SKAT's brug af ulovligt fremskaffede oplysninger

Dato: 17-05-2018

J.nr. 2018-32-0065

Efter en gennemgang af sagen finder Datatilsynet, at SKAT behandler oplysninger om klager i strid med persondatalovens § 5, stk. 1, hvilket tilsynet finder kritisabelt

Datatilsynet har endvidere truffet afgørelse om, at SKAT, jf. persondatalovens § 37, stk. 1, skal slette de omhandlede oplysninger, der behandles i strid med persondatalovens § 5, stk. 1. 

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

1. Sagsfremstilling

Det fremgår af sagen, at [klager gennem en årrække har] været genstand for en strafferetlig efterforskning som mistænkt for skattesvig. […]

Som led i efterforskningen aflyttede politiet klagers telefon […], ligesom politiet […] gennemførte ransagninger og beslaglagde en række dokumenter.

SKAT modtog […] løbende oplysninger fra SØIK om klager til brug for vurderingen af klagers skattepligt og opgørelse af klagers skattepligtige indkomst.

SØIK opgav påtale i straffesagen mod klager […]. SKAT fastholdt derimod, […], og skattesagen verserer fortsat ved Landsskatteretten.

Ved brev […] til Skatteankestyrelsen har klager gjort indsigelse mod SKATs behandling af de oplysninger, som SKAT har modtaget i forbindelse med SØIKs strafferetlige efterforskning.

Ved brev […] er SKAT fremkommet med en udtalelse til Skatteankestyrelsen, hvoraf det fremgår, at SKAT finder indsigelsen uberettiget.

Ved kontormøde […] hos Skatteankestyrelsen har klager igen gjort indsigelse mod SKATs behandling af de oplysninger, som SKAT har modtaget fra SØIK.

Landsskatteretten har herefter […] truffet afgørelse om, at spørgsmålet om, hvorvidt de omhandlede oplysninger kan indgå i sagens behandling ikke udskilles til særskilt behandling, og at Landsskatteretten derfor vil afgøre dette spørgsmål samtidigt med skattesagens hovedspørgsmål; […].

Klager har [herefter] anmodet SØIK om at foranstalte, at de omhandlede oplysninger bliver destrueret, herunder materiale, der er overgivet til SKAT.

SØIK traf […] afgørelse om disse spørgsmål og enig med klager i, at der skulle ske tilintetgørelse af en række oplysninger, som fortsat var i SØIKs besiddelse.

SØIK har imidlertid videre anført i afgørelsen, at mens SØIK kan tage stilling til sin egen fortsatte opbevaring af oplysninger fra den afsluttede straffesag, ses der ikke at være hjemmel til, at SØIK kan disponere over eller anmode om tilbagelevering af materiale, der er videregivet til SKAT til brug for SKATs sagsbehandling.

Klager har herefter indbragt dette spørgsmål for Københavns Byret.

Københavns Byret har […] afvist klagers anmodning om, at SØIK skal foranstalte, at det til SKAT overleverede materiale destrueres med følgende begrundelse:

”Efter retsplejelovens § 746, stk. 1, afgør retten tvistigheder om lovligheden af politiets efterforskningsskridt.

SØIK har ikke bestridt, at der efter påtaleopgivelsen skal ske destruktion af den del af materialet, der var i SØIKs besiddelse, hvilket også er sket. SØIK har underrettet SKAT om SØIKs afgørelse […] om destruktion af materialet i SØIKs besiddelse.

Retten bemærker, at udskrifter af aflytninger af samtaler mellem [klager] og [klagers] advokat er ulovligt indhentet materiale, jf. retsplejelovens § 782, stk. 2, ligesom korrespondance m.v. mellem [klager] og [klagers] advokater ikke kan ransages, jf. retsplejelovens § 794, stk. 3, eller beslaglægges, jf. retsplejelovens § 802, stk. 4. På baggrund af de foreliggende oplysninger lægger retten til grund, at spørgsmålet om lovligheden af disse indgreb/fortsat opbevaring af dette materiale ikke er blevet indbragt for retten af [klagers] forsvarer i medfør af retsplejelovens § 746, stk. 1, mens sagen har været under efterforskning, og inden påtale blev opgivet.

Indhentelse af de resterende dele af det omtvistede materiale som led i efterforskningen var lovlig, og den del af det indhentede efterforskningsmateriale er lovligt overgivet til skattemyndighederne med henblik på anvendelse i sagsbehandlingen.

Det ulovligt indhentede materiale er nu sammen med det lovligt indhentede materiale destrueret af SØIK. 

Denne sag vedrører alene spørgsmålet om SØIKs pligt til at foranstalte, at det til SKAT overleverede materiale m.v. som nævnt i påstanden, destrueres.

Retten finder ikke, at spørgsmålet om SØIKs pligt til at foranstalte destruktion af det materiale, der er overgivet til SKAT, kan anses som ”tvistigheder om lovligheden af politiets efterforskningsskridt”, hvorfor retten ikke har hjemmel til at træffe afgørelse om dette spørgsmål. 

Spørgsmålet om, hvorvidt SKAT efter opgivelse af påtale er berettiget til at beholde materialet og lovligt anvende dette eller dele heraf, må afgøres under en sag mod SKAT, jf. i øvrigt princippet i Østre Landsrets kendelse af 20. oktober 2005 som gengivet i U.2006.396.

Det anførte om retssikkerhedslovens (tvangsindgrebslovens) § 9 kan ikke føre til et andet resultat.

[Klagers] anmodning afvises derfor.”

Østre Landsret har […] stadfæstet byrettens resultat og begrundelse.

Klager har herefter […] klaget til Datatilsynet over SKATs behandling af de oplysninger, som SKAT har modtaget fra SØIK. 

Klagen angår navnlig følgende kategorier af oplysninger: (1) aflytninger af samtaler mellem klager og dennes advokat og (2) breve, notater, udkast til kontrakter mv., der er udvekslet mellem klager og dennes advokat, og som politiet har fundet ved ransagning.

1.1. Klagers bemærkninger

Klager har bl.a. anført, at indsamlingen af de oplysninger, der er nævnt ovenfor, er ulovlig, jf. retsplejelovens § 782, stk. 2, § 794, stk. 3, § 802, stk. 4, § 803, stk. 2, og § 804, stk. 4.

Forbuddene mod indsamlingen af de pågældende oplysninger er ikke bare en administrativ praksis, et cirkulære, eller en bekendtgørelse. Forbuddene mod indsamlingen af de pågældende oplysninger er et direkte udtryk for et grundlæggende retssikkerhedsprincip, hvorfor reglen ikke kan gradbøjes eller har undtagelser i retsplejeloven.

Forbuddene mod indsamlingen af de pågældende oplysninger bliver endvidere bestyrket af pligten til straks at tilintetgøre sådanne oplysninger jf. retsplejelovens § 791, stk. 3.

Klager har endvidere anført, at persondatalovens § 5, stk. 1, stiller krav om, at behandling af oplysninger skal ske i overensstemmelse med god databehandlingsskik.

Klager har i den forbindelse henvist til den kommenterede persondatalov[1], s. 192, hvoraf det fremgår, at god databehandlingsskik (bl.a.) indebærer et krav om, at behandling af data skal være rimelig og lovlig.

Bestemmelsen må efter klagers opfattelse først og fremmest have den betydning, at den oprindelige indsamling skal være lovlig. Det må herefter uden videre lægges til grund, at indsamling af oplysninger i strid med retsplejeloven nødvendigvis må indebære, at selve indsamlingen er i strid med persondatalovens § 5, stk. 1.

Endvidere må enhver efterfølgende behandling af de ulovligt indsamlede oplysninger også være i strid med persondatalovens § 5, stk. 1.

Det er således klagers klare vurdering, at behandling af oplysninger, som er indsamlet direkte i strid med retssikkerhedsprincipper nedfældet i retsplejeloven, aldrig nogensinde kan være forenelig med persondatalovens § 5, stk. 1, uanset hvilken hjemmel i skattelovgivningen, retssikkerhedsloven, forvaltningsloven, persondataloven eller lignende, som SKAT måtte angive som hjemmel til behandlingen af oplysningerne.

Klager har i den forbindelse anført, at en accept af, at SKAT lovligt kan behandle de omhandlede oplysninger på trods af den ulovlige indsamling, vil være en omgåelse af både retsplejeloven og persondataloven. I så fald vil vi stå i den absurde situation, at indsamling af oplysninger i strid med love og retsprincipper kan videregives, indtil oplysningernes nedarvede retsstridigheder er tilstrækkeligt udvandede.

Klager har endelig anført, at hvis en indsigelse er berettiget, følger det af persondatalovens § 35, stk. 2, at behandlingen ikke længere må omfatte de pågældende oplysninger.

Klager har henvist til den kommenterede persondatalov, s. 521, hvoraf fremgår, at en indsigelse mod en behandling af personoplysninger naturligvis vil være berettiget, hvis behandlingen ikke er lovlig, dvs. finder sted i strid med reglerne i persondataloven eller anden lovgivning.

Det følger endvidere af persondatalovens § 37, at den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov. Det er klagers opfattelse, at oplysningerne behandles i strid med lov, og at klagers indsigelse på denne baggrund er berettiget.

Da den blotte opbevaring af oplysningerne i sig selv udgør en behandling i strid med lov, må den eneste meningsfulde konsekvens af, at SKAT aldrig lovligt har kunnet modtage – og efterfølgende behandle – sådanne oplysninger, være, at SKAT må slette oplysningerne.

1.2. SKATs bemærkninger

SKAT har bl.a. oplyst, at SKAT behandler oplysninger om klager i forbindelse med vurderingen af klagers skattepligt og opgørelse af klagers skattepligtige indkomst, og at SKATs behandling er helt eller delvist omfattet af persondatalovens anvendelsesområde.

SKAT har […] løbende modtaget oplysninger fra SØIK vedrørende klager.

Oplysningerne er modtaget:

  • I papirform. I det omfang SKAT har anvendt oplysninger fra dette materiale, foreligger oplysningerne elektronisk via SKATs forslag/afgørelser og sagsfremstilling. SKATs afgørelser, sagsfremstilling og de af SKAT udarbejdede bilag foreligger alle elektronisk, mens øvrige bilag til afgørelserne kun delvist foreligger elektronisk, da SKATs daværende journaliseringssystem ikke var i stand til at lagre så store mængder af data.
  • Elektronisk. Disse oplysninger er lagret elektronisk hos SKAT.

SKAT har anført, at det i den foreliggende sag kan lægges til grund, at politiet løbende under straffesagens behandling har udvekslet materiale med SKAT i henhold til den dagældende forvaltningslovs § 28, samt fra 1. juli 2009 i henhold til persondatalovens §§ 6-8 jf. forvaltningslovens § 31, stk. 1. Materialet blev udvekslet til brug for SKATs skatteansættelse af klager.

Det er den myndighed, der er i besiddelse af fortrolige oplysninger, der skal afgøre, om betingelserne for og dermed pligten til at videregive oplysningerne er til stede, jf. forvaltningslovens § 31, stk. 1. Det er således politiet, der i nærværende sag har vurderet, at det var berettiget at udveksle materialet med SKAT.

SKAT har således lovligt modtaget materialet fra politiet efter reglerne i forvaltningsloven og persondataloven om udveksling af fortroligt materiale mellem myndigheder.

Det er endvidere SKATs opfattelse, at SKATs sagsbehandling i skattesager er reguleret af officialmaksimen og regler fastsat i skatteforvaltningsloven, skattekontrolloven og retssikkerhedsloven. Retsplejelovens specialregler inden for strafferetsplejen finder ikke anvendelse på SKATs behandling af skattesager.

Det følger af officialprincippet, at hensynet til den bedst mulige oplysning af sagen samt hensynet til at opnå den materielt rigtige afgørelse betyder, at beviser som er indhentet af politiet og efterfølgende lovligt er videregivet til SKAT, kan anvendes i en skattesag. Der ses således ikke at være domme eller afgørelser, hvorefter myndigheder i civile sager er blevet afskåret fra at anvende materiale, som myndigheden lovligt er kommet i besiddelse af.

Det er endelig SKATs opfattelse, at der hverken i retsplejeloven, persondataloven eller i særlovgivningen findes regler, der regulerer, hvorvidt et bevis, der er fremskaffet på en måde, der indebærer et retsbrud over for nogen, kan føres, enten over for modparten, over for en offentlig myndighed eller over for domstolene.

Skatteankestyrelsen er […] fremkommet med et udkast til afgørelse i den konkrete sag. Af udkast til afgørelse fremgår, at det er i overensstemmelse med officialprincippet, at SKAT inddrager de i sagen omhandlede oplysninger, idet oplysningerne ubestridt er lovligt videregivet til SKAT.

2. Retligt grundlag

Persondataloven[2] gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Ved begrebet ”register” forstås ifølge persondatalovens § 3, nr. 3, enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag.

Af de specielle bemærkninger til bestemmelsen[3] fremgår:

”Omfattet af bestemmelsens registerbegreb er manuelle registre, såsom fortegnelser, kartotekskasser, journalkortsystemer og andre samlinger af manuelt materiale, som opbevares struktureret efter bestemte kriterier vedrørende personer for at lette adgangen til de indeholdte personoplysninger. Derimod er manuelle akter, som indgår i den dataansvarliges konkrete sagsbehandling, mapper med sagsakter eller samlinger af sådanne mapper, ikke omfattet af registerbegrebet.”

Behandling af oplysninger skal altid ske i overensstemmelse de grundlæggende principper, der findes i persondatalovens § 5. 

Ifølge persondatalovens § 5, stk. 1, skal oplysninger behandles i overensstemmelse med god databehandlingsskik.

Af de specielle bemærkninger til lovens § 5, stk. 1[4], fremgår bl.a. følgende:

”Bestemmelsen fastsætter, at den dataansvarlige skal behandle oplysninger i overensstemmelse med god databehandlingsskik. Heri ligger, at behandlingen skal være rimelig og lovlig. En rimelig behandling af oplysninger forudsætter bl.a., at registrerede personer kan få kendskab til en behandlings eksistens og, når der indhentes oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, Der henvises herved til betragtning 38 i direktivets præambel[5]. I øvrigt må det overlades til tilsynsmyndigheden at udfylde den retlige standard ”god databehandlingsskik”.”

Efter Datatilsynets praksis medfører princippet om god databehandlingsskik bl.a., at en behandling, der er i strid med anden lovgivning end persondataloven, heller ikke lovligt vil kunne foretages efter persondataloven.

Ifølge persondatalovens § 35 kan den registrerede til enhver tid over for den dataansvarlige gøre indsigelse mod, at oplysninger om vedkommende gøres til genstand for behandling. Efter bestemmelsens stk. 2, må behandlingen, hvis indsigelsen efter stk. 1 er berettiget, ikke længere omfatte de pågældende oplysninger.

Af forarbejderne til bestemmelsen[6] fremgår bl.a., at en indsigelse naturligvis vil være berettiget, hvis behandlingen ikke er lovlig.

Ifølge persondatalovens § 37 skal den dataansvarlige berigtige, slette eller blokere oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.

Af de specielle bemærkninger til bestemmelsen[7] fremgår bl.a. følgende:

”En anmodning om berigtigelse, sletning eller blokering skal komme fra den registrerede eller dennes fuldmægtig. Anmodningen skal angå oplysninger om den registrerede selv. Den dataansvarlige er således ikke forpligtet til efter anmodning at foretage berigtigelse m.v. af oplysninger om andre personer. Dog vil det efter omstændighederne påhvile den dataansvarlige at undersøge rigtigheden af sådanne henvendelser, jf. § 5, stk. 4.

Der gælder ikke noget formkrav til den registreredes anmodninger i henhold til bestemmelsen. Hvis anmodning fremsættes, påhviler det den dataansvarlige eller dennes repræsentant snarest muligt at tage stilling til, om begæringen kan imødekommes, og i givet fald at foretage berigtigelse, sletning eller blokering. Om oplysninger, der viser sig urigtige eller vildledende eller på lignende måde er behandlet i strid med lovgivningen, skal berigtiges, slettes eller blokeres, må afgøres ud fra de konkrete omstændigheder. I enkelte situationer kan det dog følge af bl.a. lovgivningen, at en bestemt korrigeringsmetode under nærmere angivne omstændigheder skal anvendes. Dette er eksempelvis tilfældet for så vidt angår reglen i retsplejelovens § 221 om, i hvilket omfang domstolene kan berigtige afgørelser. Det forudsættes, at sådanne særlige regler går forud for den foreslåede bestemmelse. Der gælder således ikke en pligt til at foretage berigtigelse, sletning eller blokering i de tilfælde, hvor andet – ud fra særlige hensyn – er fastsat i lovgivningen i øvrigt. Det bemærkes, at en sådan ordning er forenelig med direktivets artikel 12, litra b, jf. herved udtrykket »efter omstændighederne«.

De korrigeringsmetoder, som er indeholdt i bestemmelsen, svarer i det væsentlige til den gældende registerlovgivning, jf. herved lov om offentlige myndigheders registre § 11 og lov om private registre §§ 5 og 6. Korrigeringsmetoden blokering er dog udtryk for en nyskabelse. Blokering af oplysninger indebærer, at det fortsat er tilladt at opbevare indsamlede oplysninger, hvorimod det ikke er tilladt at behandle og bruge oplysninger, herunder navnlig videregive dem til tredjemand. Oplysninger, som er blokeret, skal derfor være forsynet med en sådan markering, at en bruger informeres om blokeringen. Det forhold, at behandlede oplysninger er blokeret, er ikke til hinder for, at dataansvarlige foretager den behandling af oplysninger, som er nødvendig for, at den dataansvarlige kan opfylde en oplysningspligt, som påhviler denne, f.eks. efter lovgivningen. Således vil den omstændighed, at oplysninger er blokeret, ikke være til hinder for, at en forvaltningsmyndighed i medfør af reglerne i forvaltningsloven og offentlighedsloven meddeler tredjemand aktindsigt i de blokerede oplysninger. I givet fald forudsættes det, at tredjemand informeres om, at der er tale om oplysninger, som er blokeret, og om, hvorfor dette er sket.”

Af Registerudvalgets betænkning nr. 1345/1997 om behandling af personoplysninger, s. 321, fremgår bl.a. følgende:

”[Der] er i [direktiv 95/46/EF] artikel 12, litra b, indsat en bestemmelse om, at den registrerede skal sikres ret til hos den dataansvarlige efter omstændighederne at få oplysninger, som ikke er behandlet i overensstemmelse med direktivet, berigtiget, slettet eller blokeret, navnlig hvis de er ufuldstændige eller urigtige.

Det fremgår ikke at bestemmelsen, hvilken korrigeringsmetode der vil skulle anvendes i de tilfælde, hvor oplysninger ikke er behandlet i overensstemmelse med direktivets bestemmelser. Dette må afgøres ud fra omstændighederne i den konkrete sag, hvor det afgørende må være, at der sker en så vidt muligt fuldstændig genopretning af den registreredes interesser.”

I sag C-131/12 Google Spain SL har EU-Domstolen bl.a. udtalt sig om fortolkningen af databeskyttelsesdirektivets artikel 12, litra b. Af dommen fremgår bl.a. følgende:

”Hvad angår artikel 12, litra b), i direktiv 95/46 bestemmer den, at medlemsstaterne sikrer enhver registreret ret til hos den registeransvarlige efter omstændighederne at få oplysninger, som ikke er blevet behandlet i overensstemmelse med dette direktiv, berigtiget, slettet eller blokeret, navnlig hvis de er ufuldstændige eller urigtige. Da sidstnævnte præcisering af et tilfælde, hvor visse krav i artikel 6, stk. 1, litra d) [om datakvalitet] i direktiv 95/46 ikke er blevet overholdt, er et ikke-udtømmende eksempel, følger det heraf, at den manglende overensstemmelse med direktivet i forbindelse med behandlingen, som for den registrerede kan udløse den ret, der er sikret i direktivets artikel 12, litra b), ligeledes kan følge af manglende overholdelse af andre lovlighedsbetingelser, som direktivet pålægger behandlingens af personoplysninger.

I denne forbindelse bemærkes, at med forbehold af de undtagelser, der er tilladt i henhold til artikel 13 i direktiv 95/46, skal enhver behandling af personoplysninger foregå i overensstemmelse med både principperne vedrørende oplysningernes pålidelighed, der er fastsat i direktivets artikel 6, og et af de principper vedrørende grundlaget for behandling af oplysninger, der er opregnet i direktivets artikel 7 […].

I henhold til artikel 6 og med forbehold af, at medlemsstaterne kan fastsætte bestemmelser om behandling i historisk, statistisk eller videnskabeligt øjemed, påhviler det den registeransvarlige at sikre, at personoplysningerne »behandles loyalt og lovligt­«, at de »indsamles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke [er] uforenelig med disse formål«, at de er »relevante og tilstrækkelige og ikke omfatte[r] mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, og til de formål, hvortil de senere behandles«, at de er »korrekte og om nødvendigt ajourførte«, og endelig at de »ikke må opbevares på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt«. I denne forbindelse skal den registeransvarlige træffe alle rimelige foranstaltninger, med henblik på at de oplysninger, der ikke lever op til kravene i denne bestemmelse, slettes eller berigtiges.” (Datatilsynets understregning)[8]

Om officialprincippet, som SKAT har henvist til, fremgår af ”Forvaltningsret” af Niels Fenger (red.)[9], s. 484 bl.a.:

”Det er et grundlæggende uskrevet princip i forvaltningsretten, at det påhviler den enkelte forvaltningsmyndighed enten selv at fremskaffe de fornødne oplysninger til at afgøre en sag korrekt eller dog at foranledige, at andre medvirker til sagens oplysning. Dette princip betegnes normalt ”officialmaksimen”, også kaldet ”officialprincippet” og ”undersøgelsesprincippet”. […]

Officialmaksimen har tre aspekter. Det første består i en afgrænsning af sagens ramme. […] Det andet aspekt vedrører spørgsmålet om, hvilken grad af bevissikkerhed der kræves, før forvaltningsmyndigheden kan træffe afgørelse i sagen. […] Officialmaksimens tredje aspekt vedrører fordelingen af pligten mellem parten og myndigheden til rent praktisk at fremskaffe de oplysninger, der er nødvendige for at opnå den fornødne bevissikkerhed.”

Af s. 495 i bogen fremgår om, hvordan de fornødne oplysninger skal fremskaffes, følgende:

”Reguleringen heraf vil ofte til dels være sket i den lovgivning, som sagen skal afgøres efter. Særreguleringen suppleres imidlertid næsten altid af de generelle regler for sagsoplysning, som følger af officialmaksimen, forvaltningsloven, [persondataloven] og eventuelt lov om retshåndhævende myndigheds behandling af personoplysninger.”

Om forholdet mellem forvaltningsloven og persondataloven fremgår af Registerudvalgets betænkning nr. 1345/1997 om behandling af personoplysninger, s. 159, bl.a. følgende:

”Lovudkastet er således – ligesom lov om offentlige myndigheders registre – udtryk for en specialregulering i forhold til forvaltningsloven. I det omfang der er tale om videregivelse af oplysninger, der er omfattet af lovudkastet, vil spørgsmålet om berettigelsen heraf derfor skulle bedømmes efter lovudkastets regler. I givet fald vil berettigelsen som udgangspunkt skulle bedømmes efter reglerne i lovudkastets kapitel 4 om den dataansvarliges adgang til at behandle, herunder videregive, personoplysninger.”

Af de almindelige bemærkninger pkt. 4.2.11.2. til persondataloven[10] fremgår tilsvarende bl.a.:

”Udvalgets udkast til en ny lovgivning på området bygger således på den forudsætning, at der – ligesom lov om offentlige myndigheders registre – er tale om en specialregulering i forhold til reglerne i forvaltningsloven og offentlighedsloven.”

Det fremgår endvidere af den kommentere forvaltningslov[11], at:

”Forvaltningsloven indeholder en lovfæstelse af de mindstekrav vedrørende de mest grundlæggende rettigheder, der tilkommer den, der er part i en forvaltningssag. […] Forvaltningslovens bestemmelser suppleres i den forbindelse navnlig af persondataloven og af lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter.”

Ovennævnte synspunkt om inddragelse af persondataloven i forbindelse med fastlæggelsen af udtrækningen af officialprincippet ses endvidere i en udtalelse fra Folketingets Ombudsmand[12], hvor ombudsmanden bl.a. har udtalt. at:

”[Forvaltningsmyndigheder] er underlagt det ulovbestemte princip kaldet officialprincippet (eller undersøgelsesprincippet) som er et helt grundlæggende princip der gælder med lovskraft i dansk forvaltningsret. Efter officialprincippet påhviler det den enkelte forvaltningsmyndighed selv, eventuelt i samarbejde med andre myndigheder, at fremskaffe de oplysninger der er nødvendige i en sag for at myndigheden kan træffe en lovlig og indholdsmæssigt saglig og korrekt afgørelse. Officialprincippet er suppleret af særregler om sagsoplysning på forskellige områder, f.eks. skattekontrollovens regler.

I denne sag er [myndighedens] indsamling af oplysninger derudover reguleret af persondataloven. […]

Kravet om saglighed i § 5 i persondataloven må efter min opfattelse forstås på samme måde som de almindelige forvaltningsretlige saglighedskrav til sagsbehandlingen. I relation til sagsoplysning følger disse krav af officialprincippet eventuelt suppleret af særlige oplysningsregler i lovgivningen og kravet om relevans.

Jeg har ikke undersøgt, hvilke specifikke oplysninger [myndigheden] har indsamlet […], og jeg har således ikke i min undersøgelse taget stilling til, om [myndigheden] har overholdt persondatalovens § 5.”

3. Datatilsynets udtalelse

Datatilsynet lægger – efter at sagen har været behandlet på et møde i Datarådet – til grund, at persondataloven finder anvendelse for behandling af de oplysninger, som foreligger elektronisk i SKATs forslag til afgørelser, endelige afgørelser, sagsfremstilling mv., jf. lovens § 1, stk. 1.

Det bemærkes, at behandling af oplysninger, der findes hos SKAT i papirform, efter Datatilsynets opfattelse udgør manuelle sagsakter og er dermed ikke omfattet af persondatalovens anvendelsesområde, jf. lovens § 1, stk. 1, og § 3, nr. 3.

Datatilsynet finder endvidere, at det bl.a. på baggrund af by- og landsrettens kendelser […] kan lægges til grund, at oplysningerne er blevet tilvejebragt af SØIK i strid med retsplejeloven.

Som nævnt ovenfor under pkt. 2 er det Datatilsynets praksis, at princippet om god databehandlingsskik bl.a. medfører, at en behandling, der er i strid med anden lovgivning end persondataloven, heller ikke lovligt vil kunne foretages efter persondataloven.

Der er efter Datatilsynets opfattelse ikke holdepunkter for at anlægges en anderledes vurdering i nærværende sag og dermed fravige tilsynets praksis. Den omstændighed, at det ikke er SKAT, men derimod SØIK, der har indsamlet oplysningerne i strid med retsplejeloven, kan efter tilsynets opfattelse ikke føre til et andet resultat, da det i givet fald ville være muligt at omgå bl.a. retsplejeloven og retssikkerhedsloven i forbindelse med indsamling af visse oplysninger.

Efter Datatilsynets opfattelse må det på baggrund af de klare tilkendegivelser i forarbejderne til persondataloven, som også genfindes i den under pkt. 2 omtalte udtalelse fra Folketingets Ombudsmand, lægges til grund, at persondatalovens regler afgrænser officialprincippet således, at forvaltningsmyndigheder i forbindelse med sagens oplysning både har ret og pligt til at tilvejebringe de fornødne oplysninger for at afgøre en sag korrekt, dog således at en forvaltningsmyndigheds behandling af personoplysninger i forbindelse med sagens afgørelse skal ske inden for rammerne af persondataloven.

Det er således Datatilsynets vurdering, at SKATs behandling af oplysningerne er i strid med persondatalovens § 5, stk. 1, hvilket tilsynet finder kritisabelt.

4. Datatilsynets afgørelse efter persondatalovens §§ 35 og 37

En behandling, der er i strid med persondatalovens § 5, opfylder efter Datatilsynets opfattelse ikke lovens behandlingsbetingelser og er dermed i strid med loven.                                   

Allerede af den grund er klagers indsigelse efter Datatilsynets opfattelse berettiget, jf. herved bemærkningerne til persondatalovens § 35.

Det er Datatilsynets opfattelse, at persondatalovens § 37 (som implementerer databeskyttelsesdirektivets artikel 12, litra b) ikke alene finder anvendelse for så vidt angår oplysninger, der er urigtige eller vildledende, men også for så vidt angår oplysninger, som behandles i strid med andre af persondatalovens behandlingsbetingelser.

Datatilsynet finder herefter, at de omhandlede oplysninger, der fremgår af SKATs forslag til afgørelser, endelige afgørelser, sagsfremstilling mv., og som behandles i strid med persondatalovens § 5, stk. 1, efter sagens omstændigheder skal slettes, jf. persondatalovens § 37, stk. 1.

Datatilsynet har herved lagt afgørende vægt på, at der så vidt muligt skal ske en fuldstændig genopretning af klagers interesser, og at en blokering ikke i tilstrækkeligt omfang vil imødekomme dette.

Datatilsynet har endvidere lagt vægt på, at SØIK som den myndighed, der oprindeligt indsamlede oplysningerne, efter retsplejeloven har været forpligtet til straks, man blev bekendt med oplysningernes indhold, at destruere de omhandlede oplysninger, og at de omhandlede oplysninger dermed ikke burde være videregivet til SKAT.

Datatilsynet har i en række sager har taget stilling til spørgsmålet om sletning eller berigtigelse af urigtige eller vildledende oplysninger. Efter praksis afviser Datatilsynet som altovervejende hovedregel med henvisning til notat- og journaliseringspligten i offentlighedsloven, at der skal foretages sletning af oplysninger og dokumenter, der indgår i en klagers sag hos en offentlig myndighed.

Datatilsynets faste praksis er imidlertid uden afgørende betydning i nærværende sag, idet der ikke er tale om urigtige eller vildledende oplysninger, men derimod oplysninger, der er tilvejebragt i strid med retsplejelovens regler. Der er således efter Datatilsynets opfattelse intet hensyn at tage til journaliseringspligten efter offentlighedsloven.

Datatilsynet finder således, at SKAT skal slette de omhandlede oplysninger i SKATs forslag til afgørelser, endelige afgørelser, sagsfremstilling mv. SKAT anmodes om inden 6 uger fra dags dato at underrette Datatilsynet om, at sletning har fundet sted.

Datatilsynet er som en del af den offentlige forvaltning underlagt forvaltningsloven, herunder de grundlæggende forvaltningsretlige principper.

Datatilsynet har således ved afgørelsen af sagen pligt til at lægge vægt på det faktum i sagen, som foreligger på afgørelsestidspunktet, og ikke på det faktum, som oprindeligt forelå. Det betyder, at tilsynets afgørelse er truffet i lyset af by- og landsrettens kendelser […]. Der henvises herved til ”Forvaltningsret” af Niels Fenger (red.), s. 494, hvoraf fremgår:

”Afhængigt af det relevante retsgrundlag må myndigheden i sådanne tilfælde sikre, at afgørelsen træffes på baggrund ikke af det faktum som oprindeligt forelå ved sagens start, men ud fra situationen, som denne ser ud ved sagens afgørelse, jf. FOB 2015-24 og U.2010.2049 V. Eventuelle klage- og tilsynsorganer må normalt træffe afgørelse på grundlag af de aktuelle faktiske forhold, og dette gælder, selv om disse har ændret sig i forhold til førsteinstansens afgørelsesgrundlag […]”

5. Afsluttende bemærkninger

Det er i øvrigt Datatilsynets opfattelse, at tilsynets ovenstående vurderinger af SKATs behandling af de pågældende oplysninger, som der er foretaget i forhold til persondataloven, fortsat vil være aktuelle efter den 25. maj 2018, hvor databeskyttelsesforordningen finder anvendelse.

Datatilsynet afventer herefter SKATs underretning om, at de omhandlede oplysninger er slettet. Underretningen skal være tilsynet i hænde inden 6 uger fra dags dato.

Det bemærkes, at sagen har fået nyt journalnummer i Datatilsynet som følge af overgang til en ny journalperiode. SKAT bedes derfor henvise til det journalnummer, der er anført på nærværende brev. 

Kopi af Datatilsynets afgørelse er dags dato sendt til klager og Landsskatteretten til orientering.

 

[1] Henrik Waaben og Kristian Korfits Nielsen, Lov om behandling af personoplysninger, 3. udgave (2015).

[2] Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

[3] Lovforslag nr. 147 fremsat den 9. december 1999 til lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, de specielle bemærkninger til lovens § 3, nr. 3.

[4] Lovforslag nr. 147 fremsat den 9. december 1999 til lov nr. 429 af 31. maj 2000 om behandling af personoplysninger.

[5] Af præambelbetragtning nr. 38 fremgår, at ”enhver behandling af personoplysninger skal udføres rimeligt og lovligt i forhold til de registrerede.”

[6] Lovforslag nr. 147 fremsat den 9. december 1999 til lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, de specielle bemærkninger til lovens § 35.

[7] Lovforslag nr. 147 fremsat den 9. december 1999 til lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, de specielle bemærkninger til lovens § 37.

[8] C-131/12 Google Spain SL [2014], præmis 70-72.

[9] Niels Fenger (red.), Forvaltningsret, 1. udgave (2018).

[10] Lovforslag nr. 147 fremsat den 9. december 1999 til lov nr. 429 af 31. maj 2000 om behandling af personoplysninger.

[11] Niels Fenger, Forvaltningsloven med kommentarer, 1. udgave (2013), s. 54f.

[12] FOB 2011 15-1 om forvaltningsmyndigheders brug af oplysninger fra Facebook.