Nya krav på betaltjänstleverantörer att lämna uppgifter
Integritetsskyddsmyndigheten (IMY) har granskat förslagen i betänkandet huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter. Med anledning av betänkandets omfång och det antal frågor som behandlas, har IMY valt att begränsa sitt yttrande till mer övergripande frågor och frågor av väsentlig betydelse för enskildas personliga integritet.
Utifrån dessa utgångspunkter lämnar IMY följande synpunkter.
Av ändringarna i förordningen om administrativt samarbete (1) framgår att medlemsstaterna är skyldiga att samla in de uppgifter som betaltjänstleverantörerna ska lämna enligt ändringar i mervärdesskattedirektivet (2). Syftet med reglerna är att bekämpa mervärdesskattebedrägerier. Förordningen om administrativt samarbete reglerar hur insamlingen och hanteringen av de aktuella uppgifterna ska gå till. Medlemsstaterna ska överföra uppgifterna från betaltjänstleverantörerna till ett nytt centralt elektroniskt system inom EU som kallas Cesop. Enligt artikel 24d i förordningen ska åtkomst till Cesop beviljas vissa utsedda Eurofisc sambandstjänstemän (för svenskt vidkommande Skatteverket) vilka endast får använda sig av åtkomsten i samband med en utredning av misstänkt mervärdesskattebedrägeri eller för att upptäcka mervärdesskattebedrägeri.
Mot bakgrund av detta finns det enligt IMY:s mening skäl som talar för att den personuppgiftsbehandling som här aktualiseras åtminstone i vissa sammanhang skulle kunna utgöra personuppgifter som rör lagöverträdelser i den mening som avses i artikel 10 i dataskyddsförordningen. I betänkandet saknas emellertid en analys av om det i något skede kan vara fråga om sådana personuppgifter och vilket rättsligt stöd de aktuella aktörerna har för behandlingen, men även hur en sådan behandling förhåller sig till befintliga bestämmelser i kompletterande nationell rätt (se bland annat 1 kap. 7 § lagen [2001:181] om behandling av uppgifter i Skatteverkets beskattningsverksamhet).
Vidare vill IMY uppmärksamma att utformningen av artikel 24d i förordningen om administrativt samarbete, även talar för att ett uppgiftslämnande från Cesop i vart fall delvis sker i brottsutredande syfte. Såvitt IMY kan se har utredningen inte analyserat om Skatteverkets efterföljande personuppgiftsbehandling skulle kunna falla in under tillämpningsområdet för brottsdatalagen (2018:1177) och det bakomliggande brottsdatadirektivet (3) (jfr artikel 55.5 i förordningen om administrativt samarbete).
Utredningen konstaterar att en ny proportionalitetsbedömning måste göras för att bedöma om det är lämpligt att Skatteverket och andra myndigheter ska få använda uppgifterna som lämnats av betaltjänstleverantörerna för andra ändamål än informationsöverföring till Cesop. Vidare konstaterar utredningen att lagstiftaren vid regleringen av de nuvarande ändamålen i lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, av naturliga skäl, endast har gjort överväganden mellan integritetsintrånget och nyttan med de uppgifter som vid införandet var aktuella att behandla. För att Skatteverket ska få använda uppgifterna för fler ändamål utöver informationsöverföring till Cesop bör det därför enligt utredningen krävas att personuppgiftsbehandlingen – och det intrång i den personliga integriteten som den medför – står i rimlig proportion till den nytta som behandlingen innebär för Skatteverket eller de myndigheter till vilka Skatteverket får överföra uppgifterna. (Se avsnitten 8.4.1 och 8.4.2.)
Vidare konstaterar utredningen att det är fråga om en stor mängd betalningsinformation som kommer att lämnas till Skatteverket vilka inkluderar delvis integritetskänsliga personuppgifter. Dessa uppgifter kommer från betaltjänstleverantörerna, det vill säga tredje man, utan koppling till något specifikt ärende och kan komma att användas för kartläggning av enskildas betalningsströmmar. Utredningen konstaterar även att de uppgifter som ska samlas in av betaltjänstleverantörerna är uppgifter som när de samlas in inte har något direkt samband med beskattning och som dessutom med stor sannolikhet endast till en mycket liten del kan komma att få någon betydelse vid skattekontroll. Enligt utredningen är det således flera omständigheter kring det aktuella uppgiftsinsamlandet som skiljer sig från vad som är normalt när uppgifter samlas in. Med anledning av detta anser utredningen att det krävs att behandlingen av de aktuella personuppgifterna hanteras med stor varsamhet och endast då nyttan med behandlingen är given. Utredningen gör sammanfattningsvis bedömningen att det inte har framkommit tillräckliga skäl för att nu låta Skatteverket använda uppgifterna för fler ändamål än informationsöverföring till Cesop och för uppgiftslämnande som redan i dag sker med stöd av lag eller förordning. (Se avsnitten 8.4.2. och 8.5.)
IMY anser sammantaget att utredningen har gjort de avvägningar avseende proportionalitet som dataskyddsförordningen kräver. IMY instämmer i utredningens bedömning.
Fotnoter
(1) Rådets förordning (EU) nr 904/2010 av den 7 oktober 2010 om administrativt samarbete och kampen mot mervärdesskattebedrägeri (förordningen om administrativt samarbete). Ändringarna i förordningen som behandlas i betänkandet införs genom rådets förordning (EU) 2020/283 av den 18 februari 2020 om ändring av förordning (EU) nr 904/2010 vad gäller åtgärder för att stärka det administrativa samarbetet för att bekämpa mervärdesskattebedrägeri.
(2) Rådets direktiv 2006/112/EG av den 28 november 2006 om ett gemensamt system för mervärdesskatt (mervärdesskattedirektivet). Ändringarna i mervärdesskattedirektivet som behandlas i betänkandet införs genom rådets direktiv (EU) 2020/284 av den 18 februari 2020 om ändring av mervärdesskattedirektivet vad gäller införandet av vissa krav för betaltjänstleverantörer.
(3) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.
Detta yttrande har beslutats av juristen Ulrika Harnesk efter föredragning av juristen Nina Hubendick.
Ulrika Harnesk, 2022-09-30 (Det här är en elektronisk signatur)