Indhold
Afsnittet indeholder:
-
Hvilke informationer skal altid gives til den registrerede?
-
Andre informationer, der efter en konkret vurdering er nødvendige at give til den registrerede
-
Undtagelser fra oplysningspligten
-
Særligt om kontrolhensyn
- Oversigt over domme, kendelser, afgørelser, SKM-meddelelser mv.
Hvilke informationer skal altid gives til den registrerede?
DBF artikel 13 indeholder kravene til den dataansvarliges oplysningspligt i de tilfælde, hvor personoplysningerne indsamles hos den registrerede selv.
Ved indsamling af personoplysninger hos den registrerede vil Skatteforvaltningen som dataansvarlig være forpligtet til at oplyse om følgende:
-
Den dataansvarliges identitet og kontaktoplysninger
-
Kontaktoplysninger på den dataansvarliges databeskyttelsesrådgiver (DPO)
-
Formålet med og retsgrundlaget for behandlingen af personoplysningerne
-
Eventuelle modtagere eller kategorier af modtagere af personoplysningerne
-
Eventuelle overførsler til tredjelande.
Se DBF artikel 13, stk. 1.
Oplysningspligtens nærmere indhold gennemgås i det følgende.
Den dataansvarliges identitet og kontaktoplysninger
Den registrerede skal oplyses om, at Skatteforvaltningen er dataansvarlig for behandlingen af personoplysningerne, og den registrerede skal modtage information om Skatteforvaltningens kontaktoplysninger, herunder adresse, telefonnummer, e-mailadresse eller anden kontaktkanal.
Kontaktoplysninger på den dataansvarliges databeskyttelsesrådgiver (DPO)
Den registrerede skal oplyses om kontaktoplysningerne på databeskyttelsesrådgiveren i Skatteforvaltningen.
Formålet med og retsgrundlaget for behandlingen af personoplysningerne
Den registrerede skal oplyses om formålet med indsamlingen og behandlingen af personoplysningerne.
Den registrerede skal også oplyses om retsgrundlaget for behandlingen. Der skal derfor henvises til den eller de relevante bestemmelser (behandlingshjemler) for de behandlede kategorier af personoplysninger. Bestemmelserne findes i DBF artikel 6 (almindelige personoplysninger), DBF artikel 9 (følsomme personoplysninger), DBL § 7 (supplerende regler om følsomme personoplysninger), DBL § 8 (strafbare forhold) og DBL § 11 (personnummer).
Hvis behandlingen følger af anden lov eller bekendtgørelse, fx skatteforvaltningsloven eller gældsinddrivelsesloven, skal der også henvises til den omhandlende lovs bestemmelser eller eventuelt det relevante kapitel/afsnit i loven.
Eventuelle modtagere eller kategorier af modtagere af personoplysningerne
Hvis de indsamlede personoplysninger kan blive videregivet, skal den registrerede oplyses om eventuelle modtagere eller kategorier af modtagere. Det kan fx være andre offentlige myndigheder, pengeinstitutter eller fordringshavere.
Eventuelle overførsler til tredjelande
Hvis personoplysningerne kan blive overført til et tredjeland (lande uden for EU/EØS), er det et krav at oplyse den registrerede om dette og om overførselsgrundlaget. Der skal oplyses om de såkaldte "fornødne garantier" for overførslen, som hænger sammen med overførselsgrundlaget. Der skal også oplyses om, hvordan den registrerede kan få en kopi af garantierne, eller hvor de i øvrigt er tilgængelige.
Se nærmere om overførsel af personoplysninger til tredjelande i afsnit A.A.6.1.4.1.
Andre informationer, der efter en konkret vurdering er nødvendige at give til den registrerede
Den dataansvarlige skal konkret vurdere, om den registrerede skal gives yderligere informationer om behandlingen af personoplysninger end de omtalte ovenfor. Der skal tages stilling til, hvilke informationer det er nødvendigt at give den registrerede for at sikre en rimelig og gennemsigtig behandling.
Følgende informationer kan Skatteforvaltningen være forpligtet til at give:
-
Det tidsrum, hvor personoplysningerne vil blive opbevaret
-
Den registreredes rettigheder efter databeskyttelsesforordningen (bl.a. retten til indsigt, berigtigelse, sletning, begrænsning af behandling og indsigelse)
-
Retten til at trække samtykke tilbage, hvis behandlingen er baseret på et samtykke
-
Retten til at klage til Datatilsynet
-
Pligt for den registrerede til at afgive personoplysningerne og de eventuelle konsekvenser af ikke at gøre det
-
Forekomsten af automatiske afgørelser, herunder profilering.
Se DBF artikel 13, stk. 2.
Oplysningspligtens nærmere indhold gennemgås i det følgende.
Det tidsrum, hvor personoplysningerne vil blive opbevaret
Den registrerede vil efter en konkret vurdering skulle oplyses om, hvor længe den dataansvarlige vil opbevare personoplysningerne eller, hvis dette ikke er muligt, de kriterier, der anvendes for at fastlægge dette tidsrum.
Personoplysninger må opbevares, så længe det er nødvendigt til de formål, hvortil de pågældende oplysninger behandles. Dvs. så længe der er et saglig behov herfor, herunder af hensyn til andre lovkrav.
Den registreredes rettigheder efter databeskyttelsesforordningen
Ved siden af oplysningspligten har den registrerede en række andre rettigheder efter databeskyttelsesforordningen, som den pågældende efter en konkret vurdering skal oplyses om. Se DBF artikel 13, stk. 2, litra b.
I det følgende gives en kort beskrivelse af disse øvrige rettigheder:
Ret til indsigt
Den registrerede har som udgangspunkt ret til indsigt i de personoplysninger, som den dataansvarlige behandler om vedkommende. Derudover indebærer retten til indsigt, at den registrerede har ret til at modtage en række informationer om den eller de behandlinger, der foretages. Se DBF artikel 15 og den supplerende undtagelsesbestemmelse i DBL § 22.
Se afsnit A.A.6.3 for en nærmere gennemgang af retten til indsigt.
Ret til berigtigelse
Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget (rettet) uden unødig forsinkelse.
►Dette vil i Skatteforvaltningen typisk ske ved at tilføje de rigtige personoplysninger på sagen uden samtidig at fjerne de urigtige oplysninger. Dette skyldes, at Skatteforvaltningen normalt har brug for at kunne dokumentere de oprindelige personoplysninger fra sagsbehandlingen på grund af notat- og journaliseringspligten som offentlig myndighed.◄
Derudover har den registrerede - under hensyntagen til formålene med behandlingen - ret til at få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring. Se DBF artikel 16.
Ret til sletning
I visse tilfælde har den registrerede ret til - uden unødig forsinkelse - at få personoplysninger om sig selv slettet før det tidspunkt, hvor oplysningerne ellers skulle have været slettet som følge af den dataansvarliges almindelige slettefrister. Denne rettighed kaldes også for "retten til at blive glemt". ►Skatteforvaltningen vil som offentlig myndighed kun i få tilfælde kunne slette oplysninger og dokumenter, da andre regler ofte gør, at myndigheden ikke må slette dem. Det gælder fx OFL § 13 og OFL § 15 om notat- og journaliseringspligt.◄
Se DBF artikel 17, stk. 1, og undtagelserne i særligt DBF artikel 17, stk. 3, litra b og e.
Ret til begrænset behandling
Den registrerede har i visse tilfælde ret til at få begrænset behandlingen af sine personoplysninger, fx hvis vedkommende bestrider rigtigheden af sine personoplysninger.
Imens behandlingen er begrænset, må den dataansvarlige fremover kun behandle personoplysningerne - bortset fra opbevaring - med den registreredes samtykke, eller med henblik på at et retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en fysisk eller juridisk person, eller af hensyn til vigtige samfundsinteresser. Se DBF artikel 18.
Ret til dataportabilitet
Den registrerede har i nogle tilfælde ret til at modtage sine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format. Derudover har den registrerede ret til at få overført egne personoplysninger fra én dataansvarlig til en anden uden hindring, hvis det er teknisk muligt. Se DBF artikel 20, stk. 1 og 2.
►Dataportabilitet er sjældent relevant i forhold til offentlige myndigheders behandling af personoplysninger. Dette skyldes, at den registrerede ikke har ret til dataportabilitet, når behandlingen er nødvendig for udførelse af en opgave i samfundets interesse eller hører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Se DBF artikel 20, stk. 3. Når der ikke er ret til dataportabilitet, er det heller ikke relevant at oplyse om denne rettighed i forbindelse med opfyldelse af oplysningspligten.◄
Ret til indsigelse
Den registrerede har ret til - af grunde der vedrører den pågældendes særlige situation - at gøre indsigelse mod den dataansvarliges ellers lovlige behandling af vedkommendes personoplysninger. Se DBF artikel 21.
Det er den dataansvarlige, som har bevisbyrden for, at der foreligger tunge, legitime grunde til, at behandlingen fortsættes.
Retten til at trække samtykke tilbage, hvis behandlingen er baseret på et samtykke
Hvis indsamlingen af personoplysninger sker på baggrund af et samtykke, skal den registrerede oplyses om, at vedkommende på ethvert tidspunkt kan trække sit samtykke tilbage. ►Et sådan samtykke anvendes sædvanligvis ikke som hjemmel af Skatteforvaltningen som offentlig myndighed på grund af manglende frivillighed fra den registrerede. Et sådan samtykke er i øvrigt ikke sammenfaldende med et samtykke i en garantiforskrift efter anden lovgivning.◄
Retten til at klage til Datatilsynet
Den dataansvarlige er normalt også forpligtet til at oplyse den registrerede om retten til at indgive en klage over behandlingen til Datatilsynet. Den registrerede bør i den forbindelse modtage Datatilsynets kontaktoplysninger.
Pligt for den registrerede til at afgive personoplysningerne og de eventuelle konsekvenser af ikke at gøre det
I de tilfælde, hvor indsamlingen af personoplysningerne sker på baggrund af et lovkrav, og den registrerede har pligt til at afgive personoplysningerne, skal den registrerede oplyses herom. Den registrerede skal også oplyses om konsekvenserne af ikke at give de pågældende personoplysninger.
Forekomsten af automatiske afgørelser, herunder profilering
Hvis der anvendes automatiske afgørelser, herunder profilering, skal den registrerede gives meningsfuld information om logikken i denne behandling samt betydningen og de forventede konsekvenser for den registrerede.
Undtagelser fra oplysningspligten
Den dataansvarlige kan i en række tilfælde være undtaget fra oplysningspligten:
Disse undtagelser gennemgås nærmere i det følgende.
1. Den registrerede er allerede bekendt med informationerne
Hvis den registrerede allerede er bekendt med de informationer, som den dataansvarlige er forpligtet til at give, kan den dataansvarlige undtage fra oplysningspligten. Se DBF artikel 13, stk. 4.
Er den dataansvarlige i tvivl om, hvorvidt den registrerede allerede er bekendt med informationerne, skal oplysningspligten opfyldes.
2. Afgørende hensyn til private eller offentlige interesser
Den dataansvarlige kan undtage fra eller udskyde oplysningspligten, hvis den registreredes interesse i informationerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv. Se DBL § 22, stk. 1.
Den dataansvarlige kan også undtage fra eller udskyde oplysningspligten, hvis den registreredes interesse i at få kendskab til informationerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder især til:
-
statens sikkerhed
-
forsvaret
-
den offentlige sikkerhed
-
forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed
-
andre vigtige målsætninger i forbindelse med beskyttelse af Den Europæiske Unions eller en medlemsstats generelle samfundsinteresser, især Unionens eller en medlemsstats økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed
-
forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv
-
kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omfattet af punkterne opregnet umiddelbart ovenfor
-
beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder
-
håndhævelse af civilretlige krav.
Se DBL § 22, stk. 2.
Der skal altid foretages en konkret afvejning i den enkelte situation. Ved afvejningen af om private eller offentlige interesser overstiger hensynet til den registreredes interesser, skal på den ene side indgå den registreredes interesse i at få kendskab til informationerne, og på den anden side afgørende hensyn til de offentlige eller private interesser, herunder hensynet til den pågældende selv.
Det bemærkes, at undtagelse fra oplysningspligten kun kan ske, hvis der er en nærliggende fare for, at de private eller det offentliges interesser vil lide skade af væsentlig betydning. Bevisbyrden påhviler den dataansvarlige.
Afvejningen skal foretages for hver enkelt information for sig. Hvis de hensyn, der indebærer en undtagelse fra oplysningspligten, kun gør sig gældende for en del af informationerne, skal den registrerede gives de øvrige informationer.
Hvis de afgørende offentlige eller private interesser på et senere tidspunkt ikke længere gør sig gældende, skal den registrerede underrettes på dette senere tidspunkt. Dette kan fx være tilfældet, når den registreredes kendskab til informationerne ikke længere er egnet til at skade afgørende offentlige interesser i en kontrol eller forfølgelse af en lovovertrædelse.
For en nærmere gennemgang af hvidvaskreglernes forhold til oplysningspligten efter databeskyttelsesforordningen og databeskyttelsesloven henvises til afsnit A.C.2.9.1 og afsnit A.A.6.1.3.
Særligt om kontrolhensyn
Undtagelsesbestemmelsen i DBL § 22, stk. 2, nr. 8, om hensynet til kontrolfunktioner m.v., vil kunne anvendes, hvis hensynet til den registreredes interesse i at få kendskab til informationerne vejer mindre tungt end afgørende kontrolhensyn. Det er tilfældet, hvis der er en nærliggende og konkret fare for, at det offentliges interesser vil lide skade af væsentlig betydning. Dette kan fx være tilfældet, hvis behandlingen sker i forbindelse med planlægning af uanmeldt kontrol.
Eksempel - anmeldelser
Den 15. december 2006 anmodede det forhenværende SKAT Datatilsynet om en udtalelse om SKATs interne retningslinjer om opfyldelse af oplysningspligten efter den dagældende persondatalov (PDL) i forbindelse med modtagelse af anmeldelser om skatteunddragelser. Se SKM2007.512.SKAT.
Datatilsynet udtalte bl.a., at der med anvendelsen af udtrykket "afgørende" i PDL § 30, stk. 2, nr. 6 (nu: DBL § 22, stk. 2, nr. 8) er tilkendegivet, at undtagelse fra oplysningspligten kun kan gøres, hvor der er nærliggende fare for, at det offentliges interesser vil lide skade af væsentlig betydning. Datatilsynet udtalte videre, at det var tilsynets opfattelse, at der skal udøves forsigtighed med anvendelsen af denne bestemmelse. Derudover havde Datatilsynet ingen bemærkninger til retningslinjerne om SKATs anvendelse af PDL § 30, stk. 2, nr. 6 (nu: DBL § 22, stk. 2, nr. 8) og PDL § 29, stk. 3 (nu: DBF artikel 14, stk. 5, litra b).
På baggrund af Datatilsynets udtalelse blev det ved SKM2007.512.SKAT præciseret, at der gælder følgende hovedregler:
Når tredjemand anmelder en skatteyder for overtrædelse af skattelovgivningen, skal den anmeldte skatteyder straks underrettes, dvs. inden for 10 dage. Denne underretning kan dog udskydes, hvis den ansvarlige medarbejder efter et konkret skøn kommer til det resultat, at selve opklaringsmuligheden vil lide væsentlig skade, hvis underretning gives straks til den anmeldte. Dette konkrete skøn skal udøves straks ved modtagelsen af anmeldelsen.
I tilfælde, hvor underretningen udskydes, skal den ansvarlige medarbejder udarbejde et internt notat, der indeholder en begrundelse for, hvilke faktiske omstændigheder der bevirker, at opklaringsmuligheden vil lide væsentlig skade ved en underretning. Det forhold, at kontrolprocessen - altså arbejdet med at gennemføre kontrolprocessen - bliver vanskeligere, fx mere tidskrævende, er ikke i sig selv nok til at udskyde en underretning.
Ovenstående antages også at være gældende efter databeskyttelsesforordningens ikrafttrædelse.
Oversigt over domme, kendelser, afgørelser, SKM-meddelelser mv.
Skemaet viser den omtalte SKM-meddelelse på området.
SKM-meddelelse | Meddelelsen i stikord | Yderligere kommentarer |
SKM2007.512.SKAT af 27/7 2007, der også indeholder Datatilsynets udtalelse. | Hovedregler for opfyldelse og mulighed for udskydelse af oplysningspligten ved modtagelse af anmeldelser. | Udtalelsen er afgivet inden databeskyttelsesforordningens og databeskyttelseslovens ikrafttrædelse. |