DSOP Kontrollinformasjon

Bakgrunn

DSOP ble etablert i 2016 av Brønnøysundregistrene, Finans Norge og Skatteetaten. I 2018 ble også NAV og politiet en del av samarbeidet. Partene vurderte det slik at et samarbeid om enkelte konkrete prosjekter kunne gi betydelige samfunnsøkonomiske gevinster. DSOP dreier seg om å effektivisere utveksling av informasjon som én eller flere parter har behov for. Samarbeidet bygger på en porteføljetankegang der innsats og nytte for partene skal balanseres over tid, og ordningen forutsetter aktiv deltakelse i alle prosjektene. Gevinstene fra ulike samarbeidstiltak skal over tid tilfalle finansnæringen, innbyggerne og statlig sektor. Den mest kjente løsningen i DSOP er samtykkebasert lånesøknad.

I prosjektet DSOP Kontrollinformasjon er det utviklet en maskinell og automatisert oppslagstjeneste for innhenting av nærmere fastsatte kategorier av informasjon fra banker og andre finansforetaks systemer, til Skatteetaten, NAV og 
politiet. Formålet er å effektivisere utlevering av opplysninger til etatene. Den tekniske løsningen er tilnærmet ferdig utviklet. 

DSOP Kontroll gjelder både banker og andre finansforetak. For enkelthets skyld brukes ofte «banker» som en samlebetegnelse på banker og andre finansforetak i brevet her. 

Kort beskrivelse av den tekniske løsningen

Den tekniske løsningen utviklet i prosjektet DSOP Kontroll gjør at etatene kan få maskinell tilgang til den aktuelle informasjonen fra banker og andre finansforetaks systemer fra etatens egne systemer. Dette skjer uten forsinkelse og uten krav om menneskelig involvering fra finansforetakenes side.

Oppslagstjenesten skiller mellom følgende kategorier av informasjon: 

       i.          Kontolister med oversikt over alle kontoer for en                                   spesifisert tidsperiode som en person eller et foretak                           eier eller er disponent for

      ii.          Kontodetaljer, inkludert saldo

     iii.          Detaljert transaksjonshistorikk knyttet til en konto opp til                     ti år tilbake i tid, blant annet opplysninger om beløp,                             mottaker/avsender, tidspunkt og brukersted

    iv.          Informasjon om betalingskortene knyttet til en gitt konto

      v.          Oversikt over alle parter som har eller har hatt en rolle                         knyttet til en gitt konto

Tjenesten er utviklet av partene i fellesskap og fungerer slik at en forespørsel kan gjelde én eller flere kategorier av informasjon for en gitt tidsperiode. For en nærmere beskrivelse av den tekniske løsningen, vises det til høringsnotatet.

Gjeldende rett

Skatteforvaltningsloven kapittel 10 gjelder skattemyndighetenes adgang til å innhente opplysninger fra skattepliktige og tredjeparter etter krav, såkalte kontrollopplysninger. Skatteforvaltningsloven § 10-2 gjelder kontrollopplysninger fra tredjeparter. 
Bestemmelsen lyder:

Ǥ 10-2. Kontrollopplysninger fra tredjepart

(1) Enhver tredjepart plikter etter krav fra skattemyndighetene å gi opplysninger

som kan ha betydning for noens skatteplikt.

[…]

(5) Skattemyndighetene kan kreve at tredjepart dokumenterer opplysningene

ved for eksempel å gi innsyn i, legge fram, sammenstille, utlevere eller sende inn

regnskapsmateriale med bilag, kontrakter, korrespondanse, styreprotokoller,

elektroniske programmer og programsystemer.»

Skatteforvaltningsloven § 10-14 gir departementet hjemmel til å gi forskrifter. Forskriftskompetansen er delegert til Skattedirektoratet.
Bestemmelsen lyder:

Ǥ 10-14. Forskrifter

Departementet kan gi forskrift om framgangsmåten ved kontroll etter dette

kapitlet, herunder om hvordan opplysninger skal gis, krav til legitimasjon, varsel

og informasjon til den som kontrolleres, tilgang til elektronisk arkiv, kopiering

av elektronisk informasjon, krav til rapport, tilbakelevering av dokumenter,

sletting av informasjon og om klage over pålegg.»

For en nærmere beskrivelse av kravene etter personvernforordningen, Grunnloven § 102 og EMK artikkel 8, vises det til høringsnotatet.

Høringen

Departementet sendte 19. september 2023 på høring forslag til en bestemmelse i skatteforvaltningsforskriften om at skattemyndighetene kan innhente kontrollopplysninger fra banker og andre finansforetak gjennom den automatiserte oppslagstjenesten utviklet i prosjektet DSOP Kontroll. Oppslagstjenesten innebærer at skattemyndighetene gis tilgang til opplysninger i et forhåndsdefinert format, uten krav om manuell behandling fra finansforetakets side. Høringsfristen var 19. desember 2023.

Det kom inn over 650 høringssvar, i hovedsak fra privatpersoner som er kritiske til skattemyndighetenes adgang til å innhente opplysninger. Mange er svært negative til at skattemyndighetene skal kunne innhente denne typen informasjon. Flere gir også uttrykk for at en automatisert innhenting er mer inngripende enn en manuell, og at forslaget åpner for muligheter for misbruk og overvåkning som ikke er akseptable.

Datatilsynet, Finans Norge, LO, NHO, PwC, Regnskap Norge, Skattebetalerforeningen, Skatteetaten og SMB Norge har også avgitt høringsuttalelser. LO og Skatteetaten er positive til forslaget. Datatilsynet ser flere utfordringer med forslaget fra et personvernståsted. De øvrige er kritiske til forslaget.

Vurderinger

Innledning

Det fremgår av høringsnotatet at det er flere regelverk som må vurderes i forbindelse med muligheten for å gi skattemyndighetene adgang til å bruke en automatisk oppslagstjeneste som utviklet i prosjektet DSOP Kontroll. Det må vurderes om skatteforvaltningsloven § 10-2, jf. 10-14, gir grunnlag for å vedta forskrift om den automatiske oppslagstjenesten. Forholdet til personopplysningsloven og personvernforordningen, samt Grunnloven § 102 og EMK artikkel 8 må også vurderes.

Høringsinstansene har merknader til departementets vurderinger i høringsnotatet. Innspillene gjelder særlig:

1. Omfanget av opplysningsplikten etter skatteforvaltningsloven § 10-2 første ledd
2. Om skatteforvaltningsloven § 10-2, jf. § 10-14, gir hjemmel til å gi forskrift om en automatisk oppslagstjeneste
3. Om tiltakene som foreslås er nødvendige og forholdsmessige etter Grunnloven § 102 og EMK artikkel 8, samt personopplysningsloven og personvernforordningen
4. Behandlingen av mulig overskuddsinformasjon
5. Om det er behov for ytterligere rettssikkerhetsgarantier

Departementet vil knytte enkelte kommentarer til disse punktene. For øvrig viser departementet til vurderingene i høringsnotatet.

1. Omfanget av opplysningsplikten etter skatteforvaltningsloven § 10-2 første ledd
   
   I høringen er det ikke foreslått endringer i hvilke opplysninger skattemyndighetene kan innhente. Skattebetalerforeningen viser til at de i en tidligere høring har gitt uttrykk for skepsis til en så vidt vid hjemmel om innhenting av tredjepartsopplysninger som skatteforvaltningsloven § 10-2. Mange av privatpersonene som har sendt inn høringsuttalelse, er kritiske til at skattemyndighetene kan kreve å få opplysninger om skattepliktiges transaksjoner fra bankene.
   
   Det følger av skatteforvaltningsloven § 10-2 første ledd at enhver tredjepart etter krav fra skattemyndighetene, plikter å gi opplysninger som kan ha betydning for noens skatteplikt. Ordlyden i bestemmelsen er vidt utformet, men det er likevel viktige begrensninger. Når skattemyndighetene krever opplysninger etter § 10-2 første ledd, må de kjenne til et bestemt navn på et kontrollobjekt eller en bestemt transaksjon mv. Det gjelder et relevanskrav ved at opplysningene må kunne ha betydning for noens skatteplikt. De materielle skattereglene setter derfor skrankene for hvilke opplysninger det kan bes om. Det er ikke noe krav om at opplysningene faktisk vil få betydning for noens skatteplikt. Det avgjørende er om opplysningene er relevante ved vurderingen av skatteplikten.
   
   I begrepet tredjepart ligger det også en begrensning ved at det må være en tilknytning mellom den det ønskes opplysninger om, og den det bes om opplysninger fra. Dette vil for eksempel være tilfelle der tredjeparten har kjøpt varer eller tjenester fra, eller har inngått andre avtaler med, den som myndighetene krever opplysninger om. Det kan derimot ikke kreves kontrollopplysninger fra en aktør som bare er i en sammenlignbar situasjon med den opplysningene gjelder, uten at det er noen annen forbindelse mellom de to.
   
   Den generelle hovedregelen om plikt til å gi kontrollopplysninger gjelder bare for tredjeparter som er næringsdrivende. Den gjelder altså for bankene.
   
   Skatteetaten opplever stadig økt kompleksitet i sakene etaten jobber med. Det utvikles også mer komplekse unndragelsesmetoder som er vanskeligere å avdekke for myndighetene, for eksempel ved at de gjennomføres med en betydelig grad av organisering, eller inngår i større nettverk, ofte kombinert med andre typer kriminalitet. Myndighetene må derfor løpende vurdere og utvikle metodiske og teknologiske tiltak for å kunne møte denne utviklingen. I tillegg er det en viktig forutsetning at regelverket er tilpasset de utfordringene kontrollmyndighetene møter i sitt arbeid med å avdekke skatteunndragelser og skattekriminalitet. Regelverket må også kunne møte fremtidig utvikling av metoder og verktøy for å skjule skattepliktig aktivitet og økonomisk kriminalitet. På denne bakgrunn er det vanskelig å utforme mer spesifikke regler om hvilke opplysninger som skal kunne hentes inn og hvem de skal kunne hentes fra.
   
   Når skattepliktige ikke oppfyller sin opplysningsplikt, må skattemyndighetene kunne innhente opplysninger fra andre. Gjeldende kontrollbestemmelser er derfor et viktig verktøy for å fastsette riktig skatt og avdekke skatteunndragelser. For skattemyndighetene er det avgjørende å kunne hente kontoopplysninger fra banker i sitt kontrollarbeid.
   
   Det er ikke foreslått endringer i reglene om skattemyndighetenes adgang til kontroll etter skatteforvaltningsloven § 10-2 første ledd. Departementet går derfor ikke nærmere inn på dette spørsmålet her.
   
   
2. Om skatteforvaltningsloven § 10-2, jf. § 10-14, gir hjemmel til å gi forskrift om en automatisk oppslagstjeneste
   
   I høringsnotatet legger departementet til grunn at skatteforvaltningsloven § 10-2, jf. § 10-14, gir tilstrekkelig grunnlag for å gi forskrift om at skattemyndighetene kan innhente opplysninger fra banker gjennom den automatiserte oppslagstjenesten utviklet i prosjektet DSOP Kontroll.
   
   PwC skriver i sin høringsuttalelse at det er usikkert om forslaget har tilstrekkelig hjemmel i skatteforvaltningsloven til at det kan gjennomføres ved forskrift. De skriver blant annet at lovens system viser viktigheten av at skattemyndighetene vurderer nødvendigheten av opplysningene og i tilstrekkelig grad spesifiserer sin forespørsel for å forhindre opplysninger som ikke er relevante.
   
   Departementet viser til at vilkårene for at skattemyndighetene kan kreve kontrollopplysninger etter skatteforvaltningsloven § 10-2 første ledd, gjelder uavhengig av om opplysningene hentes inn gjennom en tradisjonell forespørsel eller gjennom en automatisk oppslagstjeneste som DSOP Kontroll. Før det innhentes opplysninger, må skattemyndighetene for eksempel vurdere om det er tilstrekkelig å innhente opplysninger om saldo, eller om det også er behov for transaksjonsopplysninger. Dersom det er behov for transaksjonsopplysninger, må de vurdere hvilken tidsperiode det er aktuelt å innhente opplysninger om. Dette er nærmere omtalt under punkt 4 nedenfor. Slik departementet ser det, er skattemyndighetenes vurdering den samme uavhengig av hvordan opplysningene innhentes.
   
   Departementet viser for øvrig til vurderingene i høringsnotatet. Etter departementets oppfatning gir skatteforvaltningsloven § 10-2, jf. §10-14, hjemmel til å fastsette forskrift om innhenting av opplysninger gjennom DSOP Kontroll.
3. Om tiltakene som foreslås er nødvendige og forholdsmessige etter Grunnloven § 102 og EMK artikkel 8, samt personopplysningsloven og personvernforordningen
   
   Datatilsynet skriver i sin høringsuttalelse blant annet:

«Departementet har redegjort for retten til privatliv slik denne fremkommer av EMK artikkel 8 og Grunnloven § 102. Vi savner imidlertid en drøftelse av nødvendighetsvurderingen som kreves både etter menneskerettighetene og personvernforordningen artikkel 6 nr. 1 bokstav c og/eller e.

Departementet synes å skille mellom fremgangsmåten for behandling av personopplysninger og behandling av personopplysninger som sådan. Datatilsynet vil påpeke at behandlingsbegrepet er teknologinøytralt. Det skjer dermed en behandling av personopplysninger uavhengig av om behandlingen skjer automatisk eller etter manuell kontroll. Nødvendighetskriteriet må være oppfylt uavhengig av teknologisk løsning for behandlingen.

Vi anbefaler at departementet gjør en mer grundig vurdering opp mot nødvendighetskriteriet i lys av den automatiske behandlingen som foreslås. Denne vurderingen vil være avgjørende for om det foreslåtte tiltaket kan anses som forholdsmessig.»

Departementet viser til at det ikke er foreslått endringer i hvilke opplysninger skattemyndighetene kan kreve fra tredjeparter. Opplysningene som etter forslaget kan innhentes gjennom den automatiske oppslagstjenesten, kan i dag innhentes gjennom en manuell prosess. I likhet med Datatilsynet legger også departementet til grunn at det skjer en behandling av personopplysninger uavhengig av om behandlingen skjer automatisk eller manuelt. Forslaget i høringsnotatet gjelder likevel bare måten opplysningene kan hentes på.

Når det gjelder kravet om nødvendighet, legger departementet til grunn at det ikke er et krav at det må være strengt nødvendig at innhentingen skjer på denne bestemte måten. I sin tolkningsuttalelse 25. august 2022 skriver Lovavdelingen i Justis- og beredskapsdepartementet om personvernforordningen på side 6 blant annet:

«Når det gjelder kravet om «nødvendighet» i artikkel 6 nr. 1 bokstav c, jf. også artikkel 5 nr. 1 bokstav c, forstår vi det slik at det ikke stilles et absolutt krav om at den konkrete behandlingen er strengt nødvendig, særlig ikke at det er strengt nødvendig at behandlingen skjer på en bestemt måte.»

Departementet legger til grunn at utlevering gjennom den automatiserte oppslagstjenesten er mer inngripende enn dagens manuelle prosess. Dette er også bakgrunnen for at det i høringsnotatet er foreslått at innhentingen reguleres i forskrift.

Under gjennomgangen av retten til privatliv etter Grunnloven § 102 og EMK artikkel 8, skriver Lovavdelingen i sin uttalelse 25. august 2022 på side 11 blant annet:

«Nødvendighetskravet kan med andre ord ikke tolkes strengt etter sin ordlyd, i den forstand at inngrepet må være en nødvendig betingelse for at formålet skal nås. De avgjørende er om inngrepet er forholdsmessig.»

I høringsnotatet på side 21 følgende er dette vurdert slik:

«Det neste spørsmålet er om inngrepet er forholdsmessig. Dette innebærer at personvernulempene ved at skattemyndighetene henter inn opplysninger gjennom den automatiserte oppslagstjenesten, må veies opp av nyttevirkningene. Departementet legger til grunn at den automatiserte fremgangsmåten i seg selv gjør at innsamlingen kan regnes som mer inngripende. Samtidig vil blant annet sikkerhetsmekanismene i den automatiserte løsningen på flere punkter være bedre enn i den manuelle, noe som igjen reduserer personvernulempene ved den automatiserte løsningen. Departementet viser til at det at skattemyndighetene henter inn opplysninger gjennom den automatiserte løsningen, vil være klart ressursbesparende både for bankene og myndighetene. Bankene behøver ikke lenger bruke ressurser på en manuell behandling av forespørselen. Skattemyndighetene vil bruke mindre ressurser på å sende forespørselen. Svaret fra banken vil være i et standardisert format, noe som vil være ressursbesparende for skattemyndighetene siden opplysningene kan tas rett inn i Skatteetatens systemer. Det vil også gi bedre datakvalitet. Etter departementets vurdering overstiger disse nyttevirkningene personvernulempene ved inngrepet. På denne bakgrunn oppfyller inngrepet kravene til forholdsmessighet etter personvernforordningen, Grunnloven § 102 og EMK artikkel 8.

Etter departementets vurdering gir skatteforvaltningsloven § 10-2, jf. § 10-14, sammenholdt med forslaget til ny bestemmelse i skatteforvaltningsforskriften  § 10-2-1, tilstrekkelig rettslig grunnlag for at skattemyndighetene kan innhente opplysninger fra banker og andre finansforetak gjennom den automatiserte oppslagstjenesten utviklet i prosjektet DSOP Kontroll.»

Etter departementets syn vil dette også styrkes gjennom de ytterligere sikkerhetsmekanismene som foreslås nedenfor under punkt 5.

4. Behandlingen av mulig overskuddsinformasjon

Den automatiske oppslagstjenesten i DSOP Kontroll er lagt opp slik at skattemyndighetene kan innhente detaljert transaksjonshistorikk knyttet til en konto opp til ti år tilbake i tid, blant annet opplysninger om beløp, mottaker/avsender, tidspunkt og brukersted.

I høringsnotatet skriver departementet på side 19:

«Departementet understreker at skattemyndighetene ikke skal innhente opplysninger for en lengre tidsperiode enn det er behov for. Hvilken tidsperiode det skal bes om opplysninger om, vil avhenge av den konkrete saken. Det skal for eksempel ikke rutinemessig bes om opplysninger for fem år tilbake i tid. Skatteetaten må sørge for tilstrekkelige sikkerhetsmekanismer i sine systemer og rutiner for å forhindre dette. Det kan for eksempel være mekanismer som fanger opp tilfeller hvor en enkelt saksbehandler sender et uforholdsmessig stort antall forespørsler.»

Datatilsynet skriver i sin høringsuttalelse:

«Departementet legger opp til at skattemyndighetene skal ha rutiner for å forhindre overskuddsinformasjon. Bruk av slike organisatoriske tiltak alene vil være en sårbarhet som øker risikoen for ulovlig behandling av personopplysninger i form av overskuddsinformasjon.

Datatilsynet anbefaler at departementet vurderer for eksempel å forskriftsfeste rammer for tidsperioden skattemyndighetene kan innhente opplysninger gjennom den automatiserte løsningen.»

Finans Norge mener skattemyndighetenes behandling av overskuddsinformasjon bør reguleres. De viser blant annet til at både i en manuell og i en digital løsning som DSOP Kontroll, er det viktig å redusere overskuddsinformasjon, og at dette særlig gjelder når volumet på innhentingene vil øke betydelig. NHO gir uttrykk for tilsvarende synspunkter.

Det følger av personvernforordningen artikkel 5 nr. 1 bokstav c at personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette omtales som dataminimering.

Departementet er enig i at det er viktig å minimere overskuddsinformasjon når skattemyndighetene innhenter kontrollopplysninger. Som omtalt ovenfor må skattemyndighetene først vurdere om det er tilstrekkelig å innhente for eksempel saldoopplysninger, eller om det er behov for transaksjonsopplysninger. Innhenting av transaksjonsopplysninger er klart mer inngripende enn de øvrige kategoriene av informasjon som kan innhentes gjennom DSOP Kontroll. Saksbehandler må i hver konkret sak begrense perioden det innhentes opplysninger for. Begrensningen vil følge av behovet i den enkelte saken. Dette følger også av skatteforvaltningsloven § 10-2 første ledd og er nedfelt i Skatteetatens rutiner. Når opplysningene er innhentet, må saksbehandler gå gjennom opplysningene og trekke ut den informasjonen som er relevant (kan ha betydning for noens skatteplikt) i den videre behandlingen av den aktuelle saken. For å ivareta kravene til taushetsplikt og informasjonssikkerhet er innhentede kontrollopplysninger underlagt tilgangskontroll, logging og andre egnede tiltak i Skatteetatens systemer. Tilgangen er begrenset og basert på tjenstlig behov. Overskuddsinformasjon skal slettes så raskt som mulig.

Denne fremgangsmåten er den samme uavhengig av om opplysningene hentes manuelt eller automatisk. Ved automatisk innhenting kan mengden opplysninger som innhentes, øke. Det vil da være av enda større betydning at Skatteetaten har gode rutiner for sletting av overskuddsinformasjon. Det vil ofte være riktig å innhente et begrenset sett av opplysninger først, for så å vurdere om det er behov for å utvide omfanget. Når innhentingen kan gjøres på en mer effektiv måte, vil det i mindre grad enn i dag forsinke skattemyndighetenes arbeid å hente inn opplysninger i flere omganger.

Selv om kravet om å minimere og slette overskuddsinformasjon følger av personvernforordningen, er det etter departementets syn hensiktsmessig at dette også reguleres i bestemmelsen i skatteforvaltningsforskriften.

5. Om det er behov for ytterligere rettssikkerhetsgarantier
Finans Norge skriver i sin høringsuttalelse blant annet:

«Etter Finans Norges syn, bør departementet se hen til rettssikkerhetsgarantiene som følger av straffeprosessloven ved finansforetakenes utlevering til politiet, i tillegg til rettssikkerhetsgarantiene Lovavdelingen trekker frem i sin tolkningsuttalelse av 25.08.2022 knyttet til straffeprosessloven og DSOP Kontrollinformasjon. Som Lovavdelingen i sin tolkningsuttalelse under punkt 4.2 understreker, og som høringsnotatet viser til på side 9, skjerpes kravene til hjemmelsgrunnlaget ved mangler eller svakheter ved de aktuelle rettssikkerhetsgarantiene.»

Finans Norge skriver videre at departementet bør legge opp til alternative kontrollmekanismer ved skattemyndighetenes innhentinger fra finansforetakene. De skriver også at departementet bør konkretisere bestemte roller hos skattemyndighetene med kompetanse til å innhente kontrollopplysninger fra finansforetakene, samt omfanget av opplysninger disse kan innhente.

Departementet deler Finans Norges syn om at det er nødvendig med rettssikkerhetsgarantier. I høringsnotatet foreslår departementet også en særskilt regulering av rettssikkerhetsgarantiene. Departementet vil likevel vise til at det er forskjeller mellom straffeprosessen og skatteforvaltningen. Saker på strafferettens område anses for å være mer inngripende enn kontrollsaker på skatteområdet. For politiets del er innhentingen et straffeprosessuelt tvangsmiddel under etterforskningen av en straffesak, mens det ikke gjelder noe krav om mistanke om lovbrudd eller lignende terskler ved skattemyndighetenes kontroller. Rettssikkerhetsgarantiene på strafferettsområdet er utformet med utgangspunkt i saksområdets alvorlige karakter.

Dette skillet er det vist til i S. og Marper mot Storbritannia, som er referert i høringsnotatet på side 10, hvor EMD blant annet uttaler (avsnitt 103):

«The domestic law must afford appropriate safeguards to prevent any such use of personal data as may be inconsistent with the guarantees of this Article […]. The need for such safeguards is all the greater where the protection undergoing automatic processing is concerned, not least when such data are used for police purposes. […]»

Lovavdelingen skriver i sin tolkningsuttalelse på side 16 blant annet:

«Innsamlingens inngripende karakter forsterkes ytterligere av at utleveringspålegget etter straffeprosessloven § 210 er et straffeprosessuelt tvangsmiddel, og at paragrafen gir en vid adgang til å kreve opplysninger utlevert, uten begrensninger knyttet til at det aktuelle lovbruddet må være av en viss alvorlighet, og uten at det oppstilles noe krav til kvalifisert mistanke utover at det er igangsatt en etterforskning.»

I høringsnotatet skriver departementet på side 20:

«Ved vurderingen av hvilke krav som stilles til klar og detaljert regulering og til garantier mot vilkårlighet og misbruk, er det relevant å se hen til hvor inngripende behandlingen er. Hvilke krav som stilles, må vurderes konkret for den enkelte behandlingen. Departementet vurderer det for eksempel slik at skattemyndighetenes behandling av personopplysninger er av en mindre inngripende karakter enn politiets behandling av slike opplysninger. Etter departementets oppfatning vil derfor kravene være noe mindre strenge for skattemyndighetenes behandling enn for politiets.»

Det kan etter dette ikke uten videre trekkes paralleller mellom straffeprosessen og skatteforvaltningen. Etter departementets oppfatning ivaretar tiltakene og den rettslige reguleringen som foreslås i høringsnotatet, hensynet til de skattepliktige ved en automatisering av innhentingen av opplysninger fra bankene. Det følger av forslaget til skatteforvaltningsforskriften § 10-2-1 tredje ledd blant annet at skattemyndighetene skal begrense hvilke ansatte som har tilgang til oppslagstjenesten og jevnlig føre kontroll med bruken av den.

Skattemyndighetene har, i samråd med departementet, likevel gjort en ny vurdering av mulighetene for ytterligere tekniske og organisatoriske tiltak.

Det vil bli innført et nytt tiltak knyttet til differensiering av tilgangsroller. Det vil skilles mellom tre ulike tilgangsnivåer, henholdsvis saldo, sperret beløp og transaksjonshistorikk. Hovedandelen av tilgangsberettigede vil ha tilgang til transaksjonshistorikk, men de ulike tilgangsnivåene vil gi bedre samsvar med den enkelte saksbehandlers behov for opplysninger.

Ved overgang til en automatisert tilgang til opplysningene i DSOP Kontroll, skal det legges inn ytterligere mekanismer for tilgangsbegrensning. Tilgang til DSOP Kontroll skal først gis etter at saksbehandler har søkt om slik tilgang. Det skal legges opp til en vurdering i to trinn. Søknaden vil i første trinn avgjøres av saksbehandlers nærmeste leder på grunnlag av tjenstlig behov. Dersom nærmeste leder ikke godkjenner søknaden, stanser søknadsprosessen. Dersom søknaden godkjennes av nærmeste leder, går søknaden videre til enheten med fagansvar for løsningen i Skatteetaten. Her vurderes behovet for tilgang på nytt. Dersom søknaden avvises på dette nivået, avsluttes søknadsprosessen uten tildeling av brukertilgang. Ved godkjenning tildeles saksbehandleren tilgang i DSOP Kontrollinformasjon for 12 måneder. Etter utløpet av denne perioden må nærmeste leder på nytt vurdere om tilgangen skal videreføres, før søknaden går videre til ny vurdering hos fagansvarlig. En slik årlig revisjon av tilganger hindrer at tidligere tildelte tilgangsroller videreføres uten at det tjenstlige behovet kartlegges på nytt.

For å begrense tilgangen ytterligere i tråd med prinsippet om tjenstlig behov, vil det også være mulig å tidsbegrense gyldigheten på tilgangsrollen til det antallet måneder som angis av nærmeste leder og/eller enheten med fagansvar (begrenset oppad til 12 måneder).

Tilgang til opplysninger gjennom DSOP Kontroll i en konkret sak krever i tillegg at det er opprettet en kontrollsak med et tilhørende saksnummer i Skatteetatens saksbehandlingssystem. Opprettelse av kontrollsak krever godkjenning fra nærmeste leder. At en saksbehandler skal få tilgang til DSOP Kontroll i en bestemt sak, krever derfor forhåndsklarering fra nærmeste leder.

Etter departementets syn bør det reguleres i forskrift at tilgangen skal begrenses i omfang og i tid etter den ansattes tjenstlige behov.

Datatilsynet uttaler i sin høringsuttalelse blant annet:

«Datatilsynet vil også peke på at vide rammer/tilganger forutsetter en aktiv og effektiv etterkontroll, for eksempel ved regelmessig loggkontroll. At sporing/logg foreligger, er ikke nødvendigvis i seg selv tilstrekkelig.»

Departementet deler Datatilsynets vurdering. Skatteetaten vil innføre automatisert logganalyse av bruken av DSOP Kontroll. Automatisert logganalyse vil blant annet gjøre det mulig å identifisere bruk som avviker fra normale bruksmønstre. Det kan for eksempel dreie seg om et høyt antall forespørsler fra enkeltbrukere som sendes innen et gitt tidsrom, bruk på tidspunkter som avviker fra normal arbeidstid mv. Dette kan gi indikasjoner på hendelser som krever nærmere oppfølging og undersøkelser. Flagging av hendelser gir Skatteetaten mulighet til å følge opp saken raskt. Skatteetaten skal ha rutiner for å sørge for at slike hendelser gjennomgås og følges opp.

Konklusjon

Etter departementets vurdering vil summen av eksisterende tiltak i løsningen, sammenholdt med de nye tekniske og organisatoriske tiltakene som er skissert ovenfor, gi trygge rammer for innhenting av kontrollinformasjon gjennom DSOP-samarbeidet. Kravene etter personvernforordningen, Grunnloven og EMK anses oppfylt.

På denne bakgrunn ber departementet Skattedirektoratet om å fastsette endringer i skatteforvaltningsforskriften. Slik Skattedirektoratet spilte inn i høringen, bør det presiseres i forskriftsbestemmelsen at den bare gjelder tilfeller hvor opplysninger innhentes etter skatteforvaltningsloven § 10-2 første ledd. Det er ikke mulig å bruke tilgangen til å innhente opplysninger for målretting av kontroll etter § 10-2 tredje ledd. Tilgangen skal kun brukes ved at en saksbehandler forespør opplysninger om bestemte personer eller bestemte selskaper mv.

Departementet skal involveres dersom Skattedirektoratet vurderer endringer i ordningen sammenlignet med det som er skissert i brevet her.

Nytt delkapittel 10-2 i skatteforvaltningsforskriften skal lyde:

  § 10-2 Kontrollopplysninger fra tredjepart

  § 10-2-1 Innhenting av kontrollopplysninger gjennom en automatisert oppslagstjeneste

(1) Banker og andre finansforetak kan gi kontrollopplysninger etter skatteforvaltningsloven § 10-2 første ledd gjennom en automatisert oppslagstjeneste. Med automatisert oppslagstjeneste menes en teknisk løsning der opplysninger gjøres tilgjengelige gjennom et felles teknisk grensesnitt mellom skattemyndighetene og finansforetaket, i et forhåndsdefinert format og uten manuell behandling fra finansforetakets side.

(2) Oppslagstjenesten kan benyttes til innhenting av følgende opplysninger:

1. kontolister med oversikt over alle kontoer for en spesifisert tidsperiode som en person eller et foretak eier eller er disponent for
2. kontodetaljer, inkludert saldo
3. transaksjonshistorikk knyttet til en konto opp til ti år tilbake i tid, blant annet opplysninger om beløp, mottaker og avsender, tidspunkt og brukersted
4. opplysninger om betalingskort knyttet til en konto
5. oversikt over alle som har eller har hatt en rolle knyttet til en konto.

(3) Skattemyndighetene skal blant annet sørge for sikker autentisering av forespørselen, angivelse av hjemmelen for forespørselen og logging av forespørsler og svar. Skattemyndighetene skal ha rutiner for å minimere og slette overskuddsinformasjon. Opplysningene som gis gjennom oppslagstjenesten, skal krypteres. Skattemyndighetene skal begrense hvilke ansatte som har tilgang til oppslagstjenesten, og tilgangen skal begrenses i omfang og tid etter den ansattes tjenstlige behov. Skattemyndighetene skal jevnlig føre kontroll med bruken av oppslagstjenesten, herunder ved bruk av automatisert logganalyse.

Med hilsen

 

 

Omar G. Dajani (e.f.) ekspedisjonssjef

Henriette Strandskogen Hjort avdelingsdirektør