cirka 100 miljoner euro på årsnivå. Konsekvensbedömningen grundar sig på Skatteförvaltningens uppskattning. Propositionen har preciserats efter remissbehandlingen. Att begärandena om uppgifter inriktas på uppgifter som är nödvändiga vid skattekontrollen, vilket är ett villkor för tillämpningen av jämförelseuppgiftsgranskning, ökar arbetsmängden vid jämförelseuppgiftsgranskningar både hos Skatteförvaltningen och hos de uppgiftsskyldiga. Detta kan ha konsekvenser för hur snabbt den eftersträvade effektiviteten kan uppnås.  

Mot bakgrund av skattegranskningar, skatterättelser, övervakningen av fasta verksamhetsställen samt granskningar av grå ekonomi som Skatteförvaltningen under tidigare år gjort utifrån material som erhållits genom jämförelseuppgiftsgranskningar kan nyttan bedömas vara omkring 20 miljoner euro om året. Dessutom uppkommer på årsnivå cirka 80 miljoner euro nytta av uppskattade skattebortfall på grund av olika skatterisker. Uppskattningarna grundar sig på omfattningen av sådana skatterisker där jämförelseuppgifter om den gränsöverskridande penningtrafiken skulle gagna övervakningen. Dessa skatterisker är i allmänhet kopplade till icke deklarerade inkomster eller till användning av utländska finansiella aktörer i penningtrafik inom inhemsk affärsverksamhet. Skatteförvaltningen har inte följt resultaten av övervakningen per jämförelseuppgiftsgranskning, eftersom jämförelseuppgifterna inte i sig har varit en risk eller ett fenomen under övervakning. Övervakningsresultaten kan inte direkt kopplas till jämförelseuppgifter i anslutning till identifierade risker, utan beloppet av skattebortfallet och den potentiella inverkan av jämförelseuppgifterna har uppskattats av sakkunniga. Minskningen av skattebortfallet påverkas också av vetskapen om tillgången till och utnyttjandet av jämförelseuppgifter vid inriktning av skattekontrollen samt genomförandet av övervakningen. Detta påverkar kundbeteendet och deklarationen på ett sätt som minskar skattebortfallet i synnerhet i situationer med gränsöverskridande penningtrafik. 

Den uppskattade ökningen på 100 miljoner euro av skatteintäkterna fördelas på olika skatteslag enligt följande: 

Förvärvsinkomstskatt: 8 miljoner euro 

Kapitalinkomstskatt: 11 miljoner euro 

Samfundsskatt: 41 miljoner euro 

Mervärdesskatt: 37 miljoner euro 

Arvs- och gåvoskatt: 3 miljoner euro 

Dessutom kan propositionen i någon mån påverka andra indirekta skatter och källskatten. 

Av skatteintäkterna bedöms statens andel vara cirka 89 miljoner euro och kommunernas andel cirka 11 miljoner euro. Konsekvenserna för andra skattetagare är små. Eftersom skattegrunderna inte ändras i propositionen kompenseras kommunerna inte för konsekvenserna. 

Det föreslås att ändringen träder i kraft 2026, men konsekvenserna för skatteintäkterna realiseras med en viss eftersläpning. Skatteintäkterna uppskattas 2027 öka med cirka 50 miljoner euro, det vill säga med ungefär hälften av de totala konsekvenserna av ändringen. Den årliga skatteintäkten på hela beloppet av 100 miljoner realiseras från och med 2028. 

4.2.2  Konsekvenser för myndigheternas verksamhet

Ändringarna i bestämmelsen om jämförelseuppgiftsgranskningar tryggar en tillräcklig tillgång till uppgifter för Skatteförvaltningen genom jämförelseuppgiftsgranskningar med tanke på en effektiv skattekontroll och bekämpning av grå ekonomi. Skatteförvaltningen kan med stöd av lagen i fortsättningen behandla omfattande informationsmaterial vid jämförelseuppgiftsgranskningarna. På grundval av dessa kan man utifrån sådana uppgifter som Skatteförvaltningen inte får regelmässigt kontrollera att skyldigheterna i fråga om skatt fullgörs. Förslaget utvidgar emellertid inte de kategorier av personuppgifter som redan i nuläget behandlas vid jämförelseuppgiftsgranskningen utan de är fortfarande desamma som Skatteförvaltningen behandlar med stöd av skattedeklarationer och andra anmälningar. Dessutom föreslås det i anslutning till jämförelseuppgiftsgranskningar särskilda bestämmelser om Skatteförvaltningens rätt att behandla uppgifter som hör till särskilda kategorier av personuppgifter i samband med omfattande informationsmaterial. Det är närmast fråga om en precisering i förhållande till nuläget, eftersom Skatteförvaltningen också i nuläget behandlar motsvarande uppgifter som hör till särskilda kategorier av personuppgifter i beskattningen och också i samband med jämförelseuppgiftsgranskningar. 

På grund av de krav som ställs på dataskyddet vid behandling av uppgifter i omfattande informationsmaterial och uppgifter som hör till särskilda kategorier av personuppgifter ska det för Skatteförvaltningen föreskrivas en uttrycklig skyldighet att vid jämförelseuppgiftsgranskningarna vidta särskilda skyddsåtgärder för att skydda personuppgifterna. Skatteförvaltningen ska utse en tjänsteman och särskilt ge honom eller henne tillstånd att delta i behandlingen av uppgifter vid jämförelseuppgiftsgranskning. Dessutom ska en tjänsteman som behandlar jämförelseuppgifter vara synnerligen tillförlitlig och ha lämplig kompetens också i fråga om etisk behandling av omfattande informationsmaterial. Kraven förutsätter att Skatteförvaltningen som arbetsgivare inför ett noggrannare förfarande och en dokumenterad process för den personal som behandlar jämförelseuppgifter. Skatteförvaltningen ska ordna utbildning och introduktion för den personal som behandlar jämförelsepersonuppgifter om särdragen i uppgiftsbehandlingen och de krav som dataskyddet ställer på behandlingen. 

Skatteförvaltningen ska också med hjälp av tekniska och organisationsrelaterade åtgärder se till att informationssäkerheten fullgörs på ett tekniskt högklassigt sätt i behandlingen av jämförelseuppgifterna. Dessutom ska man vid behandling av informationsmaterial se till att uppgifter som inte behövs vid beskattningen raderas genast. 

Regleringen bedöms inte ha konsekvenser för andra myndigheters verksamhet. 

4.2.3  Konsekvenser för skyddet för privatlivet och personuppgifter

De uppgifter om enskilda identifierbara skattskyldiga som Skatteförvaltningen får genom jämförelseuppgiftsgranskningarna är sekretessbelagda med stöd av lagen om offentlighet och sekretess i fråga om beskattningsuppgifter. Sekretessen för beskattningsuppgifter skyddar fysiska personers personuppgifter och juridiska personers konfidentiella uppgifter. 

I förslaget specificeras Skatteförvaltningens rätt att behandla en stor mängd icke-individualiserade personuppgifter, vars mängd är begränsad. I lagen föreskrivs det om uppgiftsskyldigas skyldighet att till Skatteförvaltningen vid jämförelseuppgiftsgranskning lämna en begränsad mängd uppgifter om en fysisk person, när begäran inte särskilt eller uttryckligen individualiserar de fysiska personer som behandlingen kommer att gälla. Jämförelseuppgiftsgranskningen ska alltid vara motiverad och avsikten är att få med tanke på skattekontrollen nödvändiga uppgifter om sådan ekonomisk verksamhet som är förknippad med en betydande risk för försummelse av skatteförpliktelser. Med tanke på skyddet för fysiska personer är det betydelsefullt att Skatteförvaltningen ska ha rätt att med riskbaserad avgränsning få stora mängder av uppgifter. Trots att Skatteförvaltningen måste begränsa begäran om uppgifter till bara uppgifter som är nödvändiga vid skattekontrollen, kan informationsmaterialet innehålla också personuppgifter som inte används i beslut om beskattning och uppgifter som inte anknyter till ekonomiska transaktioner som är relevanta i beskattningen. Den föreslagna regleringen har således betydande konsekvenser för skyddet för privatlivet och personuppgiftsskyddet. Propositionens förhållande till den allmänna dataskyddsförordningen och skyddet för de grundläggande fri- och rättigheterna bedöms närmare i avsnitt 10.  

I beskattningen och vid jämförelseuppgiftsgranskning är det i regel inte nödvändigt att behandla uppgifter som hör till särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen. I praktiken kan ett regelmässigt behov för omedelbar behandling uppstår när en fackförenings uppgift om medlemsavgift behandlas eller om någon för att få avdrag för nedsatt skattebetalningsförmåga eller skattelättnad åberopar till exempel hälsoskäl. I beskattningen kan emellertid ingå behandling av uppgifter som hör till särskilda kategorier av personuppgifter till exempel när en ekonomisk transaktion som är kopplad till en person avslöjar exempelvis anlitande av en hälso- och sjukvårdsrelaterad tjänst. När en jämförelseuppgiftsgranskning gäller uppgifter som beskriver en fysisk persons ekonomiska transaktioner kan det i vissa situationer framgå också uppgifter som hör till särskilda kategorier av personuppgifter. I dessa situationer ska uppgifterna behandlas med omsorg. I skattekontrollen är det emellertid nödvändigt för Skatteförvaltningen att behandla också sådana uppgifter till exempel när föremålet för skattekontrollen är aktörer inom hälso- och sjukvården eller när man genom skattekontrollen bedömer en fysisk persons betalningsrörelse. Jämförelseuppgiftsgranskning genomförs emellertid aldrig med syftet att uttryckligen inhämta uppgifter som hör till särskilda kategorier av personuppgifter.  

I 21 § 4 mom. i den föreslagna lagen om beskattningsförfarande föreskrivs det om särskilda krav på behandlingen av jämförelseuppgifter utöver kraven enligt artiklarna 25 och 32 i den allmänna dataskyddsförordningen. Med dessa krav ökas säkerheten i behandlingen av uppgifter och tryggas den registrerades rättigheter och friheter genom att risken minskas för att alltför omfattande jämförelseuppgiftsgranskning utförs eller sådana uppgifter som inte är nödvändiga används i beskattningen eller Skatteförvaltningens personal använder uppgifter som erhållits vid jämförelseuppgiftsgranskning för något annat ändamål än beskattning.  

Den registrerade har rätt att få uppgifter om behandlingen av personuppgifter. Skatteförvaltningen kan emellertid begränsa den information som ges om behandlingen till den del som informationen äventyrar en kontrollåtgärd som gäller beskattningen. Vid begränsning av informationen tillämpas skönsmässigt den i 11 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet föreskrivna rätten att vägra lämna ut uppgifter när utlämnande av uppgifter skulle strida mot ett synnerligen viktigt allmänt intresse, såsom syftet med skattekontroll, samt artikel 23 i den allmänna dataskyddsförordningen och 34 § 1 mom. 3 punkten i den nationella dataskyddslagen, enligt vilka den registrerade inte har den i artikel 15 i dataskyddsförordningen avsedda rätten till tillgång till uppgifter som samlats in om honom eller henne, om personuppgifterna används i kontroll- och granskningsuppgifter och det att uppgifterna inte lämnas ut är nödvändigt för tryggande av ett för Finland eller Europeiska unionen viktigt ekonomiskt eller finansiellt intresse. En fysisk persons rätt till tillgång kan tillgodoses efter att utlämnande av uppgifterna inte längre äventyrar skattekontrollen.  

Enligt 34 § 4 mom. i dataskyddslagen ska, om en registrerad inte har rätt att ta del av de uppgifter som samlats in om honom eller henne, de uppgifter som avses i artikel 15.1 i den allmänna dataskyddsförordningen på den registrerades begäran lämnas till dataskyddsombudet. Således kan dataskyddsombudet på begäran kontrollera lagenligheten i uppgifterna om den registrerade också när den registrerade inte själv kan utnyttja sin rätt till insyn. Om den registrerade anser att myndigheten bryter mot lagstiftningen om behandling av personuppgifter, har den registrerade också rätt att föra ärendet till dataombudsmannen för behandling. 

Med tanke på andra rättigheter för den registrerade kan det konstateras att en fysisk persons uppgifter behandlas i uppgifter som gäller beskattningen och bestämmelser om den rättsliga grunden finns i lag. Om en uppgift som erhållits av en utomstående enligt den skattskyldiges uppfattning är felaktig, kan den skattskyldige anmäla detta till Skatteförvaltningen i samband med hörandet, varvid saken kan utredas innan beskattningsåtgärder vidtas. Dessutom har den skattskyldige tillgång till rättsmedlen inom beskattningen. I fråga om radering och begränsning av behandlingen ska hänsyn tas till att information som fås av utomstående utnyttjas för beskattningsuppgifter som föreskrivs i lag och att det är viktigt att uppgifterna används i skattekontrollen av orsaker som gäller unionens eller en medlemsstats allmänna intresse. Skatteförvaltningen har rätt att vägra tillmötesgå yrkanden som gäller dessa rättigheter. På motsvarande sätt har en person inte rätt att göra invändningar mot att hans eller hennes uppgifter behandlas vid jämförelseuppgiftsgranskning, eftersom hela grunden för behandlingen är att uppgifterna är nödvändiga i en enskild situation inom skattekontrollen och tillmötesgående av rätten att göra invändningar äventyrar en i 26 § i lagen om beskattningsförfarande avsedd korrekt och lika beskattning. Det finns tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.  

Den föreslagna bestämmelsen begränsar den registrerades rättigheter och ökar mängden personuppgifter som ska behandlas hos Skatteförvaltningen. Således kan den föreslagna regleringen öka riskerna i anslutning till skyddet för personuppgifter. Samtidigt uppfyller den föreslagna regleringen kraven i dataskyddsregleringen i och med att den utnyttjar det nationella handlingsutrymme som dataskyddsförordningen möjliggör, inriktar de uppgifter som Skatteförvaltningen begär endast på uppgifter som är nödvändiga vid skattekontrollen och innehåller bestämmelser också om behandlingen av särskilda kategorier av personuppgifter. De föreslagna skyddsåtgärderna tryggar en ändamålsenlig behandling av personuppgifter om fysiska personer. En noggrannare avgränsad bestämmelse om inhämtande av jämförelseuppgifter förtydligar också annars villkoren för behandling av personuppgifter vid jämförelseuppgiftsgranskningar. Således bedöms regleringsändringen innebära också positiva konsekvenser med tanke på skyddet för personuppgifter.  

4.2.4  Konsekvenser för uppgiftsskyldiga som är föremål för jämförelseuppgiftsgranskning

Det nuvarande rättsläget när det gäller jämförelseuppgiftsgranskningar är också förknippat med osäkerheter ur de uppgiftsskyldigas perspektiv, som beror på lagstiftningens allmänna karaktär och dataskyddstolkningarna under den senaste tiden. I och med förslaget blir lagstiftningen om jämförelseuppgiftsgranskningar och inriktning av begäranden om uppgifter noggrannare avgränsad än i nuläget. Detta väntas minska Skatteförvaltningens och de uppgiftsskyldigas meningsskiljaktigheter om tolkningen av huruvida Skatteförvaltningens begäranden är förenliga med dataskyddslagstiftningen, vilket till denna del medför mindre administrativt arbete och minskade kostnader. När jämförelseuppgiftsgranskningar genomförs i enlighet med den föreslagna regleringen ansvarar Skatteförvaltningen för att omfattningen av behandlingen av personuppgifter är lagenlig. Jämförelseuppgiftsgranskningarna medför kostnader för de uppgiftsskyldiga.  

Att besvara begäranden om uppgifter som görs enligt den föreslagna regleringen kan orsaka en del mer arbete, eftersom begärandena är noggrant avgränsade till uppgifter som är nödvändiga vid skattekontrollen. Således bedöms konsekvenserna för uppgiftsskyldiga öka kostnaderna i någon mån. De föreslagna ändringarna innebär också att en uppgiftsskyldig måste hemlighålla de begäranden om uppgifter som framförts vid jämförelseuppgiftsgranskning, eftersom de kan innehålla uppgifter som, om de offentliggörs, kan äventyra uppfyllelsen av syftet med skattekontrollen. 

5.1.1  Allmänt

Att bestämmelsen om jämförelseuppgiftsgranskning preciseras och att skyddsåtgärder skapas avseende behandling av uppgifter grundar sig på Åtgärdsprogrammet för bekämpning av grå ekonomi och ekonomisk brottslighet 2024–2027, som innehåller ett projekt för säkerställande av Skatteförvaltningens tillgång till information. Som ett alternativ till den föreslagna preciseringen av regleringen och skyddsåtgärderna har man i samband med beredningen bedömt möjligheten att också i fortsättningen verka inom ramen för den gällande lagstiftningen och de befogenheter den skapar. Dessutom har man granskat möjligheten att i lagstiftningen införa en ny uppgiftsskyldighet för banker och betalningsinstitut avseende gränsöverskridande betalningar som de förmedlar. 

5.1.2  Verksamheten i nuläget

Högsta förvaltningsdomstolens och dataombudsmannens avgöranden som behandlas i avsnitt 2.4 innebär att Skatteförvaltningen ska ändra genomförandet av jämförelseuppgiftsgranskningar och försäkra sig om att insamlingen av uppgifter är proportionell och begränsad till uppgifter som är relevanta i beskattningen. Avgörandena innebär emellertid inte att jämförelseuppgiftsgranskningarna i sig strider mot dataskyddslagstiftningen. Om jämförelseuppgiftsgranskningarna i fortsättningen görs utan att den gällande lagstiftningen ändras ska Skatteförvaltningens begäranden om uppgifter på grund av högsta förvaltningsdomstolens och dataombudsmannens avgöranden inriktas på och begränsas till enbart uppgifter som kan motiveras vara nödvändiga i beskattningen. Den uppgiftsskyldige ska inte heller behöva behandla uppgifter som inte behövs i beskattningen. 

Således innebär fortsättning på samma sätt som i nuläget att man utför betydligt mer begränsade och snävare jämförelseuppgiftsgranskningar och detta motsvarar inte syftet med den nuvarande regleringen av jämförelseuppgiftsgranskningar. Skatteförvaltningen får då inte genom jämförelseuppgiftsgranskningarna de uppgifter som är nödvändiga vid skattekontrollen. Att bevara nuläget fyller således inte heller det skattebortfall som på grund av dataskyddslagstiftningen har uppstått under de senaste åren i och med jämförelseuppgiftsgranskningarnas ändrade omfattning.  

Eftersom den gällande bestämmelsen om jämförelseuppgiftsgranskningar är av allmän karaktär och de begäranden om uppgifter som Skatteförvaltningen har framfört vid jämförelseuppgiftsgranskningar grundar sig på den bestämmelsen och på tolkning av dataskyddslagstiftningen, fortsätter rättsläget avseende jämförelseuppgiftsgranskningar att vara oklart och de uppgiftsskyldiga kan inleda nya besvärsprocesser i anslutning till begärandena om uppgifter. Skatteförvaltningen får inte heller med en mer begränsad begäran jämförelseuppgifter av alla aktörer, vilket för sin del försvårar planeringen och genomförandet av åtgärderna för skattekontroll. På grund av dataskyddsriktlinjerna och de vaga gällande bestämmelserna kvarstår då rum för tolkningar i förfarandet för jämförelseuppgiftsgranskningar, vilket inte är önskvärt med tanke på att beskattningen ska vara jämlik och förutsägbar och att de skattskyldiga ska bemötas likvärdigt. Med hänvisning till det ovanstående kan det inte betraktas som ett motiverat alternativ att verka som i nuläget om ett effektivt genomförande av jämförelseuppgiftsgranskningar och skyddet för personuppgifter ska säkerställas. 

5.1.3  Nya uppgiftsskyldigheter för kreditinstitut avseende gränsöverskridande betalningar

I propositionen granskas ytterligare som ett alternativ möjligheten att lagstifta om en regelbunden uppgiftsskyldighet för kreditinstituten avseende gränsöverskridande betalningar som de förmedlar. En uppgiftsskyldighet för betalningsförmedlarna skulle effektivisera i synnerhet utredningen av risker och ingripandet i dem i fråga om gränsöverskridande betalningar.  

Kreditinstitutens uppgiftsskyldighet skulle kunna göra det möjligt för Skatteförvaltningen att samla in ett tillräckligt informationsunderlag i ett så tidigt skede att uppgifterna kan utnyttjas i den regelmässiga beskattningen. Detta förutsätter emellertid att uppgiftsskyldigheten snarare är månatlig än årlig. En uppgiftsskyldighet skulle också i sig kunna främja skötsel av skyldigheter som gäller beskattningen på eget initiativ och minska behovet av skattekontroll i efterhand. 

Företagens rapporteringsskyldigheter har under de senaste åren ökat avsevärt. En regelbunden, till exempel månatlig, uppgiftsskyldighet skulle således vara en ny skyldighet för kreditinstituten och därmed vara förknippad med frågor som behöver utredas bland annat i anslutning till kreditinstitutens administrativa börda och kostnader som regleringen eventuellt orsakar. Dessutom skulle det behövas en noggrann bedömning av uppgiftsskyldighetens relation till internationella mekanismer för informationsförmedling och internationella förpliktelser. En regelbunden uppgiftsskyldighet eliminerar inte heller som sådan utmaningarna med minimering av uppgifter som rapporteras, vilka i fråga om jämförelseuppgiftsgranskningar har väckt uppmärksamhet i tolkningspraxis avseende dataskyddet. Om det skulle föreskrivas om en ny rapporteringsskyldighet skulle en mekanism skapas för tillämpning av principen om minimering i behandlingen av personuppgifter. 

Ett alternativ till regelbunden rapporteringsskyldighet är att föreskriva en skyldighet för kreditinstituten att identifiera och anmäla till Skatteförvaltningen kontotransaktioner som anknyter till transaktioner som är relevanta för beskattningen. I nuläget gäller anmälningsskyldigheten främst ekonomiska tjänster som finansbranschen tillhandahåller, till exempel värdepappersköp. Dessutom har kreditinstituten en skyldighet att på grund av FATCA-avtalet om utbyte av beskattningsuppgifter mellan Finland och Förenta staterna (FördrS 25/2015) rapportera uppgifter i anslutning till skatterättslig hemvist samt tillgångar och inkomster om sina kunder vilkas skatterättsliga hemviststat är Förenta staterna. Likaså har det för finansinstituten på grund av OECD:s standard för informationsutbytet av upplysningar om finansiella konton mellan olika länder, Common Reporting Standard (CRS) och det på standarden grundade rådets direktiv 2014/107/EU om ändring av direktiv 2011/16/EU vad gäller obligatoriskt automatiskt utbyte av upplysningar i fråga om beskattning, det så kallade DAC2-direktivändringen, föreskrivits en skyldighet att lämna ut uppgift om sina kunders skatterättsliga hemviststat samt förmögenhets- och inkomstuppgifter. Skyldigheten att anmäla till exempel gränsöverskridande kontotransaktioner som gäller beskattningen skulle emellertid vara ny och avsevärt kunna påverka bankernas verksamhet. Om skyldigheten skulle fungera skulle den vara effektiv och i enlighet med dataskyddslagstiftningen omfatta uppgifter som är relevanta vid beskattningen. Att identifiera kontotransaktioner som är relevanta i beskattningen kan emellertid i praktiken vara svårt för kreditinstituten, eftersom de inte har tillgång till samma uppgifter som Skatteförvaltningen. För närvarande identifierar Skatteförvaltningen exempelvis transaktioner som inverkar på beskattningen genom att utnyttja olika analysmetoder riskbaserat och granska uppgifter om betalaren, betalningsmottagaren och grunden för betalningen. 

Skyldigheten för kreditinstituten att identifiera kontotransaktioner som innebär risker för beskattningen och rapportera dem till Skatteförvaltningen skulle kunna bli svårt med tanke på skötseln av det offentliga förvaltningsuppdraget och Skatteförvaltningens lagstadgade uppgifter. En ny rapporteringsskyldighet skulle i praktiken kunna innebära att den offentliga förvaltningsuppgiften överförs från Skatteförvaltningen till kreditinstituten, viket inte skulle vara ändamålsenligt med tanke på skattekontrollen. Dessutom skulle också en mekanism behöva fastställas för övervakningen av rapporteringsskyldigheten. Skatteförvaltningen har till uppgift att begränsa begärandena om uppgifter och att fastställa vilka uppgifter som behövs i skattekontrollen, och dessa uppgifter kan inte överföras till kreditinstituten. 

Med stöd av vad som anförts ovan anses jämförelseuppgiftsgranskningarna vara ett mer motiverat sätt att samla in de uppgifter som behövs för Skatteförvaltningens verksamhet än att införa nya rapporteringsskyldigheter för kreditinstituten. 

5.2.1  Allmänt

I samband med beredningen begärdes utredning om lagstiftningen och de förfaranden som tillämpas från följande länder: Sverige, Danmark, Norge, Estland, Lettland, Tyskland, Storbritannien, Frankrike, Italien och Österrike. Utredningar inkom inte från Estland, Frankrike och Italien. De utredningar som inkom visar att åtminstone Sverige, Danmark, Norge och Lettland använder förfaranden som påminner om Finlands jämförelseuppgiftsgranskning. Också i de övriga länderna tillämpas förfaranden med vilka uppgifter kan inhämtas av utomstående, men de påminner mindre om Finlands jämförelseuppgiftsgranskningar och mer om utomståendes skyldighet att lämna uppgifter enligt 19 § i lagen om beskattningsförfarande, där det handlar om att få uppgifter om en individualiserad skattskyldig. Dessutom tillämpas i en del länder, till exempel i Sverige och Lettland, förfaranden som ålägger bankerna att regelmässigt lämna uppgifter till skatteförvaltningen om kontogireringar som uppfyller vissa villkor. 

5.2.2  Sverige

I Sverige tillämpas ett förfarande som mycket påminner om Finlands jämförelseuppgiftsgranskningar (generell tredjemansrevision), där som en beredningsåtgärd inhämtas uppgifter om någon annan än objektet för revisionen. I det svenska förfarandet är det inte klart att alla uppgifter leder till åtgärder. I synnerhet i fråga om större begäranden om uppgifter ägnas uppmärksamhet åt proportionaliteten. Svenska Skatteverkets vägledning: I vilka syften får revision ske? | Rättslig vägledning | Skatteverket 

I 41 kap. i Sveriges skatteförfarandelag (2011:1244) föreskrivs det bland annat om skatterevisioner som påminner om Finlands jämförelseuppgiftsgranskningar. I 2 § andra stycket i kapitlet i fråga föreskrivs det att skatteverket får besluta om revision också för att inhämta uppgifter av betydelse för kontroll enligt första stycket 1–4 av någon annan än den som revideras. I första stycket 1–4 hänvisas det bland annat i vid bemärkelse till uppgiftsskyldighet avseende den skattskyldigas olika inkomster och avdrag. I 3 § 1–14 föreskrivs det om hos vem revision får göras. Där nämns till exempel den som är eller kan antas vara bokföringsskyldig, en annan juridisk person än ett dödsbo, den som har anmält sig för registrering, den som har ansökt om eller är godkänd för F-skatt och många andra situationer. Enligt 4 § behöver det av uppgifterna om revisionen inte framgå vilken person eller rättshandling som kontrollen avser om det finns särskilda skäl för att inte nämna personen eller rättshandlingen. Enligt utredningen kan ett sådant särskilt skäl vara till exempel att revisioner försvåras om dessa uppgifter måste framgå.  

Sveriges lagstiftning trädde i kraft före den allmänna dataskyddsförordningen och den har inte ändrats på grund av förordningen. Det finns inte någon känd rättspraxis med bedömning av om förförandet uppfyller villkoren i den allmänna dataskyddsförordningen.  

5.2.3  Lettland

I Lettland tillämpas ett förfarande som mycket påminner om Finlands jämförelseuppgiftsgranskning, där skatteförvaltningen kan förrätta skattegranskning till exempel hos en bank enbart för att skatteförvaltningen samlar in uppgifter som kan användas i beskattningen av en annan skattskyldig. En del av Lettlands bestämmelser har antagits efter att den allmänna dataskyddsförordningen trädde i kraft. Bestämmelsernas nödvändighet har bedömts så att man har fått till stånd en balans mellan integritet, skyddet för personuppgifter och skatteförvaltningens skyldighet att uppbära skatt. De uppgifter som banker och andra betalningsinstitut lämnar har ansetts vara nödvändiga för att säkerställa att en skattskyldig har deklarerat alla sina skattepliktiga inkomster. Lettlands förfarande har behandlats i Europeiska unionens domstols avgörande av den 24 februari 2022 i mål C-175/20 ”SS” SIA mot Valsts ieņēmumu dienests, som behandlas i avsnitt 2.4. 

5.2.4  Danmark

I Danmark tillämpas ett förfarande som mycket påminner om Finlands jämförelseuppgiftsgranskning. En väsentlig skillnad är emellertid att en förutsättning för revision är tillstånd av skatterådet (Tax Council) som består av 19 lekmän, om revisionen gäller fysiska personer eller juridiska personer vars namn skatteförvaltningen ännu inte känner till. Av skatterådet godkänd insamling av uppgifter om anonyma personer gäller således de fall där skatteförvaltningen vill göra till exempel slumpmässiga revisioner ellerf näringsgrensundersökningar som handlar om uppgifter i anslutning till en eller flera anonyma personer. En sådan kategori av personer kan vara till exempel ett företags kundkrets eller ett företags leverantörer i en situation där skatteförvaltningen inte på förhand vet vems uppgifter som är relevanta för den fortsatta utredningen. Det finns inte någon känd rättspraxis med bedömning av om Danmarks förfarande uppfyller villkoren i allmänna dataskyddsförordningen. 

5.2.5  Norge

I Norge tillämpas ett förfarande som mycket påminner om Finlands jämförelseuppgiftsgranskning, där en tredje part är skyldig att på skattemyndighetens begäran lämna uppgifter som kan vara av betydelse med tanke på skattskyldigheten för en skattskyldig. En väsentlig skillnad är emellertid att det ska finnas ett särskilt skäl för insamlingen av uppgifter om skattemyndigheten inte specificerar den skattskyldige eller den rättshandling som den begär uppgifter om. I sådana situationer kan uppgifter samlas in endast av företag. Det finns inte någon känd rättspraxis med bedömning av om Norges förförande uppfyller villkoren i allmänna dataskyddsförordningen. Utifrån utredningen kan den allmänna dataskyddsförordningen innebära begränsningar för förfarandet. 

10.1.1  Allmänt om bestämmelser om skydd för personuppgifter

Lagförslaget om jämförelseuppgiftsgranskning är relevant med avseende på skyddet för privatlivet och för personuppgifter, som tryggas i 10 § i grundlagen. Skyddet för personuppgifter ingår i det skydd för privatlivet som tryggas i 10 § 1 mom. i grundlagen. Bestämmelser om skyddet för personuppgifter ska utfärdas genom lag. Skyddet för personuppgifter genomförs framför allt genom den allmänna dataskyddsförordningen och dataskyddslagen som preciserar och kompletterar förordningen. 

Skyddet enligt 10 § i grundlagen kompletteras av skyddet för privatlivet, som tryggats i artikel 7 i EU:s stadga om de grundläggande rättigheterna och skyddet för personuppgifter i artikel 8 i samma stadga samt av skyddet för privatliv enligt artikel 8 i konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europeiska människorättskonventionen, FördrS 18 och 19/1990). I artikel 8.1 i konventionen fastslås det att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Enligt artikel 8.2 är rätten dock inte obegränsad, eftersom myndigheterna får ingripa i användningen av den då lagen tillåter det och det i ett demokratiskt samhälle är nödvändigt av hänsyn till statens säkerhet eller den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter. I Europeiska domstolen för de mänskliga rättigheternas rättspraxis har skyddet för personuppgifter ansetts vara en väsentlig del av skyddet för privatlivet och familjelivet enligt artikel 8. I Europadomstolens avgöranden har det betonats bland annat att lagstiftningen bör innehålla lämpliga garantier för att personuppgifter inte behandlas i strid med artikel 8. De behandlade personuppgifterna ska vara nödvändiga samt både till innehåll och lagringstid begränsade med tanke på ändamålet med registreringen. Regleringen ska likaså innehålla tillräckliga garantier för att olaglig användning av personuppgifter kan förhindras. Enligt grundlagsutskottet förutsätter det nödvändighetskrav som hänför sig till inskränkningar av de rättigheter som skyddas i artikel 8 i Europakonventionen i sin tur att inskränkningen motiveras av ett vägande samhälleligt behov, att ingripandet och det godtagbara mål som eftersträvas står i rätt proportion till varandra och att det finns relevanta och tillräckliga skäl för inskränkningen (GrUU 35/2018 rd). 

Enligt artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 8 i stadgan om de grundläggande rättigheterna har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikel 52.1 i stadgan om de grundläggande rättigheterna ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. Grundlagsutskottet har ansett att det är betydelsefullt att artikel 7 i EU:s stadga om de grundläggande rättigheterna tryggar skyddet för privatlivet och att artikel 8 tryggar vars och ens rätt till skydd för egna personuppgifter. Grundlagsutskottet har framhållit att man vid tillämpningen av EU-lagstiftningen om behandling av personuppgifter måste ta hänsyn till de här artiklarna i stadgan och att EU-domstolens domar på dessa punkter är utslagsgivande för det viktigaste innehållet i respekten för privatlivet och skyddet för personuppgifter (GrUU 14/2018 rd, GrUU 21/2017 rd). 

Grundlagsutskottet har fäst särskild vikt vid att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna vid varje regleringssamband (se GrUU 42/2016 rd, s. 2–3, GrUU 14/2018 rd, s. 5 och de utlåtanden som det hänvisas till där). Begränsningarna ska bedömas särskilt med avseende på om de är godtagbara och uppfyller kravet på proportionalitet (GrUU 29/2016 rd, s. 4–5 i den finska texten och till exempel GrUU 21/2012 rd, GrUU 47/2010 rd samt GrUU 14/2009 rd). 

Grundlagsutskottet har konstaterat att den allmänna dataskyddsförordningen är en EU-rättsakt, som till alla delar är förpliktande och som tillämpas i oförändrad form i alla medlemsstater. Unionslagstiftningen har enligt EU-domstolens etablerade rättspraxis företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (GrUU 1/2018 rd). Grundlagsutskottet har även konstaterat att det inte ingår i grundlagsutskottets konstitutionella uppdrag att bedöma nationell genomförandelagstiftning med avseende på den materiella EU-rätten (se till exempel GrUU 31/2017 rd, s. 4). Grundlagsutskottet har dock framfört synpunkter om förhållandet mellan unionslagstiftningen och den nationella lagstiftningen. Utskottet har i sin tolkningspraxis ansett att det är viktigt att till den del som EU-lagstiftningen förutsätter eller möjliggör nationell reglering, ska vid användningen av detta nationella handlingsutrymme kraven som följer av de grundläggande och mänskliga rättigheterna beaktas (se GrUU 25/2005 rd). Utskottet har därför framhållit att det i regeringens propositioner finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4, GrUU 1/2018 rd, s. 3). 

Enligt grundlagsutskottet utgör den allmänna dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, allmänt taget en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Enligt utskottets uppfattning motsvarar bestämmelserna i den allmänna dataskyddsförordningen, vederbörligt tolkade och tillämpade, även nivån på skyddet av personuppgifter som fastställs enligt Europeiska konventionen om skydd för de mänskliga rättigheterna. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom den allmänna dataskyddsförordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. Grundlagsutskottet anser att skyddet för personuppgifter bör härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen (GrUU 14/2018 rd, s. 4). 

Grundlagsutskottet anser också att vi med tanke på tydligheten bör förhålla oss restriktiva när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som den allmänna dataskyddsförordningen medger. Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i den allmänna dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd, s. 5). 

Enligt grundlagsutskottet ska tyngdpunkten i en konstitutionell bedömning ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter (GrUU 14/2018 rd, s. 7). Grundlagsutskottet har poängterat att en sådan analys är möjlig endast om regeringens proposition innehåller en tillräckligt detaljerad specificering av orsakerna till att behandlingen av personuppgifter i lagförslaget anses vara nödvändig. Det räcker inte med att i form av en slutledning konstatera att de föreslagna bestämmelserna på lagnivå är exakta och noggrant avgränsade samt godtagbara med hänsyn till de grundläggande fri- och rättigheterna som helhet och att de föreslagna ändringarna står i proportion till ändamålet samt att målsättningen inte kan nås genom mindre ingrepp i rättigheterna, om det i motiven till lagstiftningsordning inte på något vis preciseras på vilka grunder de nya befogenheterna att behandla personuppgifter kan anses vara proportionerliga och bygga på skäl som är godtagbara ur konstitutionell synvinkel (GrUU 38/2016 rd, s. 3). Utskottet har framhållit att en sådan brist i motiven till ett lagförslag i extremfall kan leda till att lagförslaget bedöms strida mot grundlagen till den del det inte motiverats på ett riktigt sätt (se till exempel GrUU 38/2016 rd, s. 3, GrUU 9/2016 rd, s. 6 och GrUU 19/1998 rd, s. 4). 

Grundlagsutskottet har ofta bedömt bestämmelser om myndigheters rätt att trots sekretessbestämmelserna få och lämna ut uppgifter med avseende på skyddet för privatlivet och personuppgifter, som föreskrivs i 10 § 1 mom. i grundlagen. Grundlagsutskottet har fäst uppmärksamhet vid bland annat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet (GrUU 15/2018 rd). Myndigheternas rätt att få och möjlighet att lämna ut information kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att ”uppgifterna är nödvändiga” för ett visst syfte (se till exempel GrUU 17/2016 rd, s. 5). Om de föreslagna bestämmelserna om utlämnande av information också hänfört sig till känsliga uppgifter, har ett villkor för tillämpning av vanlig lagstiftningsordning varit att bestämmelserna preciserats så att de följer grundlagsutskottets vedertagna praxis för bestämmelser som rör rätten att få och lämna ut myndighetsuppgifter trots sekretess (GrUU 38/2016 rd, s. 3). Å andra sidan har utskottet ansett att grundlagen inte tillåter en mycket vag och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (se t.ex. GrUU 71/2014 rd, s. 3/I, GrUU 62/2010 rd, s. 4/I och GrUU 59/2010 rd, s. 4/I). 

Grundlagsutskottet har understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är fråga inte bara om omfattningen av innehållet i uppgifterna utan också om att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller den myndighet som innehar informationen. I fråga om en generell rätt till information har det ansetts finnas en risk för att sekretessintressena kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att en enskild begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma begäran med avseende på de lagliga villkoren för utlämnandet. Genom att de facto vägra att lämna ut informationen kan den som innehar den få till stånd en situation där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (GrUU 15/2018 rd). 

Grunden för det nationella handlingsutrymmet i den allmänna dataskyddsförordningen anges i artikel 6 i den allmänna dataskyddsförordningen, som ger medlemsstaterna möjlighet att lagstifta nationellt om rättsgrunden för behandling av personuppgifter. Bestämmelser om den rättsliga grunden för behandlingen av personuppgifter kan införas i lagstiftningen i situationer där behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 c och e). Behandlingen av personuppgifter i myndighetsverksamhet ska i regel grunda sig på dessa rättsliga grunder för behandling av personuppgifter. Enligt 4 § 2 punkten i dataskyddslagen får personuppgifter behandlas i enlighet med artikel 6.1 e i den allmänna dataskyddsförordningen om behandlingen behövs och är proportionell i en myndighets verksamhet för utförande av en uppgift av allmänt intresse. 

Det nationella handlingsutrymmet kan användas då behandlingen av personuppgifter grundar sig på artikel 6.1 c eller e i den allmänna dataskyddsförordningen. Enligt punkt 2 i den artikeln får medlemsstaterna införa mer specifika bestämmelser inom ramen för ovan nämnda uppgift genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. I artikel 6.3 föreskrivs dessutom att den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med unionsrätten, eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Regleringen kan gälla bland annat lagenligheten i informationsbehandlingen av den personuppgiftsansvarige, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsning, lagringstid samt typer av behandling och förfaranden för behandling. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. 

I denna proposition föreslås det att regleringen om jämförelseuppgiftsgranskning ska ändras så att Skatteförvaltningen i fortsättningen kan samla in uppgifter för jämförelseuppgiftsgranskning inom ramen för de krav som dataskyddslagstiftningen ställer på behandlingen av personuppgifter. Syftet med de föreslagna ändringarna är att trygga Skatteförvaltningens tillgång till uppgifter vid skattekontrollen och således också inflödet av skatteintäkter. I den föreslagna bestämmelsen föreskrivs det bland annat om Skatteförvaltningens rätt att utföra jämförelseuppgiftsgranskning, förutsättningarna för begäran om jämförelseuppgiftsgranskning och Skatteförvaltningens skyddsåtgärder vid behandlingen av uppgifter som erhållits vid jämförelseuppgiftsgranskning. Genom att utföra jämförelseuppgiftsgranskningar genomför Skatteförvaltningen sin skattekontrolluppgift enligt lagen om Skatteförvaltningen. Jämförelseuppgiftsgranskning är en av de kontrollmetoder som Skatteförvaltningen kan använda för att säkerställa att de lagstadgade skatterna samlas in på ett rättvist och jämlikt sätt för att finansiera samhällets tjänster och andra utgifter. 

Den föreslagna bestämmelsen är av betydelse med avseende på det skydd för privatlivet och personuppgifter som tryggas i 10 § i grundlagen. I propositionen föreslås reglering som gäller behandling av personuppgifter och som utfärdas inom ramen för det nationella handlingsutrymmet i den allmänna dataskyddsförordningen. Enligt den föreslagna regleringen är behandling av personuppgifter i anslutning till jämförelseuppgiftsgranskning vid Skatteförvaltningen nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning i enlighet med artikel 6.1 e. När uppgiftsskyldiga lämnar uppgifter till Skatteförvaltningen vid jämförelseuppgiftsgranskning grundar sig behandlingen av personuppgifter i enlighet med artikel 6.1 c på fullgörande av en rättslig förpliktelse som åvilar den personuppgiftsansvarige. 

I förslaget utnyttjas det handlingsutrymme som artikel 6.2–6.4 i den allmänna dataskyddsförordningen medger genom att det föreskrivs om grunden för behandling av personuppgifter vid jämförelseuppgiftsgranskning. Dessutom används det handlingsutrymme som artikel 9.2 g och artikel 23.1 e i den allmänna dataskyddsförordningen medger. Till dessa delar behandlas grunderna för användningen av handlingsutrymmet närmare i avsnitten 10.1.3 och 10.1.4. 

I den föreslagna regleringen har grundlagens och den allmänna dataskyddsförordningens krav på skyddet för personuppgifter tagits i beaktande. Jämförelseuppgiftsgranskning är en metod för att utföra skattegranskning enligt 14 § i lagen om beskattningsförfarande, och Skatteförvaltningens rätt att få uppgifter grundar sig på skyldigheten enligt den paragrafen att visa upp uppgifter vid skattegranskningen. På de uppgifter som är föremål för jämförelseuppgiftsgranskning tillämpas 22 § 4 mom. i lagen om beskattningsförfarande, enligt vilket de uppgifter som avses i lagens 3 kap. ska lämnas till Skatteförvaltningen trots sekretessbestämmelser och andra begränsningar som gäller erhållande av uppgifter. 

Ändamålet med de uppgifter som begärs vid jämförelseuppgiftsgranskningen är skattekontroll, som är en lagstadgad uppgift för Skatteförvaltningen. Skattekontrollen omfattar alla de åtgärder genom vilka Skatteförvaltningen kontrollerar att de skattskyldiga har fullgjort sina anmälningsskyldigheter och andra skyldigheter som gäller beskattningen på rätt sätt och i rätt tid. Det är inte möjligt att uttömmande räkna upp de aktörer som Skatteförvaltningen kan rikta jämförelseuppgiftsgranskning mot i regleringen om jämförelseuppgiftsgranskning. Vanligen är föremålet för jämförelseuppgiftsgranskning ett penninginstitut eller någon annan betalningsförmedlare, men det kan också vara nödvändigt att rikta jämförelseuppgiftsgranskning mot andra aktörer för att utreda fakta som är av betydelse vid skattekontrollen. Därför kan man i bestämmelsen inte begränsa målgruppen för jämförelseuppgiftsgranskning endast till penninginstitut eller andra betalningsförmedlare. Det är inte heller möjligt att avgränsa de uppgifter som begärs vid jämförelseuppgiftsgranskning till endast ekonomiska händelser såsom kontotransaktioner eller betalningsuppgifter, eftersom det vid jämförelseuppgiftsgranskning kan vara nödvändigt att också begära uppgifter om andra fakta som är av betydelse vid skattekontrollen. 

Enligt grundlagsutskottets praxis ska begränsningar av skyddet för personuppgifter vara godtagbara och proportionerliga. Bestämmelserna om behandling av personuppgifter ska dessutom vara noggrant avgränsade och behandlingen ska begränsas till vad som är nödvändigt. I den föreslagna bestämmelsen om jämförelseuppgiftsgranskning har det eftersträvats att behandlingen av personuppgifter är proportionerlig och begränsad till vad som är nödvändigt genom att det utfärdas noggrant avgränsade bestämmelser om förutsättningarna för begäran om uppgifter för jämförelseuppgiftsgranskning. I det föreslagna 21 § 2 mom. i lagen om beskattningsförfarande föreskrivs om dessa förutsättningar. Enligt bestämmelsen ska begäran om uppgifter vara motiverad och exakt avgränsad till de uppgifter som är nödvändiga vid skattekontrollen. Begäran om uppgifter ska dessutom avgränsas så att de fakta, ekonomiska händelser eller ekonomiska aktörer som är av betydelse för beskattningen och utifrån vilka den uppgiftsskyldige kan identifiera de nödvändiga uppgifter som jämförelseuppgiftsgranskningen riktas mot framgår av begäran. Skatteförvaltningen ska således innan begäran framställs begränsa omfattningen av begäran på det sätt som förutsätts i bestämmelsen så att den endast riktas mot uppgifter som är nödvändiga vid skattekontrollen. Syftet med detta är att säkerställa att begärandena om uppgifter är noggrant avgränsade och står i rätt proportion till det eftersträvade målet. En noggrant avgränsad begäran minskar också mängden personuppgifter som behandlas och minskar därmed de risker som behandlingen av uppgifterna medför för de registrerade. 

Grundlagsutskottet har i sitt utlåtande GrUU 21/2025 rd fäst uppmärksamhet vid förhandskontrollen av begäranden om uppgifter som riktas mot övervakningssystemet för bank- och betalkonton. Grundlagsutskottet noterar att identifieringsuppgifterna i begäran kontrollerar begärandena om information relativt formellt. Identifieringsuppgifterna innehåller inga uppgifter om hur utövandet av rätten att få uppgifter har bedömts i förhållande till nödvändighetskravet hos den behöriga myndighet som begär uppgifterna. Enligt grundlagsutskottet är det motiverat att en sådan nödvändighetsbedömning registreras åtminstone i myndighetens eget informationssystem för att säkerställa förhandskontrollen och för att verifiera att var och en som begärt information har bedömt omfattningen av begäran korrekt. I fråga om de aktuella jämförelseuppgiftsgranskningarna uppfylls detta krav, eftersom begärandena endast gäller uppgifter som är nödvändiga för skattekontrollen och eftersom nödvändigheten framgår av motiveringen till begäran om uppgifter och grunden också dokumenteras i den berättelse över skattegranskningen som upprättas över jämförelseuppgiftsgranskningen. 

Enligt den föreslagna regleringen ska jämförelseuppgiftsgranskningen avgränsas så att de uppgifter som behandlas är sådana nödvändiga uppgifter som kan användas för att kontrollera den risk som hänför sig till beskattningen. Med nödvändiga uppgifter avses sådana uppgifter om till exempel enskilda kontotransaktioner som bekräftar ekonomiska händelser som är av betydelse vid beskattningen. Genom de föreslagna kraven i lag på uppgifternas nödvändighet och de avgränsningar som används vid inriktningen säkerställs det att de begäranden om uppgifter som framställs vid jämförelseuppgiftsgranskning inte riktas mot sådana händelser eller uppgifter som gäller en persons privatliv och som inte behöver behandlas vid beskattningen, såsom till exempel kontotransaktioner som gäller sedvanliga matinköp. 

Jämförelseuppgiftsgranskning är en åtgärd inom skattekontrollen och syftet med den är inte att ersätta andra bestämmelser om anmälnings- och uppgiftsskyldighet. Vid jämförelseuppgiftsgranskningen behandlas främst uppgifter som beskriver ekonomiska transaktioner, vilka borde meddelas i skattedeklarationen. På basis av uppgifter som fås av utomstående kan Skatteförvaltningen säkerställa att den skattskyldige har lämnat uppgifterna korrekt i skattedeklarationen eller någon annan deklaration. Vid jämförelseuppgiftsgranskning behandlas sådana uppgifter om utomstående som inte kan fås på annat sätt och som kan användas för att kontrollera fullgörandet av skattskyldigheten, vilket för sin del framhäver nödvändigheten av att utföra jämförelseuppgiftsgranskningar med tanke på skattekontrollen. 

Vid avgränsning av begäranden om jämförelseuppgifter och vid bedömningen av uppgifternas nödvändighet är det centralt att skattekontrollens intressen tas i beaktande. Eftersom skattekontroll till sin karaktär är en lagstadgad uppgift för Skatteförvaltningen har endast Skatteförvaltningen prövningsrätt i fråga om hur den avgränsar begäran om uppgifter som är nödvändiga vid skattekontrollen, även om det till vissa delar kan vara behövligt att diskutera detaljerna i begäran om uppgifter och genomförandet av den med den uppgiftsskyldige. I det föreslagna förfarandet ska Skatteförvaltningen dock motivera begäran om uppgifter, varvid den uppgiftsskyldige får information om på vilken grund Skatteförvaltningen har ansett att de begärda uppgifterna är nödvändiga med tanke på skattekontrollen. Av motiveringen till begäran om uppgifter kan den uppgiftsskyldige också få sekretessbelagd information som gäller Skatteförvaltningens skattekontroll, till exempel om skatterisker och inriktning av skattekontrollen. Den uppgiftsskyldige har tystnadsplikt om sådan information. När Skatteförvaltningen gör en begäran om uppgifter, ansvarar den för proportionalitetsbedömningen, avgränsningen av begäran om uppgifter och övriga krav på behandling av uppgifter enligt dataskyddsregleringen. Den uppgiftsskyldige har möjlighet att få ett överklagbart beslut om den begäran om uppgifter som framställs vid jämförelseuppgiftsgranskningen. Den uppgiftsskyldige kan söka ändring i det beslutet. 

10.1.2  Principer för behandling av personuppgifter i den allmänna dataskyddsförordningen

I artikel 5 i den allmänna dataskyddsförordningen föreskrivs det om principer för behandling av personuppgifter. Av betydelse med tanke på propositionen är i synnerhet principen om ändamålsbegränsning i artikel 5.1 b, principen om uppgiftsminimering i artikel 5.1 c, principen om korrekthet i artikel 5.1 d och principen om lagringsminimering i artikel 5.1 e. 

Enligt principen om ändamålsbegränsning i artikel 5.1 b i den allmänna dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Om uppgifter behandlas för ett annat än det ursprungliga ändamålet, ska den sekundära användningen av uppgifterna uppfylla förutsättningarna i den allmänna dataskyddsförordningen. Bestämmelserna i artikel 6.4 i den allmänna dataskyddsförordningen anger vad som avses med att behandlingen av uppgifter ska vara förenlig med de ursprungliga ändamålen för behandlingen av personuppgifterna. Enligt bestämmelserna får det med de ursprungliga ändamålen förenliga ändamålet för behandlingen grunda sig på medlemsstatens nationella rätt. Den nationella lagstiftningen ska då utgöra en nödvändig och proportionerlig åtgärd för att skydda de syften som avses i artikel 23.1. I artikel 23.1 e i den allmänna dataskyddsförordningen nämns som ett sådant mål unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. 

Enligt principen om uppgiftsminimering i artikel 5.1 c i den allmänna dataskyddsförordningen ska uppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. I artikel 5.1 d anges i sin tur kraven på uppgifternas korrekthet. Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt principen om lagringsminimering i artikel 5.1 e i förordningen ska personuppgifter förvaras i en form som möjliggör identifiering av den registrerade endast under den tid som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. 

I enlighet med vad som konstateras ovan föreskrivs det i det föreslagna 21 § 2 mom. i lagen om beskattningsförfarande om förutsättningarna för begäran om jämförelseuppgifter och begränsas omfattningen av en sådan begäran. Genom bestämmelsen genomförs principen om uppgiftsminimering i den allmänna dataskyddsförordningen. På det sätt som beskrivs ovan sätter bestämmelsen sådana gränser för Skatteförvaltningens begäranden om jämförelseuppgifter att de är proportionella och nödvändiga också med tanke på principen om uppgiftsminimering. 

De begäranden om uppgifter som gjorts med stöd av den föreslagna bestämmelsen är också förenliga med proportionalitetsprincipen på det sätt som lyfts fram i EU-domstolens avgörandepraxis (C-439/19 Latvijas Republikas Saeima, punkt 98). De föreslagna bestämmelserna uppfyller också de krav som ställs på nationella bestämmelser enligt EU-domstolens avgörande i mål C-175/20 (Valsts ieņēmumu dienests). I det avgörandet konstaterade EU-domstolen att för att uppfylla det proportionalitetskrav som föreskrivs i artikel 5.1 c måste de föreskrifter som ligger till grund för behandlingen innehålla tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden samt ange minimikrav, så att de personer vars personuppgifter lämnas ut ges tillräckliga garantier för att uppgifterna på ett effektivt sätt är skyddade mot riskerna för missbruk. Dessa föreskrifter måste även vara rättsligt bindande enligt nationell rätt och i synnerhet ange under vilka omständigheter och på vilka villkor en åtgärd för behandling av sådana uppgifter får vidtas, vilket säkerställer att ingreppet begränsas till vad som är strikt nödvändigt (mål C‑175/20, punkt 83). I samma dom ansåg EU-domstolen också att det i ett fall där utlämnandet av de aktuella personuppgifterna inte direkt grundar sig på den rättsliga bestämmelse som utgör stöd för utlämnandet, utan följer av en begäran från den behöriga myndigheten, måste det särskilda ändamålet med insamlingen av personuppgifterna – mot bakgrund av den aktuella uppgiften av allmänt intresse eller den aktuella myndighetsutövningen – framgå av denna begäran, så att den som begäran riktar sig till ska kunna försäkra sig om att överföringen av de aktuella personuppgifterna är laglig och för att de nationella domstolarna ska kunna kontrollera lagenligheten av personuppgiftsbehandlingen (mål C‑175/20, punkt 71). De nu föreslagna bestämmelserna om motivering av begäran om jämförelseuppgifter överensstämmer också i detta avseende med EU-domstolens avgörandepraxis. 

Även om Skatteförvaltningen noggrant ska avgränsa begäran om uppgifter endast till uppgifter som är nödvändiga för skattekontrollen, är det inte helt möjligt att undvika att informationsmaterialet kan innehålla också sådana personuppgifter som inte används i det slutliga beskattningsbeslutet samt sådana uppgifter som inte hänför sig till fakta eller ekonomiska händelser som är av betydelse vid beskattningen. Den skattskyldige har kanske till exempel på behörigt sätt deklarerat den inkomst som framgår av jämförelseuppgifterna. Med tanke på skattekontrollen är också en sådan uppgift nödvändig, eftersom skattekontrollen också omfattar verifiering av att den skattskyldige har deklarerat sin inkomst till rätt belopp och således har fullgjort sina skyldigheter på behörigt sätt. Jämförelseuppgifterna leder då inte till någon beskattningsåtgärd. Det material som jämförelseuppgifterna utgör kan också innehålla sådana uppgifter som anger till exempel den andra parten i en betalningstransaktion som inte är föremål för egentlig tillsyn. Den föreslagna nödvändighetsgrunden innebär i sådana situationer att det i Skatteförvaltningens begäran om uppgifter förutsätts att bland annat uppgifter om köparen täcks när föremålet för tillsynen är till exempel en handlare som är verksam på webben. Om det dock är fråga om till exempel den som betalar eller förmedlar inkomst, kan också informationen om denna andra parts verksamhet vara nödvändig med tanke på skattekontrollen. Sådana aktörer är visserligen oftast andra än fysiska personer, och frågor som gäller skyddet för personuppgifter är då i princip inte relevanta. 

Enligt den föreslagna 21 § 4 mom. 4 punkten i lagen om beskattningsförfarande ska Skatteförvaltningen radera uppgifterna genast när det konstateras att de inte behövs för beskattningen. Uppgifter som inte har använts vid beskattningsåtgärder ska dock alltid raderas senast två år efter det att uppgifterna har lämnats till Skatteförvaltningen. Genom bestämmelsen genomförs den allmänna dataskyddsförordningens principer om uppgifternas exakthet och lagringsminimering. Bestämmelsen är tillämplig också när det på det sätt som beskrivits upptäcks att jämförelsematerialet innehåller sådana uppgifter som inte är nödvändiga med tanke på skattekontrollen. Då raderas dessa uppgifter omedelbart. Skatteförvaltningen ska till exempel radera uppgifterna omedelbart, om den uppgiftsskyldige av misstag har lämnat sådana uppgifter som Skatteförvaltningens begäran inte har gällt. 

Vid bedömning av sammanhanget för de uppgifter som behandlas ska man i synnerhet i fråga om de registrerade och den personuppgiftsansvarige beakta att Skatteförvaltningen har behörighet att kontrollera fullgörandet av skattskyldigheter också utifrån uppgifter från utomstående och att på det sättet, för att utföra en lagstadgad uppgift, ingripa i den registrerades rättigheter och friheter. Jämförelseuppgiftsgranskning riktas inte mot särskilda kategorier av personuppgifter, men av uppgifterna kan indirekt framgå uppgifter som gäller också sådana kategorier av personuppgifter. Denna behandling beskrivs separat nedan. Behandlingen av uppgifter har konsekvenser för den registrerade. Utifrån uppgifter som inhämtats genom en jämförelseuppgiftsgranskning kan Skatteförvaltningen göra en bedömning av om skyldigheterna avseende beskattning har fullgjorts eller försummats i de situationer som är föremål för granskningen. Skatteförvaltningen kan på grund av försummelse vidta olika åtgärder inom ramen för sin behörighet. 

Vid en jämförelseuppgiftsgranskning är det inte fråga om sådan behandling av personuppgifter som strider mot ändamålsbegränsningen på ett sätt som är oförenligt med det ursprungliga användningsändamålet. Paragrafen om jämförelseuppgiftsgranskning är en sådan nationell bestämmelse som avses i artikel 6.4 i den allmänna dataskyddsförordningen och som gör det möjligt att behandla uppgifterna för ett ändamål som är förenligt med det ursprungliga användningsändamålet. Jämförelseuppgiftsgranskningen är en nödvändig och proportionell åtgärd för att trygga ett av de mål som avses i artikel 23.1 e i den allmänna dataskyddsförordningen, det vill säga ett viktigt mål av ekonomiskt och finansiellt intresse för medlemsstaten. I bestämmelsen nämns skattefrågor som ett exempel på ett viktigt mål av ekonomiskt och finansiellt intresse för en medlemsstat. 

10.1.3  Behandling av uppgifter som hör till särskilda kategorier av personuppgifter och av känsliga uppgifter

Enligt grundlagsutskottets vedertagna praxis begränsas lagstiftarens handlingsutrymme vid behandling av personuppgifter i synnerhet av att skyddet för personuppgifter delvis omfattas också av skyddet för privatlivet, som tryggas i samma moment i 10 § i grundlagen. Lagstiftaren ska tillgodose denna rätt på ett sätt som kan anses godtagbart med tanke på systemet med de grundläggande fri- och rättigheterna överlag. Utskottet har därför särskilt bedömt att tillåtelse att behandla känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2/II) varför till exempel bildandet av register som innehåller sådana uppgifter bör bedömas i förhållande till villkoren för inskränkningar av de grundläggande fri- och rättigheterna, i synnerhet med tanke på lagstiftningens godtagbarhet och proportionalitet (GrUU 29/2016 rd, s. 4–5 i den finska texten och till exempel GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). Utskottet har i sin bedömning av omfattningen, exaktheten och innehållet i bestämmelserna om rätten att få och lämna ut uppgifter trots sekretess fäst vikt vid huruvida de uppgifter som lämnas ut är känsliga uppgifter (se till exempel GrUU 38/2016 rd, s. 3). 

Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter är förknippade med allvarliga risker som gäller informationssäkerhet och missbruk av uppgifter. I sista hand kan det vara en persons identitet som är hotad. (GrUU 13/2016 rd, s. 4 i den finska texten, och GrUU 14/2009 rd, s. 3/I). Också i skäl 51 till den allmänna dataskyddsförordningen betonas att de särskilda kategorier av personuppgifter som avses i artikel 9 i förordningen och som till sin natur är särskilt känsliga med hänsyn till de grundläggande fri- och rättigheterna bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt uppmärksammat att det är skäl att begränsa behandlingen av känsliga uppgifter med exakta och noga avgränsade bestämmelser till endast det nödvändiga (se t.ex. GrUU 3/2017 rd, s. 5 i den finska texten). 

Grundlagsutskottet har tidigare ansett att banksekretessen inte är en faktor som hör till kärnan i det som avses med privatlivet (GrUU 14/2002 rd, s. 4/II, GrUU 7/2000 rd, s. 4/I). Sedan dess har utskottet utformat en ny syn på innebörden av kärnan i skyddet för privatlivet. Exempelvis har grundlagsutskottet i sin tidigare praxis ansett att identifieringsuppgifterna för ett meddelande ligger utanför kärnområdet för den grundläggande fri- och rättighet som skyddar hemligheten i fråga om förtroliga meddelanden (se t.ex. GrUU 33/2013 rd, s. 3/I–II, GrUU 6/2012 rd, s. 3–4, GrUU 29/2008 rd, s. 2–3 och GrUU 3/2008 rd, s. 2/I). Utskottet har justerat den här praxisen, eftersom identifieringsuppgifter som anknyter till elektronisk kommunikation samt möjligheten att sammanställa och kombinera dem kan vara så pass problematiska med hänsyn till skyddet för privatlivet att en kategorisk uppdelning av skyddet i ett kärnområde och ett randområde inte alltid är motiverad, utan man måste på ett allmännare plan fästa vikt också vid hur betydelsefulla begränsningarna är (GrUU 18/2014 rd, s. 6/II, se även GrUU 36/2018 rd, s. 23). 

Grundlagsutskottet har ansett att i ju större utsträckning privatpersoner gör sina betalningar via ett bankkonto i stället för att använda kontanter, desto mer detaljerad blir den bild man kan få av deras privatliv utifrån transaktionerna på kontot. Transaktionerna kan rentav avslöja känsliga uppgifter, såsom uppgifter om medlemskap i religionssamfund och användning av hälso- och sjukvårdstjänster. Därför kan fysiska personers detaljerade kontouppgifter enligt utskottet jämställas med känsliga uppgifter som hör till kärnan i skyddet för privatlivet (GrUU 48/2018 rd). Även om begreppet känsliga uppgifter för tydlighetens skull ska undvikas i den nationella lagstiftningen till följd av att den allmänna dataskyddsförordningen har börjat tillämpas och begreppet särskilda kategorier av personuppgifter används i artikel 9 i förordningen (se även GrUU 14/2018 rd), menar grundlagsutskottet att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga (GrUU 15/2018 rd). Också i skäl 51 till dataskyddsförordningen betonas den särskilda känsligheten i fråga om särskilda kategorier av personuppgifter. Med sådana avses en mängd uppgifter som omfattar mer än enbart de särskilda kategorier av personuppgifter som avses i dataskyddsförordningen (se till denna del också t.ex. GrUU 17/2018 rd). Även i den allmänna dataskyddsförordningen framhålls det att särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Enligt grundlagsutskottet bör bestämmelserna om behandling av känsliga uppgifter fortfarande analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning den allmänna dataskyddsförordningen tillåter (GrUU 14/2018 rd, s. 5–6). 

En jämförelseuppgiftsgranskning hänför sig ofta till kontotransaktioner, som grundlagsutskottet i sin färska praxis har jämställt med i konstitutionellt hänseende känsliga uppgifter. Bestämmelserna om jämförelseuppgiftsgranskning bör därför uppfylla de krav som ställs på behandlingen av känsliga uppgifter. Grundlagsutskottet har särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. 

I avsnitt 10.1.1 behandlas med avseende på bestämmelserna om skyddet för personuppgifter den noggranna avgränsningen, proportionaliteten och inriktningen, det vill säga att jämförelseuppgiftsgranskningen endast ska gälla uppgifter som är nödvändiga för skattekontrollen, i fråga om den föreslagna 21 § i lagen om beskattningsförfarande. Genom den föreslagna bestämmelsen säkerställs det att man inte ingriper i den registrerades rättigheter mer än vad som är nödvändigt för att uppnå ett mål av allmänt intresse, det vill säga skattekontroll. Enligt den föreslagna bestämmelsen ska en begäran om uppgifter avgränsas så, att den gäller endast de vissa fakta, ekonomiska händelser eller ekonomiska aktörer som är av betydelse för beskattningen. Syftet med avgränsningen är att redan på förhand försäkra sig om att uppgifterna inte innefattar sådana uppgifter som gör det möjligt att bilda sig en helhetsbild av en persons privatliv. Vid jämförelseuppgiftsgranskningen behandlas uppgifter om kontotransaktioner mycket snävare och mer målinriktat än i till exempel övervakningssystemet för bank- och betalkonton, eftersom Skatteförvaltningen alltid ska rikta behandlingen till endast nödvändiga, enskilda transaktioner. Dessutom bör det beaktas att jämförelseuppgiftsgranskning inte är ett ändamålsenligt sätt att utöva skattekontroll över en enskild fysisk person, eftersom den i princip granskar fullgörandet av skattskyldigheten i fråga om en större, på förhand odefinierad grupp av skattskyldiga. Skatteförvaltningen kan däremot genom en vanlig skattegranskning enligt 14 § i lagen om beskattningsförfarande kontrollera beskattningen i fråga om en enskild skattskyldig, och i samband med den kan till exempel bankerna ombes lämna uppgifter om kontotransaktioner med stöd av 18 a och 19 § i lagen om beskattningsförfarande. 

Den allmänna dataskyddsförordningen innehåller bestämmelser om behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter. I bestämmelserna ställs strängare krav på behandlingen av dessa uppgifter, inklusive kraven på skyddandet av personuppgifter. I artikel 9 i allmänna dataskyddsförordningen finns det bestämmelser om behandling av uppgifter som gäller särskilda grupper av personuppgifter. Enligt artikel 9.1 i ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden. I artikel 9.2 finns det bestämmelser om undantag till förbudet i artikel 9.1. 

Rätten enligt denna proposition att behandla personuppgifter som hör till särskilda kategorier av personuppgifter vid en jämförelseuppgiftsgranskning grundar sig på det handlingsutrymme som anges i artikel 9.2 g. Enligt artikel 9.2 g är punkt 1 inte tillämplig om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Med andra ord är behandlingen av hänsyn till ett allmänt intresse inte möjlig direkt med stöd av förordningen, utan den förutsätter dessutom preciserande reglering eller något annat förfarande. 

I 6 § 1 mom. i dataskyddslagen föreskrivs det om undantag från förbudet mot tillämpning av artikel 9.1 i den allmänna dataskyddsförordningen. I 2 punkten i momentet anges att artikel 9.1 i den allmänna dataskyddsförordningen inte tillämpas på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. I 6 § 2 mom. i dataskyddslagen föreskrivs det om åtgärder som en personuppgiftsansvarig och ett personuppgiftsbiträde ska vidta för att skydda den registrerades rättigheter. 

I beskattningen och vid jämförelseuppgiftsgranskning är det i regel inte nödvändigt att behandla uppgifter som hör till sådana särskilda kategorier av personuppgifter som avses i artikel 9 i den allmänna dataskyddsförordningen. Om en jämförelseuppgiftsgranskning gäller uppgifter som beskriver en fysisk persons ekonomiska transaktioner kan uppgifterna i vissa situationer innehålla också uppgifter som hör till särskilda kategorier av personuppgifter. Sådana uppgifter är emellertid slumpmässigt förekommande vid jämförelseuppgiftsgranskningar och de sparas inte hos Skatteförvaltningen på ett sådant sätt att det skulle vara möjligt att till exempel inrikta en uppgiftssökning för att få fram uppgifter som hör till särskilda kategorier av personuppgifter. I dessa situationer ska uppgifterna behandlas med omsorg. Syftet med en jämförelseuppgiftsgranskning är inte att samla in uppgifter som hör till särskilda kategorier av personuppgifter eller att skapa en helhetsbild av en persons privatliv, och den genomförs aldrig i syfte att uttryckligen samla in uppgifter som hör till särskilda kategorier av personuppgifter. Vid skattekontrollen kan det emellertid vara nödvändigt för Skatteförvaltningen att behandla också sådana uppgifter till exempel när föremålet för skattekontrollen är aktörer inom hälso- och sjukvården eller när man genom skattekontrollen bedömer en fysisk persons betalningsrörelse. 

I propositionen föreslås det att Skatteförvaltningen får behandla sådana i den allmänna dataskyddsförordningen avsedda uppgifter som hör till särskilda kategorier av personuppgifter, om sådana uppgifter indirekt framgår av material som fåtts vid en jämförelseuppgiftsgranskning och behandlingen av uppgifterna är nödvändig för skattekontroll. En begäran om jämförelseuppgifter får dock inte riktas mot uppgifter som gäller särskilda kategorier av personuppgifter. I förslaget till bestämmelse som gäller detta utnyttjas det nationella handlingsutrymme som artikel 9.2 g i den allmänna dataskyddsförordningen medger. 

Som skyddsåtgärder som grundar sig på den allmänna dataskyddsförordningen är Skatteförvaltningen förpliktad att bland annat följa principerna för behandling av uppgifterna i enlighet med artikel 5 i den allmänna dataskyddsförordningen och till att vidta de åtgärder som avses i artiklarna 24, 25 och 32 i den förordningen. Dessutom ska Skatteförvaltningen uppfylla kraven på dataskydd i den nationella lagstiftningen. På grund av de krav som ställs på dataskyddet vid behandling av uppgifter i omfattande datamaterial och uppgifter som hör till särskilda kategorier av personuppgifter ska det för Skatteförvaltningen föreskrivas en uttrycklig skyldighet att vid jämförelseuppgiftsgranskningar vidta särskilda skyddsåtgärder för att skydda personuppgifterna. 

Bestämmelser om dessa skyddsåtgärder finns i det föreslagna 21 § 4 mom. lagen om beskattningsförfarande. Skyddsåtgärderna är förknippade med informationssäkerhet, dataskydd, konfidentialitet, radering av uppgifterna och villkor som gäller den tjänsteman som behandlar uppgifterna. Förfarandena ska garantera att uppgifter behandlas endast av utsedda tjänstemän i en trygg miljö för behandling av uppgifter. De föreslagna skyddsåtgärderna tryggar en ändamålsenlig behandling av personuppgifter om fysiska personer. 

Den föreslagna bestämmelsen kan anses vara proportionell i fråga om behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter, med beaktande av villkoret att jämförelsegranskningen endast får gälla uppgifter som är nödvändiga för skattekontrollen, den avgränsning som föreslås för begäran om jämförelseuppgifter och andra villkor som ställs på begäran samt de förpliktande skyddsåtgärderna i den allmänna dataskyddsförordningen och i dataskyddslagen tillsammans med de särskilda skyddsåtgärder som föreslås i bestämmelsen och som är förpliktande för Skatteförvaltningen. Bestämmelsen uppfyller också de villkor för utnyttjande av det nationella handlingsutrymmet som följer av artikel 9.2 g i den allmänna dataskyddsförordningen. 

10.1.4  Begränsning av den registrerades rättigheter

Enligt artikel 23 i den allmänna dataskyddsförordningen ska det vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar den i artikel 15 föreskrivna rätten för en registrerad att ta del av de uppgifter som samlats in om honom eller henne, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd för att säkerställa de omständigheter som nämns punkt 1 i artikeln. I artikel 23.1 nämns bland annat andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor. 

I artikel 23.2 föreskrivs det om de omständigheter som de lagstiftningsåtgärder som avses i punkt 1 i artikeln vid behov ska innehålla särskilda bestämmelser om. Särskilda bestämmelser bör ingå åtminstone avseende ändamålen med behandlingen eller kategorierna av behandling, kategorierna av personuppgifter, omfattningen av de införda begränsningarna, skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga, lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, riskerna för de registrerades rättigheter och friheter och de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen. 

I 34 § i dataskyddslagen har det nationella handlingsutrymme som ingår i förordningen utnyttjats och i enlighet med den bestämmelsen har den registrerade inte i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne bland annat om personuppgifterna används i tillsyns- och kontrolluppgifter och det är nödvändigt att inte lämna ut uppgifterna för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen. 

Den registrerade har i regel rätt att få uppgifter om behandlingen av personuppgifter. Skatteförvaltningen kan emellertid begränsa den information som ges om behandlingen till den del som informationen äventyrar en kontrollåtgärd som gäller beskattningen. Vid begränsning av informationen tillämpas enligt prövning den i 11 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet föreskrivna rätten att vägra lämna ut uppgifter när utlämnande av uppgifter skulle strida mot ett synnerligen viktigt allmänt intresse, såsom syftet med skattekontroll, samt artikel 23 i den allmänna dataskyddsförordningen och 34 § 1 mom. 3 punkten i den nationella dataskyddslagen, enligt vilka den registrerade inte har den i artikel 15 i dataskyddsförordningen avsedda rätten till tillgång till uppgifter som samlats in om honom eller henne, om personuppgifterna används i kontroll- och granskningsuppgifter och det att uppgifterna inte lämnas ut är nödvändigt för tryggande av ett för Finland eller Europeiska unionen viktigt ekonomiskt eller finansiellt intresse. En fysisk person kan dock få uppgifter om behandlingen av personuppgifter efter det att utlämnandet av uppgifterna inte längre äventyrar skattekontrollen. 

Begränsningen av den registrerades rätt till insyn inskränker individens grundläggande fri- och rättigheter. I enlighet med artikel 23 i den allmänna dataskyddsförordningen ska en begränsning som föreskrivs genom lag vara proportionell och ske med respekt för andemeningen i de grundläggande fri- och rättigheterna. Begränsningen av rätten till insyn kan anses vara motiverad och proportionell, eftersom begäranden om jämförelseuppgifter hänför sig till de uppgifter som räknas upp i artikel 23.1 i den allmänna dataskyddsförordningen. Rätten till insyn i jämförelseuppgifterna kan således i betydande grad äventyra till exempel en pågående tillsynsuppgift som Skatteförvaltningen utför. Om informationsinhämtningen avslöjas i förtid för den som är föremål för informationen kan detta äventyra utgången för den tillsynsåtgärd för vilken Skatteförvaltningen har begärt jämförelseuppgifterna. Tystnadsplikten binder också den uppgiftsskyldige. Det är inte nödvändigt att föreskriva särskilt om rätten att kontrollera de uppgifter som behandlas vid granskningen av jämförelseuppgifter, eftersom 34 § i dataskyddslagen också är tillämplig på granskningar av jämförelseuppgifter. 

Trots begränsningen av rätten till insyn ska uppgifter enligt artikel 15 dock i enlighet med 34 § i dataskyddslagen lämnas ut till dataombudsmannen på begäran av den registrerade. Dataombudsmannen har således möjlighet att bedöma lagenligheten i behandlingen av personuppgifter. Med beaktande av de risker som rätten till insyn medför för Skatteförvaltningen i dess tillsynsuppgifter och den registrerades möjlighet att utnyttja den indirekta rätten till insyn, kan en sådan temporär begränsning av den registrerades rättigheter så länge skattetillsynsåtgärderna pågår anses motiverad och förenlig med grundlagen med stöd av artikel 23 i den allmänna dataskyddsförordningen och 34 § 1 mom. i dataskyddslagen.