JO dnr 4832-2008

Anmälan mot Skatteverket angående hanteringen av en skattskyldigs databas

I en anmälan till JO framförde Söderbloms Factoringtjänst AB (bolaget), genom företrädaren AA, klagomål mot Skatteverket. I anmälan angavs bl.a. följande.

I en revision år 2007 inhämtade Skatteverket i Malmö uppgifter som dels avsåg bolaget, dels tredjeman. Revisorerna krävde att få ta del av bolagets omfattande bokföring i digital form, varför en CD-skiva överlämnades till den särskilt utsedde revisorn. CD-skivan behövde inte återlämnas eftersom databasen enligt löfte ändå skulle förstöras när revisionen avslutades. Vid en senare revision framkom det att revisorn, trots att revisionen av bolaget avslutats, fortfarande förfogade över databasen. Databasen är ytterst värdefull. Det pågår en omfattande utredning vid Ekobrottsmyndigheten i Malmö som handlar om hur en konkurrent kommit över motsvarande uppgifter. Bara det faktum att Skatteverket i ett helt vanligt kuvert och med vanlig post översände kopian till bolaget visar Skatteverkets totala avsaknad av förståelse för det kommersiella och integritetsmässiga värdet i denna typ av material. Det ifrågasätts om Skatteverket har rätt att från en enskild samla in och för lång tid lagra så omfattande uppgifter om tredje man som i detta fall har skett. Enligt revisorn har han ”hjälpt flera” under året, således måste listan direkt eller indirekt ha spritts inom i vart fall Skatteverket. Det ifrågasätts om detta är i enlighet med gällande sekretessbestämmelser. Under alla omständigheter har Skatteverket hanterat det insamlade materialet vårdslöst.

Skatteverket anmodades att göra en utredning och yttra sig över vad anmälaren anfört. I ett yttrande den 25 november 2008 anförde Skatteverket i huvudsak följande (bilagorna är utelämnade).

Ett beslut har fattats den 24 januari 2007 (se bilaga 1) dels om revision av Söderbloms Factoringtjänst AB (nedan kallat bolaget), dels om s.k. tredjemansrevision hos bolaget avseende annan. I beslutet har angetts att det förelåg särskilda skäl att inte ange vilken eller vilka personer, företag eller rättshandlingar som tredjemansrevisionen avsåg.

För de två revisionerna (revisionen av bolaget och tredjemansrevisionen) har bolagets hela räkenskapsmaterial för viss period tillhandahållits från bolaget till Skatteverket på en CD.

Efter att revisionen av bolaget har avslutats har CD:n raderats. Uppgifter om bolaget har inte sparats.

Uppgifter om bolagets kunder har däremot inom ramen för tredjemansrevisionen sparats och bearbetats i form av ett s.k. kontrollprojekt. Projektet kommer enligt uppgift från regionen att avslutas vid årsskiftet 2008/2009. Uppgifterna kommer då att gallras (se bilaga 3 och 4).

Bolagets företrädare har vid en ny tredjemansrevision under 2008 fått klart för sig att uppgifter från den tidigare tredjemansrevisionen fanns kvar hos Skatteverket. Bolagets företrädare anser sig fått ett löfte att alla uppgifter som bolaget lämnat i samband med den tidigare revisionen skulle ha förstörts. En brevväxling har i anledning därav skett mellan företrädaren och Skatteverket. Som komplement till vad företrädaren givit in i detta ärende bifogas tre skrivelser från Skatteverket i denna fråga (bilaga 2-4).

Regler för gallring av ADB-upptagningar finns i 1 kap. 8 § lagen ( 2001:181 ) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. – – –

När det gäller revisionsverksamhet finns särskilda regler meddelade i Riksarkivets föreskrifter om gallring hos Skatteverket (se bilaga 5).

I fråga om vilka uppgifter som skulle förstöras (gallras) när revisionen av bolaget avslutats föreligger uppenbarligen ett missförstånd mellan Skatteverket och bolaget. Skatteverket talar om uppgifterna i revisionen av bolaget, men inte om sådana uppgifter som omfattas av tredjemansrevisionen. Bolaget talar om alla lämnade uppgifter, alltså även dem som avser tredjemansrevisionen. Att bolaget uppfattat saken på det sätt man nu redovisar är förståeligt. Ur bolagets perspektiv är det självklart viktigt vilka uppgifter om bolagets kunder som finns samlade. Det är beklagligt om kommunikationen mellan Skatteverket och bolaget inte fungerat väl i detta avseende.

Bolagets företrädare har uppgett att uppgifter om bolagets kundregister kommit en konkurrent tillhanda. I företrädarens anmälan till JO synes vara underförstått att uppgifterna möjligen skulle kunna komma från Skatteverkets kontrollprojekt. Skatteverket anser dock inte att detta är troligt. Det ligger i Skatteverkets intresse att upprätthålla en god säkerhet runt sin kontrollverksamhet. Det finns inget som tyder på att Skatteverket skulle ha brustit i detta avseende heller i det här fallet. Det kan i och för sig sättas ifråga om åtgärden att till bolagets företrädare skicka en CD med grundmaterialet från tredjemansrevisionen i ett s.k. lösbrev var en åtgärd som i tillräcklig mån tog hänsyn till bolagets säkerhetsintressen. Skatteverket anser dock inte att detta kan tas till intäkt för att Skatteverket hanterat uppgifterna i projektet oförsiktigt eller att det på annan grund finns anledning att tro att uppgifterna från Skatteverket kommit ut till annan än bolagets företrädare.

Bolaget kommenterade Skatteverkets remissvar.

Skatteverket får besluta om revision bl.a. för att kontrollera att deklarations- och annan uppgiftsskyldighet fullgjorts riktigt och fullständigt eller att förutsättningar finns att fullgöra uppgiftsskyldighet som kan antas uppkomma. Skatteverket får besluta om revision också för att inhämta uppgifter av betydelse för kontroll av

Reglerna om tredjemansrevisioner ger Skatteverket mycket långtgående befogenheter. Det är angeläget att den enskildes krav på rättssäkerhet och integritet beaktas i tillämpningen.

I förevarande fall har Skatteverket den 24 januari 2007 fattat beslut om revision av dels bolaget, dels tredje man. Av Skatteverkets remissyttrande framgår att tredjemansrevisionen varit en s.k. generell kontroll, dvs. ett insamlande av uppgifter som en förberedande åtgärd för kontroll av andra än den som revideras (jfr prop. 1996/97:100 , del 1, s. 474 f.). Det har funnits rättslig grund för åtgärderna.

I samband med revisionerna har Skatteverket erhållit bolagets redovisningsdatabas på en CD-skiva. Efter att revisionen av bolaget avslutats och databasen i den revisionen förstörts har det framkommit att uppgifter ur databasen funnits kvar inom ramen för Skatteverkets tredjemansrevision i ett s.k. kontrollprojekt. Uppgifter som behandlas automatiserat i ett sådant kontrollprojekt ska gallras när uppgifterna inte längre behövs för verksamheten, dock senast när projektet avslutats (se 2 § i Riksarkivets föreskrifter [RA-MS 2004:83] om gallring hos Skatteverket). Skatteverket har således haft rätt att ha kvar de tredjemansuppgifter som hämtats ur databasen under den tid kontrollprojektet har pågått. Enligt vad JO har inhämtat från Skatteverket har dessa uppgifter raderats i slutet av december år 2008, då projektet avslutades.

Mot den bakgrunden finns det inte skäl för någon kritik mot Skatteverket i dessa delar.

I beskattningsverksamheten råder absolut sekretess för uppgifter om enskildas personliga eller ekonomiska förhållanden ( 27 kap. 1 och 2 §§ offentlighets- och sekretesslagen [2009:400]). Det finns även bestämmelser om att handlingar som omhändertagits vid Skatteverkets kontrollverksamhet ska förvaras på ett sådant sätt att obehöriga inte kan komma åt dem och att handlingar som överlämnats för revision endast får hållas tillgängliga för en begränsad krets av personer (se bl.a. 2 och 6 §§ taxeringsförordningen [1990:1236]). Mot den bakgrunden var det inte lämpligt att sända en CD-skiva med ett så omfattande material ur bolagets redovisningsdatabas i ett vanligt lösbrev. I detta hänseende har Skatteverket brustit.

Vad bolaget har anfört i övrigt föranleder inget uttalande från JO:s sida.