Borgere havde ret til indsigt i navn på utilsigtet modtager

Dato: 26-09-2024

Datatilsynet har truffet afgørelse i to sager om Udviklings- og Forenklingsstyrelsens afvisning af at oplyse navnet på en utilsigtet modtager. Sagerne har givet Datatilsynet anledning til at tage stilling til det principielle spørgsmål om, hvorvidt utilsigtede modtagere er omfattet af retten til indsigt.

Journalnummer: 2023-32-0023

Resume

Datatilsynet har truffet afgørelse i to sager, hvor to borgere klagede over, at Udviklings- og Forenklingsstyrelsen havde afvist at give klagerne indsigt i, hvilken revisor der ved en fejl havde modtaget personoplysninger om dem.

Klagerne var af Skattestyrelsen blevet underrettet om et brud på persondatasikkerheden i forbindelse med besvarelsen af en aktindsigtsanmodning, hvor en række personoplysninger om klagerne ved en fejl var blevet videregivet til en revisor, som havde delt oplysningerne med en klient. Klagerne ønskede på baggrund af underretningen at få oplyst, hvem de konkrete modtagere af deres personoplysninger var.

Udviklings- og Forenklingsstyrelsen afviste at give indsigt i identitetsoplysningerne på revisoren og dennes klient under henvisning til, at oplysningerne var fortrolige og omfattet af en særlig tavshedspligt i skatteforvaltningsloven.

Klagerne gav Datatilsynet anledning til at tage stilling til, om utilsigtede modtagere af personoplysninger er omfattet af modtagerbegrebet og dermed omfattet af retten til indsigt, som bl.a. består i, at den registrerede har ret til at få information om de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til.

Datatilsynet fandt – efter at sagerne har været behandlet på et møde i Datarådet – at utilsigtede modtagere er omfattet af den brede definition af en ”modtager” og dermed omfattet af retten til indsigt i modtagere af personoplysninger.

Datatilsynet fandt derudover, at der i de konkrete sager var tilstrækkeligt sikkert grundlag for at tilsidesætte Udviklings- og Forenklingsstyrelsens vurdering af, at oplysningen om revisorens navn var en fortrolig oplysning omfattet af tavshedspligten i skatteforvaltningsloven.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor klager 1 og [X] på vegne af klager 2 (her efter ”klagerne”) har klaget over, at Udviklings- og Forenklingsstyrelsen har afvist at give indsigt i specifikke oplysninger hos Skattestyrelsen.

1. Afgørelse

Datatilsynet finder – efter at sagen har været behandlet på et møde i Datarådet – at klagerne har ret til at modtage oplysninger om, hvilken revisor der utilsigtet har modtaget oplysninger om klagerne.

Klagerne har imidlertid ikke ret til at modtage oplysninger om, hvilken klient oplysningerne er videregivet til af revisoren.

Nedenfor følger en nærmere gennemgang af sagerne og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagerne, at Skattestyrelsen ved brev af 6. februar 2023 underrettede klagerne om et brud på persondatasikkerheden begået i 2020 i forbindelse med besvarelse af en aktindsigtsanmodning, hvorved en række personoplysninger om klagerne ved en fejl var blevet videregivet til en revisor, som derefter havde delt oplysningerne med sin klient. 

Klagerne anmodede herefter Skattestyrelsen om at få oplyst, hvem der konkret havde modtaget oplysninger om dem i forbindelse med bruddet på persondatasikkerheden.

Ved afgørelser af henholdsvis 23. marts og 14. april 2023 afviste Udviklings- og Forenklingsstyrelsen klagernes anmodning om indsigt i de pågældende oplysninger.

I afgørelserne oplyste Udviklings- og Forenklingsstyrelsen de to klagere om, at en dansk revisor og dennes klient (borger) I Danmark havde modtaget oplysningerne om klagerne, men styrelsen afviste at oplyse klagerne om identiteten (navn) på de pågældende personer under henvisning til skatteforvaltningslovens § 17, stk. 1, jf. offentlighedslovens § 35, jf. databeskyttelseslovens § 22, stk. 3, jf. databeskyttelsesforordningens artikel 15, stk. 1.

Udviklings- og Forenklingsstyrelsen begrundede blandt andet afslaget med, at:

”Skatteforvaltningen blev under sin behandling bekendt med oplysninger om økonomiske, erhvervsmæssige eller privatlivets tilhørende forhold hos modtagerne. Dette omfatter bl.a. modtagerens identitetsoplysninger med karakter af fortrolighed, fordi identitetsoplysningerne i sammenhæng med underretningsbrevet af 6. februar 2023 om bruddet på persondatasikkerheden kan belyse modtagernes indbyrdes, generelle, økonomiske (til dels private fx privatlivets fred) og erhvervsmæssige forhold. Identitetsoplysningerne kan i sammenhæng med underretningsbrevet vise modtagernes andele i bruddet på persondatasikkerheden. Identitetsoplysningerne kan i sammenhæng med underretningsbrevet yderligere bruges ved andre borgeres eventuelle kontakt til modtagerne om deres nærmere rolle ved den allerede foretaget håndtering af bruddet, herunder faktiske omstændigheder ved bruddet og trufne foranstaltninger for at afhjælpe/begrænse dets mulige skadevirkninger. Oplysninger om, hvem modtagerne præcist er, omfattes dermed af myndighedens ubetinget og særlige tavshedspligt over for uvedkommende.”

Den 28. marts og 11. maj 2023 rettede klagerne henvendelse til Datatilsynet med en klage over Udviklings- og Forenklingsstyrelsens afgørelse.

Klagerne har overordnet anført, at de har ret til og behov for at vide, hvem deres oplysninger er videregivet til for, at de kan varetage deres interesser, herunder for at sikre, at deres oplysninger ikke bliver misbrugt og ikke er videregivet til yderligere uvedkommende tredjeparter.

Datatilsynet anmodede den 23. januar 2024 Skatteministeriet om en udtalelse vedrørende tavshedspligtsbestemmelsen i skatteforvaltningslovens § 17, stk. 1.

Skatteministeriet oplyste bl.a. følgende i sin udtalelse af 1. marts 2024:

”Oplysninger som er offentlig kendt eller tilgængelige, eller efter almindelig opfattelse er ufortrolige, er ikke omfattet af tavshedspligten, […]. Navne og kontaktoplysninger er derfor almindeligvis ikke omfattet.

[…]

Den sammenhæng, oplysningerne indgår i, kan dog betyde, at oplysninger som i sig selv er ufortrolige, alligevel vil være omfattet af tavshedspligten. Det vil være tilfældet, hvis oplysningerne i den konkrete sammenhæng, fx fordi den kan kædes sammen med andre oplysninger, røber en fortrolig oplysning.”

Endvidere oplyste Skatteministeriet følgende: 

”Oplysninger om, at en revisor på vegne af en ikke-navngiven klient har fået aktindsigt, kan ikke i sig selv anses at være omfattet af den særlige tavshedspligt. Dette følger af, at revisoren ikke har fået aktindsigt i oplysninger om egne økonomiske, erhvervsmæssige eller personlige forhold. Det kan desuden ikke anses at være en forretningshemmelighed mv., at en revisor får aktindsigt, da det er almindelig kendt, at revisorer søger om og modtager aktindsigt på klienters vegne. Hvis oplysninger om, at en revisor har fået aktindsigt, sammen med øvrige oplysninger, kan afsløre fortrolige oplysninger omfattet af den særlige
tavshedspligt, fx oplysninger om, at der eksisterer en skattesag på en bestemt klient, eller at en bestemt klient har foretaget bestemte økonomiske transaktioner, vil oplysningen om at revisoren har fået aktindsigt dog også kunne være tavshedsbelagt.”

Datatilsynet oversendte den 15. marts 2024 udtalelsen fra Skatteministeriet til Udviklings- og Forenklingsstyrelsen, således at styrelsen fik lejlighed til på ny at forholde sig til sagen.

Udviklings- og Forenklingsstyrelsen oplyste den 23. maj 2024, at styrelsen fastholdte afgørelserne af 23. marts og 14. april 2023.

3. Relevante regler

Det følger af databeskyttelsesforordningens artikel 15, stk. 1, litra c, at den registrerede har ret til at få information om, de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer.

Databeskyttelseslovens § 22 indeholder en række undtagelser til retten til indsigt efter databeskyttelsesforordningens artikel 15, stk. 1.

Det fremgår af databeskyttelseslovens § 22, stk. 3, at oplysninger, der behandles for den offentlige forvaltning som led i administrativ sagsbehandling, kan undtages fra retten til indsigt i samme omfang som efter reglerne i §§ 19-29 og 35 i lov om offentlighed i forvaltningen.

Det fremgår i den forbindelse af offentlighedslovens § 35, at pligten til at meddele oplysninger er begrænset af særlige bestemmelser om tavshedspligt fastsat ved lov eller med hjemmel i lov for personer, der virker i offentlig tjeneste eller hverv.  

En sådan særlig tavshedspligtsbestemmelse er fastsat i skatteforvaltningslovens § 17, stk. 1. Det følger af bestemmelsen, at

”Skattemyndighederne skal under ansvar efter §§ 152, 152 a og 152 c-152 f i straffeloven iagttage ubetinget tavshed over for uvedkommende med hensyn til oplysninger om en fysisk eller juridisk persons økonomiske, erhvervsmæssige eller privatlivet tilhørende forhold, som de under varetagelsen af deres arbejde bliver bekendt med. Forpligtelsen gælder tillige for sagkyndige medhjælpere samt i øvrigt enhver, der som følge af et i henhold til aftale med det offentlige påtaget arbejde kommer til kundskab om sådanne forhold. Er aftalen indgået med en virksomhed, gælder forpligtelsen alle, der under deres arbejde i virksomheden får kundskab om forhold som de ovennævnte.”

4. Datatilsynets vurdering

Datatilsynet lægger til grund, at oplysningerne om identiteten på en utilsigtet modtager af oplysninger, som udgangspunkt er omfattet af retten til indsigt efter databeskyttelsesforordningens artikel 15, stk. 1, litra c.

Udviklings- og Forenklingsstyrelsen har i sine afgørelser vurderet, at identitetsoplysningerne i sammenhæng med underretningsbrevet om sikkerhedsbruddet kan belyse modtagernes indbyrdes forhold og belyse deres andele i bruddet på persondatasikkerheden. På den baggrund finder styrelsen, at oplysningerne er omfattet af den særlige tavshedspligt efter skatteforvaltningslovens § 17, stk. 1, og at oplysningerne kan undtages fra retten til indsigt efter databeskyttelseslovens § 22, stk. 3, jf. offentlighedslovens § 35.

Som det klare udgangspunkt vil Datatilsynet lægge en anden forvaltningsmyndigheds fortolkning af bestemmelser i anden lovgivning til grund. Det skyldes, at Datatilsynet normalvis ikke har andre og bedre forudsætninger for at vurdere sådanne ”særregler” end den myndighed, som har kendskab til den konkrete sag, og hvis virke de pågældende regler regulerer.

Der skal derfor være et sikkert grundlag, førend Datatilsynet tilsidesætter en anden forvaltningsmyndigheds vurdering om at undtage oplysninger fra retten til indsigt efter databeskyttelseslovens § 22, stk. 3.

I nærværende sag er det Datatilsynets forståelse af Skatteministeriets udtalelse til Datatilsynet, at tavshedspligten efter skatteforvaltningslovens § 17, stk. 1, ikke er så vidtgående, at den afskærer indsigt i en revisors identitet i alle tilfælde.

Datatilsynet finder på baggrund af Skatteministeriets udtalelse og efter vurdering af oplysningerne i sagen, at oplysningen om, hvilken revisor der utilsigtet har modtaget oplysningerne, ikke kan undtages fra indsigt med den begrundelse, som fremgår af Udviklings- og Forenklingsstyrelsens afgørelser af 23. marts 2023 og 14. april 2024, idet oplysningen efter Datatilsynets vurdering ikke er tavshedsbelagt.

Datatilsynet har herved lagt vægt på Skatteministeriets udtalelse om, at oplysninger om, at en revisor på vegne af en ikke-navngiven klient har fået aktindsigt, ikke i sig selv kan anses at være opfattet af den særlige tavshedspligt i skatteforvaltningslovens § 17, stk. 1.

Datatilsynet har yderligere lagt vægt på, at Skatteministeriet i deres udtalelse har oplyst, at det ikke anses at være en forretningshemmelighed mv., at en revisor har fået aktindsigt, da det er almindeligt kendt, at revisorer anmoder om og modtager aktindsigt på klienters vegne.

Datatilsynet finder således, at denne oplysning ikke kan undtages fra indsigtsretten med henvisning til skatteforvaltningslovens § 17, stk. 1, jf. offentlighedslovens § 35, jf. databeskyttelseslovens § 22, stk. 3, jf. databeskyttelsesforordningens artikel 15, stk. 1.

For så vidt angår oplysningen om, hvilken klient revisoren har videregivet klagernes personoplysningerne til, finder Datatilsynet imidlertid – i det omfang, at oplysningen er omfattet af den indsigtsret, som klagerne kan opnå hos skatteforvaltningen – ikke grundlag for at tilsidesætte skatteforvaltningens vurdering af , at denne personoplysning er omfattet af den særlige tavshedspligt i skatteforvaltningslovens § 17, og dermed undtaget fra retten til indsigt i medfør af databeskyttelseslovens § 22, stk. 3.

Sammenfattede er det således Datatilsynets opfattelse, at klagerne har ret til at modtage oplysninger om, hvilken revisor der utilsigtet har modtaget deres personoplysninger, jf. databeskyttelsesforordningens artikel 15, stk. 1, litra c, men derimod ikke hvilken klient, som revisoren har videregivet oplysningerne til.

5. Afsluttende bemærkninger

Datatilsynets afgørelser kan ikke indbringes for anden administrativ myndighed, jf. databeskyttelseslovens § 30. Datatilsynets afgørelser kan dog indbringes for domstolene, jf. grundlovens § 63.

Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere i sagen, idet tilsynet forventer, at Udviklings- og Forenklingsstyrelsen på baggrund af Datatilsynets afgørelse tager de fornødne skridt for at efterleve klagernes ret til indsigt.