Sammanfattning av Europeiska datatillsynsmannens yttrande om två lagstiftningsförslag om bekämpning av mervärdesskattebedrägeri

(Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats www.edps.europa.eu)

(2019/C 140/04)

Sammanfattning

Genom detta yttrande, som har utfärdats i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (1), lägger datatillsynsmannen fram rekommendationer som syftar till att minimera inverkan av två kommissionsförslag om bekämpning av mervärdesskattebedrägeri inom e-handel på den grundläggande rätten till integritet och skydd av personuppgifter och således till att säkerställa överensstämmelse med den tillämpliga lagstiftningen om dataskydd.

I detta yttrande betonar datatillsynsmannen nödvändigheten att strikt begränsa den behandlingsverksamhet som anges i förslagen till ändamålet att bekämpa skattebedrägeri och att begränsa insamlingen och användningen av personuppgifter till vad som är nödvändigt och proportionerligt i förhållande till detta ändamål. Vi påpekar särskilt att de uppgifter som behandlas enligt dessa förslag inte bör avse konsumenterna (betalarna) utan endast företagen på nätet (betalningsmottagarna). Detta skulle begränsa risken för att informationen används för andra ändamål, såsom att övervaka konsumenternas inköpsvanor. Vi uppskattar att kommissionen har gått på denna linje och rekommenderar starkt att samma linje vidhålls i förhandlingarna med medlagstiftarna inför det slutliga godkännandet av förslagen.

Datatillsynsmannen vill dessutom betona att han förväntar sig att kommissionen, i enlighet med artikel 42.1 i förordning (EU) 2018/1725, kommer att samråda med honom om den genomförandeakt i vilken det framtida standardformatet för överföring av information från betaltjänstleverantörer till nationella skattemyndigheter fastställs och detta innan den antas av kommissionen.

Eftersom det enligt förslagen, förutom de nationella databaserna, kommer att inrättas en central elektronisk databas (CESOP) som ska utvecklas, underhållas, drivas och förvaltas av kommissionen, erinrar datatillsynsmannen om sina riktlinjer om it-styrning och it-förvaltning. Datatillsynsmannen kommer att följa upp inrättandet av detta informationssystem i egenskap av behörig tillsynsmyndighet enligt förordning (EU) 2018/1725.

Slutligen innehåller detta yttrande riktlinjer om villkoren och gränserna för lagenliga och lämpliga begränsningar av de registrerades rättigheter i överensstämmelse med den allmänna dataskyddsförordningen och förordning (EU) 2018/1725.

I. INLEDNING OCH BAKGRUND

1.1 Bakgrund till förslagen

Den 10 september 2018 samrådde Europeiska kommissionen informellt med datatillsynsmannen om följande utkast till förslag: Utkast till förslag till rådets direktiv om ändring av direktiv 2006/112/EG vad gäller införandet av vissa krav för betaltjänstleverantörer, utkast till förslag till rådets genomförandeförordning om ändring av förordning (EU) nr 282/2011 när det gäller vissa mervärdesskatteskyldigheter för vissa beskattningsbara personer och utkast till förslag till rådets förordning om ändring av förordning (EU) nr 904/2010 vad gäller åtgärder för att stärka det administrativa samarbetet för att bekämpa mervärdesskattebedrägeri inom e-handel. Datatillsynsmannen utfärdade informella kommentarer den 18 september 2018. Datatillsynsmannen bekräftar att han välkomnar möjligheten att utbyta åsikter med kommissionen tidigt i den politiska beslutsprocessen i syfte att minimera förslagens inverkan på rätten till integritet och skydd av personuppgifter (2).

Den 12 december 2018 offentliggjorde Europeiska kommissionen ett förslag till rådets direktiv om ändring av direktiv 2006/112/EG vad gäller införandet av vissa krav för betaltjänstleverantörer (nedan kallat förslaget till rådets direktiv) (3) och ett förslag till rådets förordning om ändring av förordning (EU) nr 904/2010 vad gäller åtgärder för att stärka det administrativa samarbetet för att bekämpa mervärdesskattebedrägeri (nedan kallat förslaget till rådets förordning) (4), nedan tillsammans kallade förslagen.

Den 14 januari 2019 samrådde kommissionen med datatillsynsmannen i enlighet med artikel 42.1 i förordning (EU) 2018/1725.

Datatillsynsmannen påpekar också att genom den föreslagna förordningen och det förslagna direktivet kommer behandlingsverksamhet att inrättas för vilken kommissionen kommer att vara personuppgiftsansvarig i enlighet med förordning (EU) 2018/1725, såsom det betonas nedan i detta yttrande. Vi erinrar därför om att datatillsynsmannen är behörig tillsynsmyndighet vad gäller sådan behandling.

1.2 Förslagens innehåll

Datatillsynsmannen noterar att förslagen, som åtföljs av en konsekvensbedömning (5), syftar till att åtgärda problemet med mervärdesskattebedrägeri inom e-handel genom att förbättra samarbetet mellan skattemyndigheter och betaltjänstleverantörer.

Enligt förslaget till rådets direktiv ska medlemsstaterna framför allt sätta i kraft lagstiftning som säkerställer att betaltjänstleverantörer för register över gränsöverskridanden betalningstransaktioner i syfte att göra det möjligt för skattemyndigheter att upptäcka mervärdesskattebedrägeri.

Förslaget till rådets förordning kompletterar uppsättningen åtgärder för att bekämpa bedrägerier genom

a)	krav på att medlemsstaternas behöriga myndigheter ska samla in, utbyta och analysera den information om betalningstransaktioner som anges i förslaget till rådets direktiv, och

b)	inrättande av ett centralt elektroniskt informationssystem (CESOP), där medlemsstaterna överför den information som de lagrar på nationell nivå. CESOP skulle vara tillgängligt för Eurofiscs sambandstjänstemän för analys av den information som lagras i CESOP i syfte att utreda skattebedrägerier.

Datatillsynsmannen godtar syftena med förslagen och särskilt nödvändigheten att reglera denna fråga genom att åtgärder vidtas för att bekämpa bedrägeri inom e-handel. Detta yttrande är avsett att ge pragmatiska råd om hur inverkan av den behandling av personuppgifter som förslagen kommer att föranleda kan minimeras och därigenom säkerställa överensstämmelse med tillämplig dataskyddslagstiftning.

IV. SLUTSATSER

17.

Mot bakgrund av det ovan anförda lämnar datatillsynsmannen följande rekommendationer:

—	Skäl 11 i förslaget till rådets direktiv och skäl 17 i förslaget till rådets förordning vilka avser tillämplig dataskyddslagstiftning bör ändras på det sätt som anges i avsnitt 2.1 i detta yttrande.

—	Den specificering av ändamål som nämns i skäl 11 i rådets direktiv och skäl 17 i rådets förordning bör inkluderas i artikeldelen i såväl rådets direktiv som rådets förordning.

—

Vad gäller den centrala databasen CESOP måste kommissionen säkerställa att den är förenlig med de bestämmelser om säkerhet i samband med behandling som anges i förordning (EU) 2018/1725 och särskilt i datatillsynsmannens Guidelines on the protection of personal data in IT governance and IT management of EU institutions.

—

Beträffande möjliga begränsningar av de registrerades rättigheter:

Ordalydelsen i förordning (EU) nr 904/2010, i dess lydelse enligt rådets förordning (EU) 2018/1541, bör ändras i enlighet med artikel 23 i den allmänna dataskyddsförordningen, antingen så att möjligheten att införa begränsningar överlåts på medlemsstaterna (genom att ”ska begränsa” ersätts med ”får begränsa”), eller så att begränsningar i den mån de är nödvändiga föreskrivs direkt i förordning (EU) nr 904/2010.

ii)

I artikel 24e i rådets förordning bör det, bland de åtgärder som kommissionen ska anta genom en framtida genomförandeakt, anges att möjliga begränsningar av de registrerades rättigheter kommer att vidtas i enlighet med artikel 25 i förordning (EU) 2018/1725 och de riktlinjer som datatillsynsmannen har utfärdat i denna fråga (Guidance on article 25 of the new Regulation and internal rules).

—

Kommissionen måste, i enlighet med artikel 42.1 i förordning (EU) 2018/1725, samråda med datatillsynsmannen om genomförandeakten om det elektroniska standardformatet för överföring av information från betaltjänstleverantören till medlemsstatens behöriga skattemyndighet när betaltjänstleverantören har etablerats innan standarden antas av kommissionen.

Bryssel den 14 mars 2019.

Wojciech Rafał WIEWIÓROWSKI

Europeiska datatillsynsmannen

(1) EUT L 295, 21.11.2018, s. 39.

(2) Se skäl 60 i förordning (EU) 2018/1725: ”I syfte att säkerställa överensstämmelse mellan regler om skydd av personuppgifter inom hela unionen bör kommissionen vid utarbetande av förslag eller rekommendationer sträva efter att samråda med Europeiska datatillsynsmannen. Samråd med kommissionen bör vara obligatoriskt efter antagandet av lagstiftningsakter eller vid utarbetandet av delegerade akter och genomförandeakter som anges i artiklarna 289, 290 och 291 i EUF-fördraget och efter antagandet av rekommendationer och förslag som rör avtal med tredjeländer och internationella organisationer som anges i artikel 218 i EUF-fördraget vilka har en inverkan på rätten till skydd av personuppgifter. I sådana fall bör kommissionen vara skyldig att samråda med Europeiska datatillsynsmannen, utom i de fall då det i förordning (EU) 2016/679 föreskrivs obligatoriskt samråd med Europeiska dataskyddsstyrelsen, exempelvis vad gäller beslut om adekvat skyddsnivå eller delegerade akter om standardiserade symboler och krav för certifieringsmekanismer.”

(3) Förslag till rådets direktiv om ändring av direktiv 2006/112/EG vad gäller införandet av vissa krav för betaltjänstleverantörer, COM(2018) 812 final, proc. 2018/0412 (CNS).

(4) Förslag till rådets förordning om ändring av förordning (EU) nr 904/2010 vad gäller åtgärder för att stärka det administrativa samarbetet för att bekämpa mervärdesskattebedrägeri, COM(2018) 813 final, proc. 2018/0413 (CNS).

(5) Arbetsdokument från kommissionens avdelningar, Konsekvensbedömning, Följedokument till förslagen till rådets direktiv, rådets genomförandeförordning och rådets förordning om obligatorisk överföring och utbyte av betalningsuppgifter som är relevanta för mervärdesskatt.