Verohallinto sai marraskuussa 2022 huomautuksen tietosuojavaltuutetulta. Verohallinto oli pyytänyt pankeilta vertailutietotarkastuksella tietoja Suomen rajat ylittävistä tilisiirroista ilman yksityiskohtaisempaa rajausta. Huomautuksen lisäksi tietosuojavaltuutettu määräsi Verohallinnon poistamaan saamansa tiedot ja lopettamaan liian laajojen tietopyyntöjen esittämisen pankeille.
Verotusmenettelylain 21 pykälän mukaan verotarkastus voidaan toimittaa myös yksinomaan siinä tarkoituksessa, että kerätään tietoja, joita voidaan käyttää muun verovelvollisen verotuksessa (vertailutietotarkastus). Kyse on niin sanotusta sivullisen erityisestä tiedonantovelvollisuudesta.
Tietosuojavaltuutettu on jo aiemmin tapauksen KHO 2020:8 yhteydessä lausunut, että:
- Vertailutietotarkastuksella kerättävien tietojen tulisi olla olennaisia kyseessä olevan asian selvittämiseksi.
- Rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
- Vertailutietotarkastuksen tekeminen ei vaikuta edellyttävän koko asiakasrekisterin luovuttamista.
- Tietojen luovuttaminen on henkilötietoja koskevien säännöksien mukaista ainoastaan siltä osin kuin luovutettavat tiedot ovat tarpeellisia.
- Vertailutietotarkastus tulisi suunnitella siten, ettei siinä lähtökohtaisesti kerätä tarpeetonta tietoa varmuuden vuoksi tai kustannussyistä.
- Laajojen tietokantojen siirtely nostaa riskiä tietoturvallisuuden näkökulmasta.
Ratkaisussa KHO 2020:8 KHO lausui, että verohallinnon tietopyyntöä ei oltu pyrittykään rajaamaan sellaisiin asiakkaisiin, joita koskevien tietojen voidaan olettaa olevan verovalvonnan toteuttamiseksi tarpeellisia. Lisäksi, vaikka tietopyyntö ei ole ulottunut kaikkiin tietueisiin, joita pankin asiakasrekisteriin on eri asiakkaista merkitty, tietopyynnön toteuttaminen on vaikutuksiltaan rinnastettavissa kokonaisen asiakasrekisterin luovuttamiseen.
Tietosuojavaltuutetun huomautukseen marraskuussa 2022 johtaneen tapauksen tutkinnassa kävi ilmi, että Verohallinto oli pyytänyt pankeilta tietoja kaikista Suomen rajat ylittävistä tilisiirroista vuosina 2015–2021. Tietopyynnöt kattoivat muun muassa ulkomaisissa kaupoissa ja verkkokaupoissa pankkikortilla maksetut ostokset. Tietopyynnöt olivat kattaneet myös tilin käyttöön liittyvillä maksukorteilla tehdyt rajat ylittävät maksut, kuten pankkikorttiostokset ulkomaisissa verkkokaupoissa, ja ne sisälsivät esimerkiksi tietoja maksujen päivämääristä sekä asiakkaiden yhteystietoja.
Verohallinto ei rajannut juurikaan tietopyyntöjä. Esimerkiksi vuoden 2018 osalta kolme suurinta pankkien Verohallinnolle toimittamaa tietoaineistoa käsitti yhteensä noin 17 860 000 tilitapahtumaa. Tietosuojavaltuutettu katsoikin, että Verohallinto ei ole huomioinut riittävästi henkilötietojen käsittelyyn liittyviä riskejä, koska maksuliikennettä seuraamalla henkilön yksityiselämästä voi saada aiempaa yksityiskohtaisemman kuvan tilitapahtumien perusteella.
Verohallinto oli kyllä aineistot saatuaan rajannut tutkittavia tilitapahtumia tarkempien kriteerien perusteella, mutta tietosuojavaltuutetun mielestä Verohallinto olisi voinut rajata pyytämiään tietoja jo etukäteen.
Viimeisimpään tietosuojavaltuutetun huomautukseen liittyvät tapahtumat ajoittuvat samoille vuosille, jotka koskivat ratkaisussa KHO 2020:8 käsiteltyjä tapahtumia, joten on vaikea arvioida, onko Verohallinto sittemmin muuttanut menettelyään. Nähtäväksi jää oliko tämä viimeinen puuttuminen liian laajaksi katsottaviin vertailutietotarkastuksiin.