Persónuverndarstefna Skattsins
Skatturinn gætir fyllstu varúðar við meðferð allra persónuupplýsinga. Öll vinnsla persónuupplýsinga hjá Skattinum skal vera í samræmi við grundvallarsjónarmið um persónuvernd og friðhelgi einkalífs sem fram koma í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Jafnframt skal vinnsla persónuupplýsinga á tollgæslusviði embættisins auk skattrannsóknarstjóra vera í samræmi við lög nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi. Starfsmönnum Skattsins ber að vinna samkvæmt þeirri persónuverndarstefnu sem hér er sett.
Hér er unnt að fræðast um meðferð á persónuupplýsingum og um réttindi og skyldur þeim tengdum.
Á þjónustusíðu hvers einstaklings er að finna hvaða persónuupplýsingum Skatturinn býr yfir.
Hvaða persónuupplýsingar er unnið með hjá Skattinum?
Skatturinn vinnur með persónuupplýsingar eins og:
- Auðkenni einstaklinga, t.d. nafn, kennitölu, kyn, hjúskaparstöðu og ríkisborgararétt
- Búsetustað og upplýsingar um tengiliði, t.d. póstfang, heimilisfang, netfang og símanúmer
- Tengsl við aðra á grundvelli fjölskyldunúmers, s.s. hjúskaparstöðu, maka og börn
- Fjárhagslegar upplýsingar, t.d. um eignir og skuldir
- Tekjuupplýsingar s.s. hvers konar launaupplýsingar, hlunnindi, fjármagnstekjur o.s.frv.
- Viðkvæmar persónuupplýsingar, t.d. heilsufarsupplýsingar og upplýsingar um slys við afgreiðslu ívilnana
- Upplýsingar um atvinnustarfsemi s.s. atvinnugreinanúmer, virðisaukaskattsskyldu o.fl.
Vinnsla persónuupplýsinga felur m.a. í sér að Skatturinn safnar, skráir, geymir, eyðir, afhendir og samkeyrir upplýsingar. Skatturinn leitast við að skrá aðeins þær persónuupplýsingar sem nauðsynlegar eru vegna vinnslu þeirra verkefna sem Skattinum eru falin lögum samkvæmt.
Af hverju vinnur Skatturinn með persónuupplýsingar?
Til þess að sinna lögboðnum verkefnum sínum er Skattinum nauðsynlegt að vinna með persónuupplýsingar einstaklinga. Á það helst við um eftirtalin verkefni:
- Tryggja rétt skráahald, þ. á m. að viðhalda réttum upplýsingum í fyrirtækjaskrá
- Tryggja rétta álagningu skatta og gjalda
- Sinna þjónustu og skatteftirliti
- Rannsaka skattalagabrot og ákveða sektir
- Innheimta álagða skatta og gjöld
- Sinna tolleftirliti, þ.e. greiða fyrir lögmætum flutningi vöru til og frá landinu og stemma stigu við ólöglegum inn- og útflutningi
Auk framangreindra meginverkefna vinnur Skatturinn með persónuupplýsingar í tengslum við ýmis önnur verkefni sem heyra undir starfsemi embættisins, s.s. tölfræðivinnslu, greiningarvinnu eða upplýsingagjöf til þriðja aðila.
Hver er lagalegur grundvöllur fyrir vinnslu persónuupplýsingum hjá Skattinum?
Þau verkefni Skattsins sem krefjast vinnslu persónuupplýsinga byggja fyrst og fremst á lögum. Almennt séð er ekki hægt að óska eftir því að vera undanþeginn slíkri vinnslu. Helstu lög sem Skatturinn starfar eftir eru:
Lög nr. 45/1987 um staðgreiðslu opinberra gjalda
Lög nr. 55/1989 um virðisaukaskatt
Lög nr. 113/1990 um tryggingagjald
Lög nr. 4/1995 um tekjustofna sveitarfélaga
Lög nr. 150/2019 um innheimtu skatta og opinberra gjalda
Lög nr. 94/1996 um staðgreiðslu skatts á fjármagnstekjur
Lög nr. 90/2003 um tekjuskatt
Lög nr. 111/2016 um stuðning til kaupa á fyrstu íbúð
Lög nr. 82/2019 um skráningu raunverulegra eigenda
Lög nr. 17/2003 um fyrirtækjaskrá
Tollalög nr. 88/2005
Stjórnsýslulög nr. 37/1993
Upplýsingalög nr. 140/2012
Lög nr. 88/2008 um meðferð sakamála
Fyrirmæli Ríkissaksóknara nr. 6/2021
Lög nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka
Hvaðan fær Skatturinn persónuupplýsingarnar?
Vinnsla persónuupplýsinga er forsenda þess að Skatturinn geti sinnt lögboðnu hlutverki sínu. Skatturinn aflar persónuupplýsinga frá ýmsum aðilum, bæði einkaaðilum og opinberum aðilum, t.d.:
- Hinum skráða sjálfum, s.s. við gerð skattframtals
- Launagreiðendum
- Lífeyrissjóðum
- Bönkum og öðrum fjármálastofnunum
- Öðrum ríkisstofnunum, s.s. Tryggingastofnun ríkisins, Vinnumálastofnun, Útlendingastofnun, Fjársýslu ríkisins og Þjóðskrá Íslands
- Erlendum skattyfirvöldum
- Lögmönnum og/eða endurskoðendum hins skráða
Hver hefur aðgang að persónuupplýsingunum?
Starfsmenn Skattsins vinna einungis með persónuupplýsingar þegar nauðsyn krefur vegna þeirra verkefna sem þeir hafa umboð til þess að sinna. Þess er gætt að vinnsla persónuupplýsinga sé ávallt í samræmi við ákvæði laga og reglugerða um persónuvernd. Allir starfsmenn Skattsins eru bundnir trúnaði um allt sem þeir fá vitneskju um í starfi sínu og helst sú trúnaðarskylda þrátt fyrir að starfsmaður hætti störfum. Þá fá allir starfsmenn Skattsins viðeigandi þjálfun í öryggi og vernd persónuupplýsinga. Skattaðili hefur aðgang að upplýsingum sínum sem og umboðsmenn hans. Auk þess hvílir skylda á ríkisskattstjóra samkvæmt sérákvæðum í lögum að afhenda upplýsingar sé þess óskað.
Hvernig er öryggi persónuupplýsinga tryggt?
Skatturinn vinnur með mikið magn persónuupplýsinga og því eru gerðar sérlega ríkar kröfur um öryggi hjá embættinu. Til að tryggja öryggi upplýsinga vinnur Skatturinn í samræmi við setta upplýsingaöryggisstefnu og gerðar kröfur um öryggi húsnæðis, öryggi upplýsingatæknikerfa, áætlanir um samfellu í rekstri og viðbrögð vegna rekstrarfrávika. Sömu kröfur eru gerðar til þeirra þjónustuaðila sem starfa í þágu ríkisskattstjóra. Þá hafa verið settar sérstakar verklagsreglur um hvers kyns öryggisbresti við meðferð persónuupplýsinga og innleitt viðeigandi skipulagslegar og tæknilegar öryggisráðstafanir í samræmi við lög og reglur um net- og upplýsingaöryggi. Dæmi um slíkar ráðstafanir eru almennar tölvuvarnir, aðgangsstýringar að tölvum og kerfum, aðgerðarskráningar til að tryggja rekjanleika aðgerða, dulkóðun gagna og sendinga og margþátta auðkenningar.
Hverjum afhendir Skatturinn persónuupplýsingar öðrum en viðkomandi einstaklingi?
Skatturinn afhendir persónuupplýsingar til annarra stofnana þegar lög mæla svo fyrir, t.d. Hagstofu Íslands, fjármála- og efnahagsráðuneytinu, Innheimtustofnun sveitarfélaga og Menntasjóði Námsmanna. Einnig eru afhentar upplýsingar til þriðja aðila, s.s. fjármálastofnana og fjárhagsupplýsingastofa eins og Creditinfo skv. upplýstu samþykki þess aðila sem upplýsingarnar varða. Þá afhendir Skatturinn upplýsingar til erlendra skattyfirvalda á grundvelli alþjóðasamninga sem Ísland er aðili að.
Hversu lengi geymir Skatturinn persónuupplýsingar?
Skatturinn geymir upplýsingar eins lengi og þörf krefur í samræmi við lög og reglugerðir svo unnt sé að sinna lögbundnum verkefnum ríkisskattstjóra. Samkvæmt lögum um opinber skjalasöfn er skylt að afhenda gögn og upplýsingar til Þjóðskjalasafns Íslands að ákveðnum tíma liðnum. Grisjun gagna er óheimil nema með samþykki Þjóðskjalavarðar. Skatturinn eyðir þ.a.l. ekki persónuupplýsingum nema með leyfi eða á grundvelli lagaheimildar.
Hver er ábyrgðaraðili?
Ríkisskattstjóri er ábyrgðaraðili vegna vinnslu persónuupplýsinga hjá embættinu. Skatturinn vinnur með ýmsum þjónustuaðilum m.a. vegna álagningarvinnslu, upplýsingaöryggis og birtingar gagna í stafrænu pósthólfi stjórnvalda og eru gerðir vinnslusamningar við viðkomandi vinnsluaðila. Gerðar eru ríkar kröfur til vinnsluaðila um að þeir uppfylli skilyrði persónuverndarlaga og tryggi áreiðanleika persónuupplýsinga með viðeigandi tæknilegum og skipulagslegum öryggisráðstöfunum.
Réttur til aðgangs að upplýsingum?
Samkvæmt lögum um persónuvernd eiga allir rétt á að fá vita hvaða persónuupplýsingar Skatturinn vinnur með um þá og jafnframt að fá aðgang að þeim persónulegu upplýsingum sem embættið geymir, innan þeirra lögbundnu marka sem slíkum gagnaafhendingum eru settar.
Einstaklingar eiga rétt á upplýsingum um hvort Skatturinn vinni með persónuupplýsingar um þá og jafnframt um:
- Tilgang vinnslunnar
- Flokka persónuupplýsinga
- Viðtakendur eða flokka viðtakenda persónuupplýsinga
- Réttindi þeirra/sín
- Réttinn til að leggja fram kvörtun hjá Persónuvernd
- Hvort fram fari sjálfvirk kerfisbundin ákvarðanataka
Persónuverndarfulltrúi
Persónuverndarfulltrúi Skattsins hefur eftirlit með því að farið sé að gildandi lögum og reglum um persónuvernd. Fyrirspurnum, athugasemdum eða ábendingum sem varða vinnslu persónuupplýsinga er hægt að beina til persónuverndarfulltrúa með því að senda póst á netfangið; personuvernd@skatturinn.is
Kæruréttur til Persónuverndar
Heimilt er að beina kæru til Persónuverndar í þeim tilvikum að talið sé að meðferð Skattsins á persónuupplýsingum sé ekki í samræmi við gildandi persónuverndarlög. Persónuvernd er sjálfstætt stjórnvald sem annast eftirlit með framkvæmd persónuverndarlaga.