Tietosuoja-asetus kieltää Verohallinnon oikeuden pyytää massaluonteisia tietoja

Verohallinnon on otettava tietosuojanäkökohdat huomioon esittäessään tietopyyntöjä ja rajattava tietopyyntönsä koskemaan verovelvollisia, joiden verovalvonnan kannalta tietojen voidaan olettaa olevan tarpeellisia.

Verohallinto voi lähtökohtaisesti pyytää luottolaitokselta tietoja tämän asiakkaista vertailutietotarkastuksessa. Korkeimman hallinto-oikeuden (KHO) 30.1.2020 antama vuosikirjaratkaisu KHO:2020:8 rajoittaa tietojensaannin tietosuojanäkökohtien takia.

Euroopan unionin tietosuoja-asetuksen mukaan jäsenvaltion lainsäädännön on muun ohessa oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. Ratkaisussaan korkein hallinto-oikeus punnitsi

oikeasuhtaisuutta arvioidessaan toisaalta julkisen vallan käyttämiseen kuuluvaa verovalvonnan turvaamista tietojen keräämistä puoltavana tekijänä, ja
tietosuoja-asetuksesta ilmeneviä kohtuullisuuden ja läpinäkyvyyden, käyttötarkoitussidonnaisuuden sekä tietojen minimoinnin vaatimuksia tietojen keräämistä rajoittavina seikkoina.

Koska oikeasuhteisuuden vaatimuksesta ei ole säädetty verolaissa, asian arvioinnissa tuli ratkaisun mukaan ottaa huomioon myös tietosuojalaki.

Tietopyyntö ei voi koskea kokonaista rekisteriä

Tietosuoja-asetuksen johdanto-osasta puolestaan ilmenee, että viranomaisen tietopyynnön ei ole yleensä katsottava täyttävän oikeasuhteisuuden vaatimusta silloin, kun tietopyyntö koskee kokonaista rekisteriä.

Verohallinto oli kehottanut pankkia esittämään muun ohella listauksen kaikista asiakkaistaan vertailutietotarkastuksen suorittamista varten. Vaikka tietopyyntö ei ole ulottunut kaikkiin tietueisiin, joita pankin asiakasrekisteriin oli eri asiakkaista merkitty, KHO piti tietopyynnön toteuttamista vaikutuksiltaan rinnastettavana kokonaisen asiakasrekisterin luovuttamiseen. KHO katsoi tietosuoja-asetukseen viitaten, että tällainen tietopyyntö ei ollut lainmukainen, ja kumosi Verohallinnon kehotuspäätöksen.

Näin ollen KHO linjasi, että Verohallinnon tulee rajata tietopyyntönsä koskemaan sellaisia henkilöitä, joita koskevien tietojen voidaan olettaa olevan verovalvonnan toteuttamiseksi tarpeellisia. Sen sijaan massaluonteisten tietojen luovutusta ei ole mahdollista pyytää.

Ratkaisu on linjassa sivullisen tiedonantovelvollisuutta koskeneen korkeimman hallinto-oikeuden 27.3.2019 antaman ratkaisun KHO:2019:40 kanssa. Siinä KHO linjasi, että tietopyynnöt, joiden yksilöinti ei perustu Verohallinnon tiedossa oleviin konkreettisiin seikkoihin, eivät ole mahdollisia. Tapauksessa Verohallinto oli esittänyt tietopyyntöjä, joita KHO piti massaluonteisina ja joiden esittämiseen Verohallinnolla ei näin ollen ollut oikeutta.

Ratkaisun vaikutukset eri toimijoihin

Ratkaisusta ilmenevä periaate soveltuu yleisesti toimijoihin, jotka ovat vertailutietotarkastuksen kohteena. Tyypillisesti tällaisia tahoja ovat luottolaitokset, sijoituspalveluyritykset, maksuvälineyhtiöt, PSD2:n (ns. Maksupalveludirektiivi) alla olevat toimijat ja vakuutusyhtiöt.

Mielenkiintoista on, millä tavoin tietosuoja-asetuksesta ilmenevät periaatteet vaikuttavat Euroopan unionin käynnissä olevaan hankkeeseen yksityishenkilöiden valtioiden rajat ylittävien maksutapahtumien raportoinnista ottaen huomioon sen, että kyseinen sääntely tulisi olemaan direktiivipohjaista.

PwC:n vero- ja tietosuoja-asiantuntijat saivat olla mukana avustamassa ratkaisun saanutta pankkia koko valitusprosessin ajan. Verohallinto esitti asiakkaallemme tietopyynnön 20.2.2013, joten prosessi eri vaiheineen lopullisen lainvoimaisen päätöksen saamiseen kesti kaikkiaan seitsemän vuotta.

Lisätietoja: