Verohallinto vastaan GDPR - oikeustapauskommentti KHO 2020:8

Joissain tapauksissa jonkin alan sääntely tai oikeuskäytäntö aiheuttaa ennakoimattomia vaikutuksia toisilla oikeudenaloilla. Verotusmenettelyssä on kohdattu useita tällaisia tilanteita viimeisen vuosikymmenen aikana. Aikaisemmin ne bis in idem -kielto eli kaksoisrangaistuksen kielto johti siihen, että samasta teosta ei voitu enää rangaista samaan aikaan sekä veronkorotuksella että rikostuomiolla. Tämä taas johti pohdintaan verottajan ja syyttäjän välisestä työnjaosta tilanteissa, joissa veronkierto on niin vakavaa, että siitä voidaan rangaista rikoksella.


Taustalla olivat Euroopan ihmisoikeustuomioistuimen 2010-luvun alussa antamat tulkinnat kaksoisrangaistuksen kiellosta. Ihmisoikeustuomioistuimen ratkaisut taas johtivat vuonna 2013 annettuun korkeimman oikeuden ennakkoratkaisuun KKO:2013:59, jossa todettiin, että teosta ei saa nostaa syytettä, jos siitä on jo määrätty veronkorotus.


Vuonna 2020 EU-oikeus yllätti taas verottajan. EU:n yleinen tietosuoja-asetus eli GDPR (General Data Protection Regulation) johti siihen, että verottaja ei saanut lain nojalla esittämäänsä tietopyyntöön vastausta. Korkein hallinto-oikeus totesi ratkaisussa KHO:2020:8, että vaikka verohallinto oli esittänyt tietopyynnön, johon vastaanottajan tulisi lain nojalla suostua, teki GDPR tästä tietopyynnöstä laittoman ja tietoja ei siksi tarvinnut antaa verottajalle. Tässä blogikirjoituksessa käsittelen ratkaisua ja sen merkitystä verotukselle.


Tapaus


Verohallinto oli 20.2.2013 pyytänyt pankilta A Oyj tietoja pankin asiakkaista, jotta voisi tarkastaa pankin asiakkaiden tuloja verotusta varten. Pankin nimeä ei mainita ratkaisussa, mutta Oyj tarkoittaa julkista osakeyhtiötä eli pörssiin listattua pankkia, joita on Suomessa alle kymmeneen. Tämä ei kuitenkaan ole relevanttia tapauksen kannalta. Verottaja halusi pankilta tietoja mm. seuraavista asioista aikaväliltä 2019-2013:


- Tiedot asiakkaista

- Tiedot asiakkaille myönnetyistä lainoista ja niiden vakuuksista

- Tiedot välitetyistä vakuuksista

- Yli 25 000e rahansiirrot ulkomaille, paitsi tietyistä maista kaikki rahansiirrot

- Tiedot yli 25 000e tilisiirroista ja tilitapahtumista


Pankki ei kuitenkaan halunnut luovuttaa tietoja, vaan valitti asiasta Helsingin hallinto-oikeuteen. Yhtenä keskeisenä valitusperusteena oli, että tietopyynnön toteuttaminen olisi aiheuttanut pankille suuren työmäärän ja sitä kautta merkittäviä kustannuksia, noin 450 000e – 550 000e, jotka olisivat kohtuuttomia. Hallinto-oikeus hylkäsi valituksen, koska se katsoi, että kustannukset eivät olisi kohtuuttomia. Ratkaisu annettiin vuonna 2014. Pankki valitti asiasta korkeimpaan hallinto-oikeuteen, joka katsoi, että Helsingin hallinto-oikeus ei ollut riittävästi arvioinut, mikä merkitys työmäärällä olisi lainmukaisuuden arvioinnissa ja palautti asian hallinto-oikeudelle.


Vuonna 2017 Helsingin hallinto-oikeus antoi samansisältöisen tuomion, jossa se katsoi, että työmäärä ja kustannukset eivät olleet kohtuuttomia muihin luottolaitoksiin nähden, minkä vuoksi tietopyyntöön piti suostua. Pankki valitti ratkaisusta taas korkeimpaan hallinto-oikeuteen. Korkein hallinto-oikeus otti asian käsittelyyn ja harkitsi ennakkoratkaisun pyytämistä Euroopan unionin tuomioistuimelta. KHO kuitenkin totesi, että oikeustila Unionin oikeuden osalta on niin selkeä, että ennakkoratkaisua ei tarvitse pyytää.


Vuonna 2020 antamassaan tuomiossa korkein hallinto-oikeus ei enää ottanut kantaa tietopyynnöstä aiheutuvaan vaivaan, vaan tulkitsi tietopyynnön laillisuutta vuonna 2018 voimaan astuneen GDPR:n valossa ja totesi, että tietopyyntö oli GDPR:n mukaan laiton, koska henkilötietojen kerääminen ei ollut oikeasuhtaista, kun verrattiin sen tavoitteita sen laajuuteen. Pankki siis voitti lopulta tapauksen eikä joutunut luovuttamaan tietoja. Asia olisi tosin vanhentumisen vuoksi ollut pitkälti merkityksetön, koska tiedot eivät olisi voineet vaikuttaa verotukseen näin pitkän ajanjälkeen, mutta ennakkoratkaisuna kysymys on tärkeä tulevien tietopyyntöjen arvioinnin vuoksi.


Sääntely


Verottajan tietopyyntö perustui verotusmenettelylain (VML) 14 §:ään, jonka mukaan Verohallinto voi tehdä verotarkastuksen. Verotarkastuksen varsinainen sisältö on pykälän mukaan:


Verovelvollisen on Verohallinnon kehotuksesta verovuoden aikana tai myöhemmin esitettävä Suomessa tarkastettavaksi kirjanpitonsa, muistiinpanonsa samoin kuin kaikki se elinkeinotoimintaan tai muuhun tulonhankkimistoimintaan liittyvä sekä muu aineisto ja omaisuus, joka saattaa olla tarpeen hänen verotuksessaan tai hänen verotustaan koskevaa muutoksenhakua käsiteltäessä.”


VML 21 §:n mukaan verotarkastus voidaan toteuttaa silloinkin, jos sen tarkoituksena on kerätä tietoa muiden verovelvollisten verotusta varten. Tätä kutsutaan vertailutietotarkastukseksi. VML 22 a §:n nojalla verotarkastuksen kohteelle voidaan määrä laiminlyöntimaksu, jos tämä ei anna kaikkia olennaisia tietoja verotuksen toimittamiseksi. Laiminlyöntimaksun suuruus on 2 000-15 000e. Aineiston hankkimiseen voidaan myös pyytää poliisilta virka-apua VML 93 §:n nojalla ja poliisi voikin hankkia aineiston viime kädessä pakkokeinoja käyttäen.


GDPR ja sen nojalla annettu kansallinen tietosuojalaki taas säätävät henkilötietojen käsittelystä. Verohallinnon pyytämät tiedot ovat kiistämättä tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja eli GDPR 4 -artiklan tarkoittamia henkilötietoja. Tunnistettavuus johtuu mm. siitä, että pankin tulee tunnistaa asiakkaansa. Verohallinnon tietopyyntö ja tiedoista tehtävät vertailut taas olisivat GDPR 4 -artiklan tarkoittamaa tietojen käsittelyä. Tämän vuoksi GDPR soveltuu tapaukseen. GDPR 5 -artikla taas sisältää olennaisen rajoituksen henkilötietojen käsittelylle:


henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään”.


GDPR 6 -artikla määrittelee käsittelyn lainmukaisuuden, jos käsittelyä ei sallita GDPR 6 -artiklassa, ei henkilötietoja saa käsitellä. Artiklan e-kohdassa määritellään, että käsittely on sallittua, jos se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Verotus on kiistämättä yleistä etua koskeva tehtävä ja julkisen vallan käyttämistä, joten tämä artiklan kohta sinänsä soveltuu tapaukseen ja käsittely on lähtökohtaisesti laillista, jos kansallisessa tai Unionin lainsäädännössä määritellään tällainen käsittely lailliseksi.


Suomessa kansallisena oikeusperustana toimii tietosuojalain 4 §, jonka mukaan tietoja saa käsitellä yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi, jos käsittely on tarpeen ja oikeasuhtaista yleisen edun mukaisen tehtävän suorittamiseksi. Tietosuoja-asetus edellyttää, että henkilötietojen käsittelyä koskeva kansallinen lainsäädäntö täyttää yleisen edun mukaisen tavoitteen ja sisältää oikeasuhtaisuuden vaatimuksen. Verotusmenettelylain verotarkastusta koskeva säännös ei ole muuttunut 2000-luvulla, joten vaatimusten täyttymistä on tarkasteltava tietosuojalain nojalla.


Korkein hallinto-oikeus arvioi tapauksessa, onko kyseinen tietopyyntö oikeasuhtainen. Tässä punnittiin toisaalta verovalvonnan toteuttamista ja toisaalta tavoitetta minimoida henkilötietojen käsittelyä. KHO tulkitsi EU-asetusta niin, että oikeasuhtaisuus ei täyty, jos tietopyyntö koskee kaikkia asiakkaita. KHO katsoi, että verohallinnon tietopyyntö, joka koski pankin kaikkia asiakkaita ei voinut olla oikeasuhtainen verovalvonnan toteuttamiseksi. Käytännössä KHO siis totesi, että verohallinnon olisi rajattava tietopyynnöt sellaisiin tahoihin, joiden valvonnalla olisi väliä verovalvonnan kannalta.


Yhteenveto ja merkitys tulevaisuudessa


GDPR johti tilanteeseen, että verottaja ei voi pyytää enää kaikissa tilanteissa kokonaisia rekistereitä vertailutietotarkastusta varten. Syynä tähän on se, että GDPR mahdollistaa vain tietojen oikeasuhtaisen käsittelyn, mitä kokonaisten rekistereiden pyytäminen ei lähtökohtaisesti ole. Tätä estettä pyytää tietoja ei välttämättä voida muuttaa edes veromenettelylakia muuttamalla. Käytännössä tämä johtaa siihen, että verottajan on jatkossa yksilöitävät tietopyyntönsä tarkemmin ja rajattava tiedot sellaisiin kohteisiin, joilla voi olla merkitystä verovalvonnan kannalta. Käytännössä tämä tarkoittaisi esimerkiksi tietyn kokoluokan yrityksiä, tiettyjen toimialojen yrityksiä, tietynsuuruisia rahansiirtoja tai tietynsuuruisia varallisuusmassoja liikuttelevia tahoja. Verottaja joutuu kuitenkin jatkossa rajaamaan tietopyyntönsä tarkemmin GDPR:n vaatimuksista johtuen.


Lue lisää vero- ja kirjanpito-oikeudellisia kirjoituksiamme:

https://www.kpflaki.com/blog/categories/vero-oikeus


Eelis Paukku

Lakimies, toimitusjohtaja

KPF Group Oy




241 katselukertaa

© 2018 KPF GROUP OY

  • Facebook Social Icon
  • LinkedIn Social Icon
  • Twitter Social Icon
  • Instagram