Der er efterhånden ingen tvivl om, at databeskyttelsesforordningen har stor indflydelse på hvorledes virksomheder, myndigheder og privatpersoner skal indrette sig, når det kommer til spørgsmålet om elektronisk behandling af personhenførbare oplysninger.
Med databeskyttelsesforordningens, herunder vores danske databeskyttelseslovs, brede anvendelsesområde og udbredelse i praksis kommer det derfor nok heller ikke som den helt store overraskelse, at netop dette regelgrundlag kan påvirke hvordan regeludsteder udarbejder nye love og administrative forskrifter i eller i henhold til særlovgivningen. Man fristes i den forbindelse til at stille det principielle spørgsmål, hvorfor lige databeskyttelsesretten er så central at have sig for øje når der skal lovgives. Svaret synes at være lige til: Databeskyttelsesforordningens grundlæggende behandlingsprincipper er af afgørende betydning for regelkoncipisten, idet forordningens principper har til formål at beskytte individets grundlæggende rettigheder, herunder retten til privatliv. Dette gælder naturligvis også, når der skal lovgives.
Der kan imidlertid – selv på områder hvor man mindst venter det – opstå tvivl, om regeludarbejdelsen er sket under behørig iagttagelse af de grundlæggende rettigheder, som er indlejret i databeskyttelsesforordningen. Skatte- og afgiftsretten er et godt eksempel på dette, for med et i forvejen komplekst og tungt regelgrundlag kan databeskyttelsesforordningen hurtigt risikere at blive overset, når lovgiver på skatte- og afgiftsområdet sætter pennen til papiret.
Her er et par eksempler:
Den 7. september 2018 sendte Skatteministeriet et udkast til ændring af lov om spil og lov om afgifter af spil i høring. Med lovforslaget, som havde til formål at begrænse spilafhængighed gennem bl.a. øget forbrugerbeskyttelse i form af oplysning, hjælp og regulering, skulle der oprettes en spilafhængigheds-hotline hos Spillemyndigheden. Formålet med hotlinen var at give spillere og pårørende mulighed for anonymt at kontakte en offentlig og uvildig instans for at tale om spilproblemer samt søge råd og vejledning om spilafhængighed. Hotlinen skulle derudover ifølge lovforslaget bruges i statistisk øjemed, idet informationer om antal af opkald fra pårørende, alders- og kønsfordeling og hvilke spiltyper, der ligger bag henvendelserne skulle indsamles. De indsamlede oplysninger skal ifølge lovforslaget give myndighederne og behandlingsinstitutioner viden om spilafhængighed og mulighed for at iværksætte tiltag på områder, der giver anledning til problematisk spiladfærd. Intentionen med reguleringen synes at være formålstjenstlig, men hvad der imidlertid manglede i udspillet, var en beskrivelse af de databeskyttelsesretlige overvejelser, som den beskrevne indsamling af data gav anledning til. Dette adresserede Digitaliseringsstyrelsen også i sit høringssvar til lovforslaget. Digitaliseringsstyrelsens bemærkninger førte til, at Skatteministeriet det fremsatte lovforslag valgte at fremhæve, at de personhenførbare oplysninger, som Spillemyndigheden evt. måtte modtage via den nævnte hotline, ville blive behandlet i overensstemmelse med de gældende regler indenfor persondatabeskyttelse. Skatteministeriets formulering er ganske kort og til at overse, men fremhæver det vigtige budskab, at ministeriet på baggrund af Digitaliseringsstyrelsens høringssvar nu fandt anledning til at gøre sig overvejelser også om databeskyttelsesretlige implikationer i relation til det konkrete lovforslag.
Der er også eksempler på, hvordan vanskeligt det for regelkoncipisten kan være at få kvalificeret, hvilke behandlingshjemler i databeskyttelsesforordningen, der kan danne grundlag for en given databehandling. Dette var bl.a. tilfældet i Skatteministeriets lovforslag L 102. Lovforslaget havde til formål at sikre, at danskere, som er aktive i deleøkonomien, betaler korrekt skat, og at der er klarhed om skattereglerne når der opnås indtægter gennem deleøkonomiske tjenester. Det overordnede formål med lovforslaget blev udmøntet i en form for ”quid pro quo”-model, hvorefter udlejere af fritidsboliger m.v., fremover kan opnå gunstigere skattefradrag, hvis udlejningen sker via en digital platform, som fx Airbnb. I modellen bliver digitale platforme pålagt en indberetningspligt til Skatteforvaltningen over udlejeres aktiviteter. Med lovforslaget blev der også lagt op til, at udenlandske digitale platforme, på baggrund af en aftale med en udlejer, ville træde i dennes sted for så vidt angår pligten til at oplyse indtægter ved udlejning til Skatteforvaltningen.
I modsætning til det tidligere omtalte lovforslag om ændring af lov om spil og lov om afgifter, valgte Skatteministeriet denne gang mere udførligt at redegøre for de databeskyttelsesretlige overvejelser, som den nævnte indberetningspligt måtte give anledning til. Skatteministeriet redegjorde i den forbindelse i lovforslagets almindelige bemærkninger for, at udenlandske digitale platformes indberetning efter den foreslåede model ville være i overensstemmelse med databeskyttelsesforordningens art. 6, stk. 1, litra c. At valget faldet på netop denne databehandlingshjemmel var ifølge Skatteministeriet, at udenlandske platforme gennem den nævnte aftale med udlejere, ville blive retligt forpligtet til at foretage en løbende indberetning på udlejers vegne til Skatteforvaltningen. En sådan aftale var ifølge Skatteministeriet et udtryk for en ”retlig forpligtelse” i medfør af databeskyttelsesforordningens art. 6, styk. 1, litra c. Airbnb var imidlertid af en anden opfattelse. I sit høringssvar til lovforslaget bemærkede virksomheden, at Skatteministeriets henvisning til databeskyttelsesforordningens art. 6, stk. 1, litra c, næppe kunne udgøre hjemmelsgrundlaget for den konkrete databehandling for så vidt angår udenlandske onlineplatformes indberetninger. Airbnb bemærkede i den forbindelse, at det af databeskyttelsesforordningens artikel 6, stk. 3, fremgår, at grundlaget for en databehandling efter forordningens artikel 6, stk. 1, litra c, enten skal fremgå af a) EU-retten, eller b) medlemsstaternes nationale ret, som den dataansvarlige er underlagt. Det fremgår endvidere af forordningen, at formålet med behandlingen skal være fastlagt i dette retsgrundlag. Airbnb bemærkede på den baggrund, at det derfor var meget tvivlsomt, om en aftale indgået mellem en udenlandsk onlineplatform og en privat udlejer, isoleret set kunne karakteriseres som et egentligt retsgrundlag i databeskyttelsesforordningens artikel 6, stk. 1, litra c’ forstand.
Hvorfor Skatteministeriet undlod at indarbejde Airbnb’s samlede bemærkninger om ovennævnte forhold i det offentliggjorte høringsskema skal lade være usagt, men en ting er sikkert; Skatteministeriet imødekom Airbnb’s høringssvar og justerede bemærkningerne til lovforslaget. Skatteministeriet anførte således i det endelige fremsatte lovudkast, at det nu var databeskyttelsesforordningens art. 6, stk. 1, litra e og f, som udgjorde den rette databehandlingshjemmel i forhold til ovenstående skatteindberetning.
Et af de seneste eksempler på de udfordringer som regelkoncipisten – i dette tilfælde Skatteministeriet – kan møde i forsøget på at identificere og kvalificere databeskyttelsesretlige implikationer, er Skatteministeriets udkast til ændring af bekendtgørelse om et indkomstregister. Skatteministeriet sendte et udkast til bekendtgørelsesudkastet i høring den 16. november 2018.
Formålet med bekendtgørelsesændringen var ifølge Skatteministeriets høringsbrev[1] relativt simpel og lige til: Fristen for hvornår oplysninger i indkomstregisteret skal slettes, skulle forlænges fra de nuværende 10 år til 13 år. Begrundelsen for ændringen var ifølge Skatteministeriet, at Udbetaling Danmarks familieydelsesteam kunne have behov for oplysninger fra indkomstregisteret i længere tid end 10 år, hvorfor fristen for hvornår oplysningerne i registreret skal slettes, generelt skulle udvides med 3 år. Udkastet til bekendtgørelsesændringen lød umiddelbart som en harmløs teknikalitet og var da også til at overse, idet der alene var tale om ét enkelt og kort ændringspunkt i forhold til bekendtgørelsens § 10.
For Justitias vedkommende var den foreslåede bekendtgørelsesændring imidlertid retssikkerhedsmæssigt betænkelig i forhold til databeskyttelsesforordningens grundlæggende principper for behandling af personoplysninger. Dette valgte Justitia også at gøre opmærksom i sit høringssvar til Skatteministeriet.
Med sit udkast til ændring af ovennævnte bekendtgørelse åbnede Skatteministeriet generelt op for, at personoplysninger i indkomstregistret, ville blive genstand for en længere opbevaring hos myndighederne alene af den årsag, at Udbetaling Danmark (potentielt) kunne have behov for at tilgå oplysninger i registeret i mere end 10 år.
Forslaget om generelt at udvide fristen for hvornår oplysninger, herunder personoplysninger, skal slettes i indkomstregisteret, var derfor efter Justitias opfattelse et udtryk for unødig og uproportionel ophobning af personfølsomme oplysninger. Forslaget var derfor efter Justitias opfattelse i uoverensstemmelse med databeskyttelsesforordningens grundlæggende forudsætninger om, at behandling af personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)[2]. Justitia bemærkede endvidere, at det af databeskyttelsesforordningen følger, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (”opbevaringsbegrænsning”)[3].
Allerede fordi Skatteministeriet ikke havde kvalificeret Udbetaling Danmarks behov for at skulle tilgå samtlige personoplysninger i indkomstregisteret, var den tiltænkte udvidelse af perioden for opbevaring af personoplysninger, efter Justitias opfattelse for vidtgående. Skatteministeriets bekendtgørelsesudkast udfordrede dermed databeskyttelsesforordningens grundlæggende principper for behandling af personoplysninger, jf. forordningens art. 5.
Justitia anbefalede på den baggrund i sit høringssvar Skatteministeriet at justere bekendtgørelsesudkastet således, at en udvidelse af opbevaringsfristen på 10 år blev målrettet de typer af oplysninger, som Udbetaling Danmark konkret måtte have behov for at få indsamlet til brug for sin sagsbehandling og afgørelsesvirksomhed.
Om Skatteministeriet var bevidst om de nævnte databeskyttelsesretlige problemstillinger skal – også i dette tilfælde – lade være usagt. Man må dog formode, at ministeriet til stadighed er opmærksom på sin forpligtelse til efter databeskyttelseslovens § 28 at indhente en udtalelse fra Datatilsynet i det omfang lovforslag og udkast til administrative forskrifter vurderes at have generel betydning for beskyttelsen af privatlivet i forbindelse med behandling af personoplysninger. Set i det lys kan Skatteministeriet manglende inddragelse af Datatilsynet tages som et udtryk for, at ministeriet i det konkrete tilfælde vurderede, at den foreslåede forlængelse af opbevaringsfristen for personoplysninger i indkomstregistreret, ikke have relevans i forhold til grundlæggende principper om beskyttelsen af privatlivet ved behandling af personoplysninger. Dette kan undre.
Hvorom alt er, valgte Skatteministeriet – foranlediget af Justitias høringssvar – efterfølgende at sende det nævnte bekendtgørelsesudkast til udtalelse hos Datatilsynet. Justitia har gennem en aktindsigtsbegæring erfaret, at Datatilsynet – i overensstemmelse med Justitias egne bemærkninger – har henstillet til Skatteministeriet at gøre sig nærmere overvejer om, hvorvidt en forlængelse af slettefristen for samtlige oplysninger i indkomstregistret tjener et sagligt formål, når der alene er konstateret et behov herfor i forbindelse med bestemte typer af sager ved Udbetaling Danmark[4]. Skatteministeriet har i skrivende stund endnu ikke offentliggjort en ændring af den nævnte bekendtgørelse. Dette til trods for, at ministeriets oprindelige hensigt var, at bekendtgørelsesændringen skulle træde i kraft den 1. januar 2019. Bekendtgørelsesændringen må derfor lade vente på sig.
De gennemgåede lov- og bekendtgørelsesændringer er blot nogen få eksempler på, hvorledes persondataretten kan få indflydelse på regeludarbejdelsen på skatte- og afgiftsområdet. Det anerkendes, at persondataretten kan være en svær materiel størrelse at håndtere, navnlig når opdraget fra lovgivers side – som i de skitserede tilfælde – primært har været at regulere skatte- og afgiftsretlige forhold. Men som det er blevet fremhævet, kan regelkompleksiteten i sig selv være en medvirkende og til tider afgørende årsag til, at persondataretten ender med at komme i anden række, når der skal lovgives; for jo større krav til kompleksitet der stilles til regelkoncipisten, når der skal udstedes ny regulering i særlovgivningen, desto større bliver udfordringerne også med at finde den fornødne balance imellem både at få konciperet materielle regelændringer som tiltænkt samtidig med, at de grundlæggende databeskyttelsesregler som har til formål at beskytte individets privatliv, bliver iagttaget; Så en oprindelig intention om at forbedre retstilstanden på skatte- og afgiftsområdet kan i værste fald ende med at udfordre grundlæggende rettigheder ved behandling af personoplysninger.
Regelkoncipisten må derfor tilstræbe, at ændringer af særlovgivningen til hver en tid sker under behørig iagttagelse af databeskyttelsesrettens grundprincipper, også i de situationer hvor det kan være svært at navigere i regelkompleksitetens store jungle.
[1] Brev af 16. november 2018
[2] Jf. forordningens art. 5, stk. 1, lit. c
[3] Jf. forordningens art. 5, stk. 1, lit. e
[4] Fejlregistreringer i familieydelsessystemet ved genoptagelsessager om optjeningsprocenten.