Indhold
Afsnittet indeholder:
-
Hvilke oplysninger skal altid gives til den registrerede?
-
Andre oplysninger, der efter en konkret vurdering er nødvendige at give til den registrerede
-
Undtagelser fra oplysningspligten
-
Særligt om kontrolhensyn
- Oversigt over domme, kendelser, afgørelser, SKM-meddelelser mv.
Hvilke oplysninger skal altid gives til den registrerede?
DBF artikel 13 indeholder kravene til den dataansvarliges oplysningspligt i de tilfælde, hvor oplysningerne indsamles hos den registrerede selv.
Ved indsamling af oplysninger hos den registrerede vil Skatteforvaltningen som dataansvarlig være forpligtet til at oplyse om følgende:
-
Den dataansvarliges identitet og kontaktoplysninger
-
Kontaktoplysninger på den dataansvarliges databeskyttelsesrådgiver (DPO)
-
Formålet med og retsgrundlaget for behandlingen af personoplysningerne
-
Eventuelle modtagere eller kategorier af modtagere af personoplysningerne
-
Eventuelle overførsler til tredjelande
Se DBF artikel 13, stk. 1.
Oplysningspligtens nærmere indhold gennemgås i det følgende.
Den dataansvarliges identitet og kontaktoplysninger
Den registrerede skal underrettes om, at Skatteforvaltningen er dataansvarlig for behandlingen af personoplysningerne, og den registrerede skal modtage information om Skatteforvaltningens kontaktoplysninger, herunder adresse, telefonnummer, e-mailadresse og lignende.
Kontaktoplysninger på den dataansvarliges databeskyttelsesrådgiver (DPO)
Den registrerede skal modtage kontaktoplysningerne på Skatteforvaltningens databeskyttelsesrådgiver.
Formålet med og retsgrundlaget for behandlingen af personoplysningerne
Den registrerede skal oplyses om formålet med indsamlingen og behandlingen af personoplysningerne.
Den registrerede skal også oplyses om retsgrundlaget for behandlingen. Hvis behandlingen er baseret på databeskyttelsesforordningens behandlingsbestemmelser (artikel 6 om almindelige personoplysninger, artikel 9 om følsomme personoplysninger eller artikel 10 om straffeoplysninger), skal der henvises til den relevante bestemmelse.
Hvis behandlingen følger af lov eller bekendtgørelse, fx skatteforvaltningsloven eller gældsinddrivelsesloven, skal der henvises til den omhandlende lov og eventuelt det relevante kapitel i loven.
Eventuelle modtagere eller kategorier af modtagere af personoplysningerne
Såfremt de indsamlede personoplysninger videregives, skal den registrerede oplyses om eventuelle modtagere eller kategorier af modtagere. Det kan eksempelvis være andre offentlige myndigheder, pengeinstitutter eller fordringshavere.
Eventuelle overførsler til tredjelande
Hvis oplysningerne overføres til et tredjeland (lande uden for EU/EØS), udløser dette en pligt til at informere den registrerede herom. Der skal informeres om de såkaldte "fornødne garantier" for overførslen, hvordan den registrerede kan få en kopi af disse, eller hvor de i øvrigt er tilgængelige.
Se nærmere om overførsel af personoplysninger til tredjelande i afsnit A.A.6.1.3.
Andre oplysninger, der efter en konkret vurdering er nødvendige at give til den registrerede
Derudover skal den dataansvarlige konkret vurdere, om den registrerede skal gives yderligere oplysninger. Der skal tages stilling til, hvilke oplysninger det er nødvendigt at give den registrerede for at sikre en rimelig og gennemsigtig behandling.
Følgende oplysninger kan Skatteforvaltningen være forpligtet til at give:
-
Det tidsrum, hvor oplysningerne vil blive opbevaret
-
Den registreredes rettigheder efter databeskyttelsesforordningen (bl.a. retten til indsigt, berigtigelse, begrænsning af behandling og indsigelse)
-
Hvis indsamlingen er baseret på et samtykke, da gives oplysning om retten til at trække samtykket tilbage
-
Retten til at indgive klage til Datatilsynet
-
Om indsamlingen af personoplysninger sker på baggrund af et lovkrav, og om den registrerede har pligt til at afgive oplysningerne, samt eventuelle konsekvenser af ikke at afgive oplysningerne
-
Forekomsten af automatiske afgørelser, herunder profilering
Se DBF artikel 13, stk. 2.
Oplysningspligtens nærmere indhold gennemgås i det følgende.
Det tidsrum, hvor oplysningerne vil blive opbevaret
Den registrerede vil efter en konkret vurdering skulle oplyses om, hvor længe den dataansvarlige vil opbevare personoplysningerne eller, hvis dette ikke er muligt, de kriterier, der anvendes for at fastlægge dette tidsrum.
Personoplysninger må som udgangspunkt opbevares, så længe det er nødvendigt til de formål, hvortil de pågældende oplysninger behandles. Dvs. så længe der er et saglig behov herfor.
Den registreredes rettigheder efter databeskyttelsesforordningen
Den registrerede har en række rettigheder efter databeskyttelsesforordningen, som den pågældende efter en konkret vurdering skal oplyses om. Se DBF artikel 13, stk. 2, litra b.
I det følgende gives en kort beskrivelse af disse øvrige rettigheder:
1. Ret til indsigt
Den registrerede har som udgangspunkt ret til indsigt i de personoplysninger, som den dataansvarlige behandler om vedkommende. Derudover indebærer retten til indsigt, at den registrerede har ret til at modtage en række informationer om den eller de behandlinger, der foretages. Se DBF artikel 15, jf. DBL § 22.
Se afsnit A.A.6.3 for en nærmere gennemgang af retten til indsigt.
2. Ret til berigtigelse
Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget (rettet) uden unødig forsinkelse. Derudover har den registrerede - under hensyntagen til formålene med behandlingen - ret til at få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring. Se DBF artikel 16.
3. Ret til sletning
I visse tilfælde har den registrerede ret til - uden unødig forsinkelse - at få personoplysninger om sig selv slettet før det tidspunkt, hvor oplysningerne ellers skulle have været slettet som følge af den dataansvarliges almindelige slettefrister. Denne rettighed kaldes også for "retten til at blive glemt". Se DBF artikel 17.
4. Ret til begrænset behandling
Den registrerede har i visse tilfælde ret til at få begrænset behandlingen af sine personoplysninger, fx hvis vedkommende bestrider rigtigheden af sine personoplysninger.
Hvis behandlingen er blevet begrænset, må den dataansvarlige fremover kun behandle oplysningerne - bortset fra opbevaring - med den registreredes samtykke, eller med henblik på at et retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en fysisk eller juridisk person, eller af hensyn til vigtige samfundsinteresser. Se DBF artikel 18.
5. Ret til dataportabilitet
Den registrerede har i nogle tilfælde ret til at modtage sine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format. Derudover har den registrerede ret til at få overført egne personoplysninger fra én dataansvarlig til en anden uden hindring, hvis det er teknisk muligt. Se DBF artikel 20.
6. Ret til indsigelse
Den registrerede har ret til - af grunde der vedrører den pågældendes særlige situation - at gøre indsigelse mod den dataansvarliges ellers lovlige behandling af vedkommendes personoplysninger. Se DBF artikel 21.
Det er den dataansvarlige, som har bevisbyrden for, at der foreligger vægtige, legitime grunde til, at behandlingen fortsættes.
Hvis indsamlingen er baseret på et samtykke, da oplysning om retten til at trække samtykket tilbage
Hvis indsamlingen af personoplysninger sker på baggrund af et samtykke, skal den registrerede oplyses om, at vedkommende på ethvert tidspunkt kan trække sit samtykke tilbage.
Retten til at indgive klage til Datatilsynet
Den dataansvarlige kan også være forpligtet til at oplyse den registrerede om retten til at indgive en klage over behandlingen til Datatilsynet. Den registrerede bør i den forbindelse modtage Datatilsynets kontaktoplysninger.
Om indsamlingen af personoplysninger sker på baggrund af et lovkrav, og om den registrerede har pligt til at afgive oplysningerne, samt om eventuelle konsekvenser af ikke at afgive oplysningerne
I de tilfælde, hvor indsamlingen af personoplysningerne sker på baggrund af et lovkrav, og den registrerede har pligt til at afgive oplysningerne, skal den registrerede oplyses herom. Den registrerede skal også oplyses om konsekvenserne af ikke at give de pågældende oplysninger.
Forekomsten af automatiske afgørelser, herunder profilering
Såfremt der anvendes automatiske afgørelser, herunder profilering, skal den registrerede efter en konkret vurdering gives meningsfulde oplysninger om logikken i disse typer af behandlinger samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
Undtagelser fra oplysningspligten
Den dataansvarlige kan i en række tilfælde være undtaget oplysningspligten:
Disse undtagelser gennemgås nærmere i det følgende.
1. Den registrerede er allerede bekendt med oplysningerne
Hvis den registrerede allerede er bekendt med de oplysninger, som den dataansvarlige er forpligtet til at give, kan oplysningspligten undlades. Se DBF artikel 13, stk. 4.
Er den dataansvarlige i tvivl om, hvorvidt den registrerede allerede er bekendt med oplysningerne, skal oplysningspligten opfyldes.
2. Hensynet til private og offentlige interesser
Den dataansvarlige kan undlade at opfylde oplysningspligten, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv. Se DBL § 22, stk. 1.
Den dataansvarlige kan ligeledes undlade at iagttage oplysningspligten, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder især til:
-
Statens sikkerhed
-
Forsvaret
-
Den offentlige sikkerhed
-
Forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed
-
Andre vigtige målsætninger i forbindelse med beskyttelse af Den Europæiske Unions eller en medlemsstats generelle samfundsinteresser, især Unionens eller en medlemsstats økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed
-
Forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv
-
Kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omfattet af punkterne opregnet umiddelbart ovenfor
-
Beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder
-
Håndhævelse af civilretlige krav
Se DBL § 22, stk. 2.
Der skal altid foretages en konkret afvejning i den enkelte situation. Ved afvejningen af om private eller offentlige interesser overstiger hensynet til den registreredes interesser, skal på den ene side indgå den registreredes interesse i at få kendskab til oplysningerne, og på den anden side afgørende hensyn til de offentlige og private interesser, herunder hensynet til den pågældende selv.
Det bemærkes, at undladelse af at iagttage oplysningspligten kun kan ske, hvis der er en nærliggende fare for, at de private eller det offentliges interesser vil lide skade af væsentlig betydning. Bevisbyrden påhviler den dataansvarlige.
Afvejningen skal foretages for hver enkelt oplysning for sig. Hvis de hensyn, der indebærer en undtagelse fra oplysningspligten kun gør sig gældende for en del af oplysningerne, skal der gives den registrerede meddelelse om de øvrige oplysninger.
►For en nærmere gennemgang af hvidvaskreglernes forhold til oplysningspligten efter databeskyttelsesforordningen og databeskyttelsesloven henvises til A.C.2.9.1.◄
Særligt om kontrolhensyn
Undtagelsesbestemmelsen i DBL § 22, stk. 2, nr. 8, om hensynet til kontrolfunktioner m.v., vil kunne anvendes, hvis afvejningen af, på den ene side hensynet til den registreredes interesse i at få kendskab til oplysningerne, og på den anden side afgørende kontrolhensyn, fører til en konklusion om, at der er en nærliggende og konkret fare for, at det offentliges interesser vil lide skade af væsentlig betydning. Dette kan fx være i det tilfælde, hvor behandlingen sker i forbindelse med planlægning af uanmeldt kontrol.
Eksempel - anmeldelser
Den 15. december 2006 anmodede SKAT Datatilsynet om en udtalelse om SKATs interne retningslinjer om opfyldelse af oplysningspligten efter den dagældende persondatalov (PDL) i forbindelse med modtagelse af anmeldelser om skatteunddragelser. Se SKM2007.512.SKAT.
Datatilsynet udtalte bl.a., at der med anvendelsen af udtrykket "afgørende" i PDL § 30, stk. 2, nr. 6 (nu: DBL § 22, stk. 2, nr. 8) er tilkendegivet, at undtagelse fra oplysningspligten kun kan gøres, hvor der er nærliggende fare for, at det offentliges interesser vil lide skade af væsentlig betydning. Datatilsynet udtalte videre, at det var tilsynets opfattelse, at der skal udøves forsigtighed med anvendelsen af denne bestemmelse. Derudover havde Datatilsynet ingen bemærkninger til retningslinjerne om SKATs anvendelse af PDL § 30, stk. 2, nr. 6 (nu: DBL § 22, stk. 2, nr. 8) og PDL § 29, stk. 3 (nu: DBF artikel 14, stk. 5, litra b).
På baggrund af Datatilsynets udtalelse blev det ved SKM2007.512.SKAT præciseret, at der gælder følgende hovedregler:
Når tredjemand anmelder en skatteyder for overtrædelse af skattelovgivningen, skal den anmeldte skatteyder straks underrettes, dvs. inden for 10 dage. Denne underretning kan dog udskydes, hvis den ansvarlige medarbejder efter et konkret skøn kommer til det resultat, at selve opklaringsmuligheden vil lide væsentlig skade, såfremt underretning gives straks til den anmeldte. Dette konkrete skøn skal udøves straks ved modtagelsen af anmeldelsen.
I tilfælde, hvor underretningen udskydes, skal den ansvarlige medarbejder udarbejde et internt notat, der indeholder en begrundelse for, hvilke faktiske omstændigheder der bevirker, at opklaringsmuligheden vil lide væsentlig skade ved en underretning. Det forhold, at kontrolprocessen - altså arbejdet med at gennemføre kontrolprocessen - bliver vanskeligere, fx mere tidskrævende, er ikke i sig selv nok til at udskyde en underretning.
Ovenstående antages også at være gældende efter databeskyttelsesforordningens ikrafttrædelse.
Oversigt over domme, kendelser, afgørelser, SKM-meddelelser mv.
Skemaet viser de omtalte afgørelser på området.
Afgørelse | Afgørelsen i stikord | Yderligere kommentarer |
SKM2007.512.SKAT af 27/7 2007, der også indeholder Datatilsynets udtalelse | Hovedregler for opfyldelse (udskydelse) af oplysningspligten ved modtagelse af anmeldelser. Hovedreglerne er udarbejdet på grundlag af SKATs indhentede udtalelse fra Datatilsynet. | Udtalelsen er afgivet inden databeskyttelsesforordningens og databeskyttelseslovens ikrafttrædelse. |