Fremsat den 21. februar 2018 af erhvervsministeren (Brian Mikkelsen)

Forslag

til

Lov om Erhvervsstyrelsens behandling af data

§ 1. Erhvervsstyrelsen kan indsamle og behandle, herunder foretage samkøring af, oplysninger fra andre offentlige myndigheder og fra offentligt tilgængelige kilder, når det er nødvendigt af hensyn til udførelsen af styrelsens opgaver.

Stk. 2. Erhvervsstyrelsen kan behandle, herunder samkøre, oplysninger, som styrelsen ud over de tilfælde, der er nævnt i stk. 1, er i besiddelse af, når det er nødvendigt af hensyn til udførelsen af styrelsens kontrol- og tilsynsopgaver.

Stk. 3. Erhvervsstyrelsen kan få terminaladgang til nødvendige oplysninger om fysiske eller juridiske personers økonomiske eller erhvervsmæssige forhold i indkomstregistret, jf. § 7 i lov om et indkomstregister, når det er nødvendigt af hensyn til udførelsen af styrelsens opgaver.

Stk. 4. Erhvervsstyrelsen kan indsamle og behandle oplysninger, som omfattes af stk. 1-3, samt videregive disse oplysninger til andre offentlige myndigheder, når det er nødvendigt af hensyn til udførelsen af disse myndigheders kontrol- og tilsynsopgaver.

Stk. 5. Erhvervsministeren fastsætter nærmere regler for Erhvervsstyrelsens indsamling, videregivelse og anden behandling af oplysninger efter stk. 1-4, herunder om hvornår og til hvilke formål og opgaver oplysninger kan indsamles og behandles, hvornår sletning af oplysninger skal finde sted, og om de tekniske og organisatoriske foranstaltninger, der skal iagttages ved behandlingen.

§ 2. Loven træder i kraft den 1. juli 2018.

§ 3. Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning sættes helt eller delvis i kraft for Færøerne og Grønland med de ændringer, som de færøske og grønlandske forhold tilsiger.

Bemærkninger til lovforslaget

1. Indledning

Organiseret svindel med moms og afgifter er en udfordring for skattemyndighederne i både Danmark og andre lande. Blandt andet har grov momskriminalitet og svindel med punktafgifter været genstand for megen opmærksomhed de senere år. Regeringen ønsker at styrke skattevæsenets mulighed for at udføre en bedre og mere intelligent skattekontrol.

Ved stiftelse af virksomheder indledes registreringsprocessen i alle tilfælde hos Erhvervsstyrelsen, og derfor kan Erhvervsstyrelsen anses som »første forsvarslinje« mod virksomheder, som agter at begå svig med moms og afgifter. Det er dermed essentielt, at en intelligent kontrol er placeret her. Dette giver mulighed for, at Erhvervsstyrelsen kan stoppe virksomhederne, allerede inden de registreres, således at der kan tages forholdsregler over for de virksomheder, som anses for at have en forhøjet risiko for at begå svig med moms og afgifter.

Kontrollen ved registrering af virksomheder kan styrkes gennem et tættere samarbejde mellem Erhvervsstyrelsen, skattemyndighederne og andre relevante myndigheder. Det foreslås, at der etableres datadrevet kontrol i forbindelse med registrering af virksomheder. Formålet er at hindre organiseret svig med moms og afgifter allerede ved registrering af den virksomhed, som skal anvendes til svig.

Konkret foreslås det, at Erhvervsstyrelsen anvender machine learning i forbindelse med registrering af virksomheder. Machine learning er en teknologi, som bl.a. kan genkende mønstre og tegn på svig på tværs af data, hvilket gør, at den efterfølgende kontrol kan målrettes, således at indsatsen får en større træfsikkerhed. Man kan med machine learning sammenholde store mængder af data fra mange forskellige datakilder og ved brug af avancerede algoritmer identificere tegn på fejl og svig. For de virksomheder, som utilsigtet laver fejl, kan teknologien bruges til at understøtte og guide virksomheden, så der sker korrekt registrering.

Ved Erhvervsstyrelsens anvendelse af machine learning er det nødvendigt, at styrelsen kan indsamle og behandle oplysninger fra andre offentlige myndigheder samt fra offentligt tilgængelige kilder samt videregive oplysninger til andre offentlige myndigheder til brug for disses kontrol- og tilsynsopgaver. Nærværende lovforslag har til formål at tilvejebringe de retlige rammer for Erhvervsstyrelsens behandling af data til brug for styrelsens anvendelse af machine learning.

2. Baggrund

Regeringen ønsker at styrke skattevæsenets mulighed for at udføre en bedre og mere intelligent skattekontrol. Derfor har skatteministeren præsenteret en samlet kontrolpakke - »Stærkere skattekontrol, styrket vejledning«. Som en del af kontrolpakken indgår initiativer foreslået af en tværministeriel arbejdsgruppe, som blev nedsat for at se på mulighederne for et styrket myndighedssamarbejde mod svindel med moms og afgifter.

Den tværministerielle arbejdsgruppe har i en rapport »Forslag til en stærkere myndighedsindsats mod organiseret svindel« foreslået tre initiativer, som omfatter et nyt koordinationsforum, et myndighedssamarbejde om et nyt fælles risikobillede og et initiativ om styrket kontrol i registreringsfasen. Det sidstnævnte initiativ er forankret i Erhvervsstyrelsen og vedrører dels intelligent kontrol i virksomhedsregistreringen, dels en forbedring af visse af Erhvervsstyrelsens data. Nærværende lovforslag har til formål at skabe lovhjemmel til indførelse af intelligent kontrol i registreringsfasen.

Erhvervsstyrelsen er i besiddelse af data omkring virksomheder og personer, som har relationer til virksomheder. Det drejer sig bl.a. om oplysninger, som virksomheder er pligtige at indberette i medfør af eksempelvis selskabsloven, lov om visse erhvervsdrivende virksomheder og årsregnskabsloven. Erhvervsstyrelsen har endvidere data, som er indsamlet til brug for styrelsens kontrol- og tilsynsvirksomhed.

Det er imidlertid ikke kun Erhvervsstyrelsen, der har data, som ved en intelligent kontrol vil kunne anvendes til at vurdere risikoindikatorerne for en virksomhed, men i høj grad også skattevæsenet. Det er nødvendigt for at kunne etablere en styrket kontrol i registreringsfasen, at denne baseres på data fra begge myndigheder. Det er centralt, at der er mulighed for at sikre et så stort datagrundlag som muligt, da vurderingen af virksomheder hermed kan blive mere præcis. Det vil med et tilstrækkeligt stort datasæt være muligt at identificere virksomheder, som med stor sandsynlighed vil begå svig med moms og afgifter, samtidig med at virksomheder, hvor der ikke vurderes at være denne risiko, ikke vil blive påvirket af den yderligere kontrol.

De oplysninger, der vil blive anvendt i forbindelse med en styrket kontrol i registreringsfasen, er oplysninger om virksomheder samt om personer, der har en tilknytning til disse virksomheder. Der er primært tale om oplysninger, som er anmeldt og registreret som led i udøvelsen af erhvervsmæssig virksomhed.

Deling af data i et samarbejde mellem myndigheder med henblik på kontrol af virksomheder, er anbefalet i Rigsrevisionens beretning om effektiv kontrol, 15/2016, som er afgivet i april 2017. Det fremgår af beretningens kapitel 3, at det er Rigsrevisionens vurdering, at dataudveksling mellem myndigheder vil kunne styrke kontrollens effektivitet samt reducere kontrollens belastning for virksomhederne.

I takt med den teknologiske udvikling er det stadig mere udbredt, at såvel offentlige myndigheder som private virksomheder tilgår og benytter offentligt tilgængelige oplysninger som en integreret del af deres opgaveløsning. Offentligt tilgængelige kilder kan i denne forbindelse være internettet, som i dag udgør en væsentlig - og i mange sammenhænge den primære - informationskilde på tværs af samfundet. Eksempelvis kan der findes relevante kortdata, som er offentligt tilgængelige gennem bl.a. Google. Det er ikke hensigten, at ikke-validerede data fra sociale medier alene kan begrunde en afgørelse om anvendelse af sanktioner. De indsamlede oplysninger kan omfatte enhver type oplysning, herunder personoplysninger.

Det er i den tværministerielle rapport foreslået, at Erhvervsstyrelsen anvender machine learning i forbindelse med registrering af virksomheder, hvilket både omfatter virksomheder, der er registreret i henhold til skattevæsenets samt Erhvervsstyrelsens lovgivning. Machine learning er som nævnt en teknologi, som bl.a. kan genkende mønstre og tegn på svig på tværs af data, hvilket gør, at den efterfølgende kontrol kan målrettes, således at indsatsen får en større træfsikkerhed. Man kan med machine learning sammenholde store mængder af data fra mange forskellige datakilder og ved brug af avancerede algoritmer identificere tegn på fejl og svig. For de virksomheder, som utilsigtet laver fejl, kan teknologien bruges til at understøtte og guide virksomheden, så der sker korrekt registrering.

Anvendelsen af machine learning teknologien er ikke baseret på forudbestemte parametre, men på statistiske sandsynligheder ud fra data, som ikke på forhånd er bearbejdet. Brugen af teknologien forudsætter et stort datagrundlag, idet de statistiske indikationer bliver mere pålidelige, des større datagrundlaget er. Erhvervsstyrelsen vil forud for indsamlingen af data vurdere, om disse er nødvendige til brug for styrelsens opgaver og andre offentlige myndigheders kontrol- og tilsynsopgaver.

Lovforslaget indebærer, at Erhvervsstyrelsen udvikler og implementerer en model for brug af machine learning til kontrol ved registrering af virksomheder samt ved registrering af ændringer i eksisterende virksomheders oplysninger. Ved brug af machine learning kan der foretages identifikation af virksomheder, som har forøget risiko for svig og økonomisk kriminalitet, hvilket skal føre til en målrettet manuel kontrol hos Erhvervsstyrelsen, skattevæsenet eller begge myndigheder samtidigt. Der skabes med lovforslagets § 1, stk. 4, hjemmel til, at Erhvervsstyrelsen kan videregive oplysninger til andre offentlige myndigheder, herunder skattevæsenet, således at myndighederne kan foretage manuel kontrol af de relevante sager.

Anvendelsen af machine learning i forbindelse med virksomhedsregistrering vil give en indikation af risikofaktorerne allerede ved anmeldelsen af stiftelsen af en virksomhed. Når en virksomhed registreres hos Erhvervsstyrelsen, vil de anmeldte oplysninger om virksomheden kunne sammenholdes med tilsvarende oplysninger om andre virksomheder, herunder virksomheder som har begået svig. Erhvervsstyrelsen vil således ved hjælp af machine learning kunne opdage fælles mønstre for virksomheder, der har begået svig, og nye virksomheder, der anmeldes til registrering. Dette giver mulighed for, at Erhvervsstyrelsen kan udtage virksomheden til manuel kontrol og/eller videregive oplysningerne til skattevæsenet, inden virksomheden er registreret. Skattevæsenet vil dermed få mulighed for at foretage de nødvendige forholdsregler for at imødegå svig, eksempelvis ved at kræve sikkerhedsstillelse m.v. i henhold til skatte- og afgiftslovgivningen eventuelt samtidigt med, at Erhvervsstyrelsen kontrollerer overholdelse af selskabslovgivningen.

Indsatsen ved en manuel kontrol kan ved brug af machine learning fokuseres på de virksomheder, som på baggrund af en analyse af store mængder data vurderes at have høj risiko for at omgå reglerne. Med indførelsen af adgangen til at foretage datasamkøring ved brug af machine learning vil Erhvervsstyrelsen skulle behandle væsentligt flere sager manuelt i forbindelse med registrering.

Ved at rette fokus på kontrol af og tilsyn med de virksomheder, som vurderes at have en væsentligt højere sandsynlighed for at begå svig, følges anbefalingen i Rigsrevisionens beretning om effektiv kontrol. Heraf fremgår det i afsnit 2.2, at en effektiv kontrol forudsætter, at myndighedernes indsats bør fokuseres på de virksomheder, hvor der er størst risiko for regelbrud.

Det fremgår af »Den fællesoffentlige digitaliseringsstrategi 2016-2020«, at offentlige data i højere grad skal deles og genbruges for at kunne skabe en mere overskuelig og sammenhængende offentlig sektor. Det forudsætter, at myndighederne i højere grad sikkert kan udveksle og tilgå relevante oplysninger, som de enkelte myndigheder allerede ligger inde med. Det er ikke mindst nødvendigt, når flere myndigheder er involveret.

Øget anvendelse og genbrug af data bidrager til et bedre grundlag for effektiv offentlig forvaltning. Samtidig vil det bidrage til en mere moderne og velfungerende offentlig sektor. Konkret vil genbrug og deling af data fra offentlige registre bidrage til, at offentlige myndigheder kan effektivisere opgavevaretagelsen, herunder kontrol- og tilsynsopgaver, da et større datagrundlag medfører, at myndighederne med større sandsynlighed kan identificere de virksomheder, der vil begå svig med moms og afgifter eller anden økonomisk kriminalitet. F.eks. kan visse oplysninger i en virksomheds årsregnskab, der er aflagt efter reglerne i årsregnskabsloven, valideres af visse oplysninger i virksomhedens skattemæssige regnskab, der aflægges i henhold til reglerne i skatte- og afgiftslovgivningen.

Det er i den forbindelse afgørende, at reguleringen sikrer, at de nye teknologiske muligheder, herunder anvendelsen af machine learning, bliver et aktiv for det danske samfund. De lovgivningsmæssige rammer skal være tidssvarende, så muligheden for at dele data på tværs af forskellige myndigheder ikke begrænses unødigt. Indsatsen skal fortsat ske inden for rammerne af forvaltningsloven og persondatalovgivningen, se lovforslagets pkt. 3.1.2.3. Lovforslaget har til formål at tilvejebringe de retlige rammer for Erhvervsstyrelsens brug af machine learning.

3. Lovforslagets hovedpunkt

3.1. Erhvervsstyrelsens behandling af data

Lovforslaget har til formål at skabe klar hjemmel til at indsamle og behandle oplysninger, herunder få terminaladgang til indkomstregistret, foretage samkøring og videregivelse af oplysninger, både for så vidt angår styrelsens egne oplysninger, oplysninger fra andre offentlige myndigheder og offentligt tilgængelige kilder.

3.1.1. Gældende ret

3.1.1.1. Lovgivning på Erhvervsministeriets område

Erhvervsstyrelsen behandler oplysninger, i det omfang det er nødvendigt for Erhvervsstyrelsens opgavevaretagelse i henhold til de regler, som styrelsen administrerer. Denne behandling sker i elektroniske sagshåndteringssystemer samt i en række elektroniske databaser og registre, som Erhvervsstyrelsen er ansvarlig for at drive og vedligeholde, f.eks. CVR-registret, som er offentligt tilgængeligt.

Udover at behandle oplysninger til brug for Erhvervsstyrelsens egen opgavevaretagelse behandler og videregiver Erhvervsstyrelsen oplysninger til andre offentlige myndigheder, herunder skattevæsenet, til brug for understøttelsen af disses opgavevaretagelse, f.eks. i forbindelse med registreringen af virksomheder.

Erhvervsstyrelsens indsamling, behandling og videregivelse af oplysninger er - ud over at være omfattet af forvaltningsloven og persondatalovgivningen - omfattet af enkelte andre regelsæt på styrelsens område, herunder bekendtgørelse om anmeldelse, registrering, gebyr samt offentliggørelse m.v. i Erhvervsstyrelsen, jf. bekendtgørelse nr. 1466 af 25. november 2016, og lov om fremgangsmåden ved anmeldelse m.v. af visse oplysninger hos Erhvervsstyrelsen (fremgangsmådeloven), jf. lovbekendtgørelse nr. 1204 af 14. oktober 2013.

Fremgangsmådeloven finder anvendelse på anmeldelser, registreringer og offentliggørelser hos Erhvervsstyrelsen, når regler herom er fastsat i lovgivningen, jf. dennes § 1. Det fremgår af fremgangsmådelovens § 4, at enhver oplysning, som er anmeldt, registreret eller offentliggjort hos Erhvervsstyrelsen, kan anvendes i styrelsens sagsbehandling inden for alle styrelsens kompetenceområder, herunder til intern registersamkøring og sammenstilling af oplysninger i kontroløjemed. Fortrolige og følsomme oplysninger samt oplysninger om andre rent private forhold kan udelukkende anvendes inden for samme kompetenceområde, som oplysningerne er indsamlet til brug for, medmindre andet følger af anden lovgivning. Det vil sige, at Erhvervsstyrelsen efter fremgangsmådeloven f.eks. ikke vil kunne anvende fortrolige oplysninger, som er afgivet i forbindelse med en virksomheds registrering i henhold til hvidvasklovgivningen, til den samme virksomheds registrering i CO2-kvoteregisteret.

De oplysninger, som Erhvervsstyrelsen behandler, stammer i høj grad fra indberetninger ved virksomhedsregistrering. Det er oplysninger, som virksomhederne er pligtige at indsende i henhold til styrelsens lovgivning, eksempelvis lov om aktie- og anpartsselskaber (selskabsloven), lov om visse erhvervsdrivende virksomheder samt lov om erhvervsdrivende fonde, og som registreres i henhold til bekendtgørelse om anmeldelse, registrering, gebyr samt offentliggørelse m.v. i Erhvervsstyrelsen (anmeldelsesbekendtgørelsen).

Der findes på visse af Erhvervsstyrelsens områder særlige begrænsninger vedrørende behandling af data, tavshedspligt m.v. Dette gør sig eksempelvis gældende på hvidvask- og revisorområdet samt i reguleringen af CO2-kvoteregisteret. Disse begrænsninger følger i vidt omfang af EU-regulering. Det forudsættes, at sådanne særlige begrænsninger iagttages, og der vil derfor skulle foretages en konkret vurdering af, om de pågældende regler er til hinder for behandling af data.

3.1.1.2. Forvaltningsloven

Erhvervsstyrelsens behandling af oplysninger er omfattet af reglerne i forvaltningsloven, jf. lovbekendtgørelse nr. 433 af 22. april 2014. Det følger af forvaltningslovens § 28, stk. 1, at for videregivelse af oplysninger om enkeltpersoner (personoplysninger) til en anden forvaltningsmyndighed gælder reglerne i § 5, stk. 1-3, §§ 6-8, § 10, § 11, stk. 1, § 38 og § 40 i lov om behandling af personoplysninger, jf. lovens § 1, stk. 3. Herudover gælder de almindelige forvaltningsretlige principper, herunder sagligheds- og proportionalitetsprincipperne. Det betyder, at Erhvervsstyrelsen kun kan behandle oplysninger, hvis det er sagligt og proportionalt.

Endvidere følger det af forvaltningslovens § 28, stk. 2, at oplysninger af fortrolig karakter, som ikke er omfattet af stk. 1, kun må videregives til en anden forvaltningsmyndighed, når 1) den, oplysningen angår, udtrykkeligt har givet samtykke, 2) det følger af lov eller bestemmelser fastsat i henhold til lov, at oplysningen skal videregives, eller 3) det må antages, at oplysningen vil være af væsentlig betydning for myndighedens virksomhed eller for en afgørelse, myndigheden skal træffe. Forvaltningslovens § 28, stk. 2, tager sigte på oplysninger af fortrolig karakter, som ikke angår identificerbare fysiske personer, dvs. fortrolige oplysninger om juridiske personer og fortrolige oplysninger, som hverken angår juridiske personer eller identificerbare fysiske personer.

Derudover følger af det forvaltningslovens § 29, stk. 1, at i sager, der rejses ved ansøgning, må oplysninger om ansøgerens rent private forhold ikke indhentes fra andre dele af forvaltningen eller fra en anden forvaltningsmyndighed. Bestemmelsen i § 29, stk. 1, gælder dog ikke, hvis 1) ansøgeren har givet samtykke hertil, 2) andet følger af lov eller bestemmelser fastsat i henhold til lov eller 3) særlige hensyn til ansøgeren eller tredjemand klart overstiger ansøgerens interesse i, at oplysningen ikke indhentes.

I forvaltningslovens § 31 er det fastsat, at i det omfang en forvaltningsmyndighed er berettiget til at videregive en oplysning, skal myndigheden på begæring af en anden forvaltningsmyndighed videregive oplysningen, hvis den er af betydning for myndighedens virksomhed eller for en afgørelse, som myndigheden skal træffe. Bestemmelsen er ikke begrænset til at omfatte fortrolige oplysninger og gælder både for personoplysninger og andre oplysninger. Det fremgår endvidere af forvaltningslovens § 32, at personer, der virker inden for den offentlige forvaltning, ikke i den forbindelse må skaffe sig fortrolige oplysninger, som ikke er af betydning for udførelsen af den pågældendes opgaver.

3.1.1.3. Databeskyttelsesforordningen og databeskyttelsesloven

Erhvervsstyrelsens behandling af personoplysninger er omfattet af persondataloven. Det foreslås imidlertid i nærværende lovforslags § 2, at den foreslåede lov træder i kraft den 1. juli 2018. Ved den foreslåede lovs ikrafttrædelsestidspunkt vil reglerne for Erhvervsstyrelsens behandling af personoplysninger være omfattet af bestemmelserne i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse). Databeskyttelsesforordningens regelsæt finder anvendelse fra den 25. maj 2018.

Justitsministeren har endvidere den 25. oktober 2017 fremsat forslag til lov (L 68 17/18) om supplerende bestemmelser til forordningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven). Lovforslaget foreslås at træde i kraft den 25. maj 2018, jf. forslaget til databeskyttelseslovens § 46, stk. 1. Det fremgår af lovforslagets § 46, stk. 2, at lov nr. 429 af 31. maj 2000 om behandling af personoplysninger, som senest ændret ved lov nr. 426 af 3. maj 2017, ophæves. Databeskyttelsesloven supplerer databeskyttelsesforordningen, jf. forslaget til databeskyttelseslovens § 1, stk. 1.

Det følgende tager derfor udgangspunkt i databeskyttelsesforordningen og databeskyttelseslovens regler om behandling af personoplysninger.

Databeskyttelsesforordningen finder ifølge forordningens artikel 2, stk. 1, anvendelse på behandling af personoplysninger, der helt eller delvist foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Ved behandling af personoplysninger forstås ifølge forordningens artikel 4, nr. 2, enhver aktivitet eller række af aktiviteter - med eller uden brug af automatisk behandling - som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Samkøring er en særlig form for behandling, som bl.a. personoplysninger kan gøres til genstand for. Samkøring er en fælles betegnelse for forskellige tekniske løsninger, som vedrører sammenkobling af oplysninger, der kommer fra forskellige registre. Under samkøring hører maskinelle overførsler, hvorved et register tilføres oplysninger fra et andet register, således at det modtagende register udvides med disse oplysninger. Til begrebet samkøring henregnes endvidere maskinelle sammenstillinger af oplysninger fra forskellige registre, hvorved der dannes et nyt »uddata-produkt«, f.eks. et nyt register.

Databeskyttelsesforordningens kapitel II indeholder de såkaldte behandlingsregler. I forordningens artikel 5 er der fastsat en række grundlæggende principper, der gælder for alle behandlinger af personoplysninger, som omfattes af forordningen. Bestemmelsen fastsætter således, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. Det fastsættes endvidere, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og ikke må viderebehandles på en måde, der er uforenelig med disse formål. Personoplysninger skal også være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«). Endvidere gælder, at personoplysninger skal være korrekte og om nødvendigt ajourførte, og der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«). Det fastlægges tillige i artikel 5, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (»opbevaringsbegrænsning«). Endelig skal personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

I databeskyttelsesforordningens artikel 6 fastsættes de generelle betingelser for, hvornår behandling af oplysninger må finde sted. Af bestemmelsen følger, at behandling kun er lovlig, hvis mindst en af betingelserne i litra a-f er opfyldt, herunder hvis behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, jf. litra c, eller som er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. litra e. Vedrørende forordningens artikel 6, stk. 1, litra c, fremgår det af præambelbetragtning nr. 45, at hvis behandling foretages i overensstemmelse med en retlig forpligtelse, som påhviler den dataansvarlige, eller hvis behandling er nødvendig for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, bør behandlingen have et retsgrundlag i EU-retten eller medlemsstaternes nationale ret. Der henvises nærmere til Justitsministeriets betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 129-130.

Videregivelse og behandling af følsomme personoplysninger er i øvrigt reguleret i forordningens artikel 9 og 10. De oplysninger, der omfattes af artikel 9, er personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Forordningens artikel 10 omfatter behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel 6, stk. 1.

Databeskyttelsesforordningen regulerer endvidere »profilering«, som i forordningens artikel 4, nr. 4, defineres som »enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser«. Af forordningens artikel 22, stk. 1, fremgår det, at den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.

3.1.2. Erhvervsministeriets overvejelser og den foreslåede ordning

For at imødegå organiseret svindel med moms og afgifter er det essentielt, at der indføres en intelligent kontrol ved virksomhedsregistrering, idet dette giver mulighed for, at Erhvervsstyrelsen allerede inden registreringen kan stoppe de virksomheder, der med stor sandsynlighed har til hensigt at begå svig med moms og afgifter. Det er på baggrund heraf nødvendigt, at Erhvervsstyrelsen har hjemmel til at indsamle og behandle oplysninger fra andre offentlige myndigheder, særligt skattevæsenet, samt offentlige tilgængelige kilder.

Efter Erhvervsministeriets opfattelse er det nødvendigt, at Erhvervsstyrelsens kontrol- og tilsynsopgaver som udgangspunkt tilrettelægges med en risikobaseret tilgang, således at det er de virksomheder, hvor der er en særligt høj risiko for svig, som udsættes for yderligere kontrol. Deling og samkøring af Erhvervsstyrelsens egne data vil bidrage til, at styrelsen med den risikobaserede tilgang med større sandsynlighed kan identificere de virksomheder, der ikke overholder lovgivningen på Erhvervsstyrelsens områder.

Oplysninger fra visse andre offentlige myndigheders registre kunne bidrage væsentligt til risikobilledet, således at skattevæsenet har mulighed for at behandle sager, hvor der er en særlig risiko for svig med moms og afgifter, førend registrering af virksomheden sker i Erhvervsstyrelsen. Det er derfor endvidere nødvendigt, at Erhvervsstyrelsen har hjemmel til at videregive nødvendige oplysninger til andre offentlige myndigheder.

I en situation, hvor der skal ske registrering af stiftelsen af en virksomhed, er der således behov for, at Erhvervsstyrelsen ved hjælp af machine learning kan samkøre data fra styrelsens registre samt skattevæsenets registre. Det vil på denne baggrund kunne vurderes, om en sag om registrering af stiftelsen af en virksomhed bør udtages til en manuel kontrol hos Erhvervsstyrelsen, skattevæsenet eller begge myndigheder.

Af Rigsrevisionens beretning om effektiv kontrol kapitel 3 anbefales det, at myndigheder samarbejder systematisk om kontrollen på tværs, idet myndighederne har en række ensartede problematikker i forbindelse med at tilrettelægge en effektiv kontrol.

Anvendelsen af machine learning kan ved samkøringen af oplysninger identificere mønstre og tegn på svig, som ikke ellers ville være opdaget. Mønstrene dannes ud fra de sager, hvor der er konstateret svig, og det vil således være disse, der ligger til grund for, at nye sager bliver udtaget til manuel kontrol. Det kan eksempelvis være, at der ved de sager, hvor der tidligere er konstateret svig, gør sig særlige forhold gældende for så vidt angår indkomsten for de personer, som indsættes som ledelsen i en virksomhed, og det vil dermed være muligt at udtage sager, hvor de indsatte personer har tilsvarende særlige forhold i indkomsten. Et andet eksempel kan være, at personer, som tidligere har været involveret i virksomheder, hvori der er konstateret svig, har et særligt mønster for ind- og udtræden af ledelseshverv i andre virksomheder, og det vil hermed være muligt at udtage sager, hvor de indsatte personer har et tilsvarende mønster. I og med at det ikke på forhånd vides hvilke mønstre og tegn på svig, der dannes ved anvendelsen af machine learning, fraviges saglighedsprincippet.

Ved anvendelsen af machine learning er det ikke på forhånd givet, hvilke kriterier der ligger til grund for, at en sag udtages til manuel sagsbehandling, idet det vurderes, om de mønstre, der gør sig gældende for virksomheder, der har begået svig, tilsvarende gør sig gældende for nye virksomheder, som dermed kan formodes også at have til hensigt at begå svig. Derfor er det nødvendigt at anvende et relativt stort datasæt, som omfatter oplysninger fra både Erhvervsstyrelsen og andre myndigheder, herunder især skattevæsenet. Det vil ligeledes være muligt at sammenholde de til Erhvervsstyrelsen indberettede oplysninger med de til skattevæsenet indberettede oplysninger. Det vil således f.eks. være muligt at opdage, hvis det, der er oplyst i et selskabs årsregnskab, ikke svarer til det, der er indberettet i selskabets selvangivelse til skattevæsenet. Dette vil kunne danne baggrund for, at en sag udtages til manuel behandling. Uanset at det ikke er givet på forhånd, hvilke kriterier der ligger til grund for, at en sag udtages til manuel sagsbehandling, vil det altid være klart, hvilke oplysninger der er tilgået i forbindelse med anvendelsen af machine learning. Det vil være muligt at tilvejebringe en databeskrivelse, såfremt der måtte blive begæret aktindsigt, i henhold til offentlighedslovens § 12.

Erhvervsstyrelsen har forskellige beføjelser, som anvendes ved den manuelle kontrol. Styrelsen kan under visse betingelser nægte registrering, kræve dokumentation og/eller berigtigelse, kræve revision af årsregnskaber og oversende selskaber til tvangsopløsning ved skifteretterne. Det er ikke hensigten med lovforslaget, at resultaterne, som genereres ved machine learning, skal kunne anvendes som en væsentlig del af en afgørelse. En virksomhed, som er udtaget til kontrol på baggrund af resultatet af machine learning, vil først ved den manuelle behandling f.eks. kunne nægtes registrering i Erhvervsstyrelsen efter de nugældende regler herom. Afgørelser i sager, som er udtaget til manuel behandling på baggrund af resultatet af machine learning, vil kunne påklages i samme omfang som hidtil. Det bør imidlertid efter et tidsrum, hvor anvendelsen af machine learning er udviklet og implementeret, evalueres, om de nuværende beføjelser er tilstrækkelige, eller om der bør indføres yderligere sanktionsmuligheder for Erhvervsstyrelsen.

Når anvendelsen af machine learning ved en virksomheds registrering af stiftelsen indikerer, at der er en forhøjet risiko for, at der vil ske svig med moms og afgifter, vil skattevæsenet have mulighed for at behandle sagen manuelt, inden stiftelsen registreres i Erhvervsstyrelsen. Skattevæsenet vil således have mulighed for at tage forholdsregler, førend virksomheden får et CVR-nummer. Der kan eksempelvis være tale om sikkerhedsstillelse, forkortede afregningsperioder m.v. efter skatte- og afgiftslovgivningen.

Som det fremgår af pkt. 3.1.1, er det udgangspunktet, at Erhvervsstyrelsens indsamling og behandling af oplysninger kan ske inden for forvaltningslovens og persondatareguleringens rammer samt inden for rammerne af de særlige bestemmelser om tavshedspligt m.v. på styrelsens områder. Som beskrevet under lovforslagets pkt. 3.1.1.1 har Erhvervsstyrelsen således allerede i dag i et vist omfang mulighed for intern registersamkøring og sammenstilling af oplysninger i kontroløjemed for de oplysninger, som er anmeldt, registreret eller offentliggjort hos Erhvervsstyrelsen.

Der er dog efter de gældende regler generelt ikke mulighed for at koordinere indsatsen med oplysninger, som indeholdes i registre m.v., som føres af andre offentlige myndigheder. Erhvervsstyrelsen har heller ikke klar hjemmel til at indsamle oplysninger fra andre offentlige myndigheders datakilder og registre foruden den almindelige adgang til at indsamle og behandle oplysninger til brug for behandlingen af konkrete sager. Endelig har Erhvervsstyrelsen ikke klar hjemmel til at videregive oplysninger til andre offentlige myndigheder, herunder skattevæsenet, når det er nødvendigt af hensyn til udførelsen af disse myndigheders kontrol- og tilsynsopgaver.

De datakilder og registre fra andre offentlige myndigheder, som Erhvervsstyrelsen indledningsvist vil indsamle oplysninger fra, indeholder oplysninger om fysiske personers indkomst og økonomiske forhold i øvrigt (indkomstregistret, skatteoplysninger (R75-oplysninger) og skattekontoen), oplysninger om hvorvidt fysiske eller juridiske personer har påført eller forsøgt at påføre det offentlige væsentlige tab (KINFO), oplysninger om fysiske eller juridiske personers indberetninger om moms eller afgifter (erhvervssystemet), oplysninger om fysiske eller juridiske personer, der er blevet nægtet registrering, fordi de ikke har stillet den krævede sikkerhed (træskoregistret), oplysninger om juridiske personers selvangivelser, omstruktureringer og underskudsregister (DIAS), og oplysninger om fysiske personer, der ved dom er frataget muligheden for at deltage i ledelsen af en erhvervsvirksomhed uden at hæfte personligt og ubegrænset for virksomhedens forpligtelser (konkurskarantæneregistret).

Erhvervsstyrelsen vil endvidere få mulighed for at indsamle og behandle oplysninger fra offentligt tilgængelige kilder. Denne adgang vil i første omgang blive anvendt til at indsamle oplysninger om kortdata gennem bl.a. Google, som kan anvendes til at verificere udenlandske adresser for virksomheder og personer i forbindelse med registrering.

Lovforslaget giver et klart retligt grundlag for, at Erhvervsstyrelsen kan indsamle og behandle, herunder foretage samkøring af, oplysninger fra andre offentlige myndigheder og fra offentligt tilgængelige kilder, når det er nødvendigt af hensyn til udførelsen af styrelsens opgaver, jf. forslaget til § 1, stk. 1, med tilhørende bemærkninger. Det fremgår af Databeskyttelsesforordningens præambelbetragtning nr. 10, at i forbindelse med behandling af personoplysninger bør medlemsstaterne kunne opretholde eller indføre nationale bestemmelser for yderligere at præcisere anvendelsen af denne forordnings bestemmelser, for at overholde en retlig forpligtelse eller for at udføre en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Det bemærkes, at der ikke af Erhvervsstyrelsen vil blive truffet automatisk afgørelse på baggrund af datasamkøringen, idet sager, hvor der vurderes at være en høj risiko for, at der kan ske overtrædelse af den lovgivning, Erhvervsstyrelsen administrerer, vil blive behandlet manuelt og afgjort efter en konkret vurdering.

Forslaget indebærer endvidere, at styrelsen kan behandle, herunder samkøre, oplysninger, som styrelsen ud over de tilfælde, der er nævnt i lovforslagets § 1, stk. 1, er i besiddelse af, når det er nødvendigt af hensyn til udførelsen af styrelsens kontrol- og tilsynsopgaver, jf. lovforslagets § 1, stk. 2, med tilhørende bemærkninger. Den foreslåede bestemmelse omfatter dermed alle øvrige oplysninger, som styrelsen behandler, herunder følsomme personoplysninger. Hvor lovforslagets § 1, stk. 1, vedrører oplysninger fra andre myndigheder, omhandler forslagets § 1, stk. 2, således de data, som Erhvervsstyrelsen allerede er i besiddelse af. Det kan eksempelvis være oplysninger, som virksomheder har indberettet til Erhvervsstyrelsen som følge af deres indberetningspligter i selskabslovgivningen, eller det kan være kontrolsager, hvor Erhvervsstyrelsen har indsamlet oplysninger fra virksomhederne.

Formålet med den øgede mulighed for at behandle, herunder samkøre oplysninger, som Erhvervsstyrelsen er i besiddelse af, mellem Erhvervsstyrelsens kontrol- og tilsynsområder er navnlig at opnå en øget koordinering mellem disse områder og dermed en mere effektiv kontrol- og tilsynsindsats. Tværgående datadeling og samkøring af data er en vigtig forudsætning herfor. Det skyldes, at overtrædelse på et lovområde (f.eks. revisortilsyn) meget sandsynligt også kan betyde lovovertrædelser på andre lovområder (f.eks. selskabskontrollen). Derudover vil datadeling mellem kontrol- og tilsynsområderne også medføre, at de udarbejdede risikomodeller kan tilpasses og præciseres ud fra et større datagrundlag. Hvidvask- og selskabskontrollen kan f.eks. optimeres ud fra oplysninger, som benyttes i revision- og regnskabskontrollen. Yderligere datagrundlag fra andre områder i Erhvervsstyrelsen vil endvidere give mulighed for en styrket kontrol- og tilsynsindsats.

Forslaget indebærer endvidere, at Erhvervsstyrelsen kan få terminaladgang til nødvendige oplysninger om fysiske eller juridiske personers økonomiske eller erhvervsmæssige forhold i indkomstregistret, jf. § 7 i lov om et indkomstregister, når det er nødvendigt af hensyn til udførelsen af styrelsens opgaver, jf. forslaget til § 1, stk. 3, med tilhørende bemærkninger.

Herudover indebærer forslaget tillige, at Erhvervsstyrelsen kan indsamle og behandle oplysninger, som er nævnt i lovforslagets § 1, stk. 1-3, samt videregive disse oplysninger til andre offentlige myndigheder, når det er nødvendigt af hensyn til udførelsen af disse myndigheders kontrol- og tilsynsopgaver, jf. forslaget til § 1, stk. 4, med tilhørende bemærkninger. Behandling og videregivelse af oplysninger i medfør af lovforslagets § 1, stk. 3, kan alene ske til andre offentlige myndigheder, der har klar lovhjemmel til at anvende disse oplysninger, idet dette er påkrævet i henhold til § 7 i lov om et indkomstregister.

Lovforslaget indebærer endelig, at erhvervsministeren kan fastsætte nærmere regler for Erhvervsstyrelsens indsamling og behandling af oplysninger efter § 1, stk. 1-4, herunder om til hvilke formål og opgaver oplysninger kan indsamles og behandles, til hvilke myndigheder, der kan ske videregivelse, hvornår sletning af oplysninger skal finde sted, og om de tekniske foranstaltninger, der skal iagttages ved behandlingen, jf. lovforslagets § 1, stk. 5, med tilhørende bemærkninger.

Det er Erhvervsministeriets vurdering, at detaljerede regler om Erhvervsstyrelsens behandling af oplysninger mest hensigtsmæssigt fastsættes på bekendtgørelsesniveau, hvorfor der foreslås bemyndigelse hertil i lovforslagets § 1, stk. 5. Baggrunden herfor er at sikre en så konkret og agil regulering som muligt. Samtidig vil det kunne sikres, at der - som det hidtil har været tilfældet i forhold til Erhvervsstyrelsens behandling af oplysninger - løbende vil kunne tages hensyn til og foretages nærmere regulering af nye værktøjer, systemer m.v., som Erhvervsstyrelsen tager i brug inden for de rammer, som lovforslaget etablerer. Endvidere vil det kunne sikres, at de teknologiske muligheder for behandling af store datamængder ledsages af detaljerede regler om behandlingssikkerhed, herunder om adgang til data. Erhvervsstyrelsen vil herudover fastsætte regler om, hvilke myndigheder som styrelsen vil videregive oplysninger til i medfør af lovforslagets § 1, stk. 4.

Det bemærkes, at databeskyttelsesforordningen og databeskyttelseslovens regler om behandlingssikkerhed vil skulle iagttages parallelt med denne lov. Baggrunden for, at det foreslås, at erhvervsministeren bemyndiges til at fastsætte regler om de tekniske og organisatoriske foranstaltninger, der skal iagttages ved behandlingen, er, at lovforslaget giver anledning til behandling af store mængder data, herunder personfølsomme oplysninger, hvorfor der vurderes at være behov for klare regler om behandlingssikkerhed.

Lovforslagets § 1, stk. 5, vil endvidere kunne udnyttes til at skabe et klart retligt grundlag for de indledende tests ved anvendelse af de data, som omfattes af de foreslåede bestemmelser i § 1, stk. 1-4. Formålet er i læringsøjemed at udvikle Erhvervsstyrelsens model, således at denne kan genkende mønstre og tegn på svig på tværs af data. Herved kan identificeres virksomheder med forhøjet risiko for at begå svig med moms og afgifter samt anden økonomisk kriminalitet. Det bemærkes, at de almindelige krav om proportionalitet og dataminimering fortsat gælder ved test af data. Det forudsættes derfor, at adgangen til at anvende test ikke benyttes i et videre omfang, end hvad der er nødvendigt for at sikre, at den efter lovforslaget tilsigtede model vedrørende behandling af data er operationel og virker efter hensigten. Der henvises i øvrigt til lovforslagets § 1, stk. 5, med tilhørende bemærkninger.

3.1.2.1. Forholdet til lovgivningen på Erhvervsstyrelsens område

Lovforslaget berører ikke fremgangsmådelovens regler om at foretage intern registersamkøring og sammenstilling af oplysninger i Erhvervsstyrelsen, jf. fremgangsmådelovens § 4, stk. 1. Lovforslagets § 1, stk. 1-4, giver dog hjemmel til, at fortrolige oplysninger samt oplysninger om andre rent private forhold kan anvendes inden for andre kompetenceområder end det, som oplysningerne umiddelbart er indhentet til brug for. Inden for lovforslagets anvendelsesområde sker der dermed en fravigelse af fremgangsmådelovens § 4, stk. 2.

Lovforslaget fraviger ikke reglerne vedrørende tavshedspligt eller andre nationale og EU-retlige specifikke begrænsninger i behandlingen af oplysninger. Behandling og videregivelse af oplysninger omfattet af reglerne i særlige tavshedspligtsbestemmelser overholdes og administreres efter de betingelser, som følger af de enkelte tavshedspligtsbestemmelser. Der henvises nærmere til lovforslagets pkt. 3.1.1.1.

3.1.2.2. Forholdet til forvaltningsloven

Med lovforslaget skabes der hjemmel til, at oplysninger, herunder oplysninger af fortrolig karakter, kan indsamles af Erhvervsstyrelsen, når det er nødvendigt af hensyn til udførelsen af styrelsens opgaver, jf. lovforslagets § 1, stk. 1. Det gælder både i sager, som rejses på Erhvervsstyrelsens initiativ, og i ansøgningssager.

Lovforslaget giver endvidere hjemmel til, at Erhvervsstyrelsen kan videregive oplysninger, som omfattes af lovforslagets § 1, stk. 1-3, til andre offentlige myndigheder, når det er nødvendigt af hensyn til udførelsen af disse myndigheders kontrol- og tilsynsopgaver, jf. lovforslagets § 1, stk. 4.

De foreslåede bestemmelser giver hjemmel til videregivelse af oplysninger til andre myndigheder. Derved vil et samtykke til videregivelse af oplysningerne efter forvaltningslovens § 28, stk. 2, nr. 1, og § 29, stk. 2, nr. 1, ikke være nødvendigt. Det bemærkes, at lovforslaget ikke sigter til at ændre på det grundlæggende kriterium om, at anvendelse af oplysninger, herunder personoplysninger, kræver et sagligt formål, og at behandlingen ikke skal være mere omfattende, end forholdet tilsiger.

3.1.2.3. Forholdet til databeskyttelsesforordningen og databeskyttelsesloven

Lovforslaget har til formål at skabe en klar hjemmel til at indsamle og behandle oplysninger, herunder få terminaladgang til indkomstregistret, foretage samkøring og videregivelse af oplysninger, både for så vidt angår styrelsens egne oplysninger, oplysninger fra andre offentlige myndigheder og offentligt tilgængelige kilder.

Lovforslaget giver endvidere hjemmel til, at personoplysninger kan indsamles og behandles af Erhvervsstyrelsen med henblik på læring og opbygning af en machine learning-model.

De oplysninger, som behandles efter lovforslaget, har i vidt omfang karakter af oplysninger, som virksomheder er pligtige til at indberette i medfør af eksempelvis selskabsloven, lov om visse erhvervsdrivende virksomheder og årsregnskabsloven. Lovforslaget omfatter imidlertid også oplysninger om personer, som har tilknytning til de pågældende virksomheder. En del af de omhandlede oplysninger, der er nødvendige at inddrage i forbindelse med machine learning-modellen, er derfor personoplysninger omfattet af databeskyttelsesforordningen og databeskyttelsesloven. Inddragelsen af disse er nødvendige, idet det øger sandsynligheden for at identificere mønstre og tegn på, at lovgivningen ikke bliver overholdt.

I forhold til samkøring vil gennemførelsen af lovforslaget sikre, at der er et klart og sikkert retsgrundlag, idet det dog bemærkes, at databeskyttelsesforordningen ikke indeholder et udtrykkeligt krav om, at der skal være en direkte lovhjemmel til samkøring. Der henvises i øvrigt til lovforslagets pkt. 3.1.2. Herved bemærkes, at databeskyttelsesforordningen heller ikke fastsætter krav om, at myndighedens tilladelse skal indhentes, når der foretages samkøring af oplysninger, eller at der skal gives information til den registrerede, inden samkøringen foretages. Efter databeskyttelsesforordningen vil samkøring således skulle leve op til de almindelige principper for og regler om behandling. Da samkøring per definition vil være en indgribende behandlingssituation, vil forordningens artikel 5 om principper for behandling af personoplysninger, herunder proportionalitetsprincippet, være særligt relevant. I den forbindelse bemærkes det, at antallet af sagsbehandlere, der vil blive beskæftiget med samkøring i kontroløjemed, bliver begrænset mest muligt. Der henvises om samkøring til Justitsministeriets betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 86-87 og side 96-97.

De behandlinger af personoplysninger, som foretages hos Erhvervsstyrelsen efter lovforslaget, skal leve op til de regler, som er fastlagt i databeskyttelsesforordningen og databeskyttelsesloven. Lovforslaget indebærer således ikke nogen fravigelse af databeskyttelsesforordningen eller databeskyttelsesloven, jf. dog nedenstående afsnit.

Erhvervsministeren vil i medfør af lovforslagets § 1, stk. 5, og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte nærmere regler om, at Erhvervsstyrelsen må behandle personoplysninger til andre formål, end de formål, hvortil oplysningerne oprindeligt var indsamlet, uafhængigt af, om der er forenelighed mellem disse formål, og det formål, som de anvendes til ved styrelsens læring og udvikling af modeller. Det indebærer konkret, at Erhvervsstyrelsen får adgang til at udnytte og foretage læring og test med de data, som omfattes af de foreslåede bestemmelser i § 1, stk. 1-4, samt udnytte disse til konkret sagsbehandling. Det fremgår af Justitsministeriets betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 158, at en sådan fremgangsmåde, hvorefter der i lovgivningen foretages fravigelser af forordningen, er i overensstemmelse med databeskyttelsesforordningen, såfremt fravigelsen opfylder de krav, som er fastlagt i forordningens artikel 23.

Det følger således af forordningens artikel 23, at en medlemsstats nationale ret kan begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i bl.a. artikel 5, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til bl.a. kontrol-, tilsyns- eller reguleringsfunktioner, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a)-e) og g). Det omfatter bl.a. en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder budget- og skatteanliggender.

Formålet med begrænsningen af formålsbestemthedsprincippet er i læringsøjemed at udvikle Erhvervsstyrelsens anvendelse af en machine learning-model, således at denne kan genkende mønstre og tegn på svig på tværs af data. Herved kan virksomheder med forhøjet risiko for at begå svig med moms og afgifter samt anden økonomisk kriminalitet identificeres. Det bemærkes, at de almindelige krav om proportionalitet og dataminimering fortsat gælder ved test af data. Adgangen til at anvende oplysninger til læring og test samt udnyttelse af modelresultaterne vil således ikke kunne benyttes i et videre omfang, end hvad der er nødvendigt for at sikre, at den efter lovforslaget tilsigtede model vedrørende deling og samkøring af data er operationel og virker efter hensigten. Uanset, at der foretages en begrænsning af formålsbestemthedsprincippet i henhold til databeskyttelsesforordningens artikel 23, respekterer begrænsningen det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder efter databeskyttelsesforordningens artikel 5, og fravigelsen hviler på væsentlige samfundsmæssige hensyn til kontrol og misbrugsbekæmpelse på bl.a. skatteområdet. Udviklingen af machine learning-modellen er en nødvendig forudsætning for, at lovforslagets ordning kan udmøntes i praksis. Begrænsningen af formålsbestemthedsprincippet relaterer sig udelukkende til de teknisk nødvendige tiltag forud for ibrugtagningen af machine learning-modellen. Forudgående udvikling af modellen indebærer i øvrigt, at modellens træfsikkerhed øges, hvilket får betydning for, hvilke sager der udtages til manuel behandling af Erhvervsstyrelsen eller skattevæsenet. Dermed kan det sikres, at den manuelle behandling af oplysninger, som foretages af fysiske sagsbehandlere, fokuseres på de virksomheder, som med høj sandsynlighed har til hensigt at begå svig.

Begrænsningen af formålsbestemthedsprincippet vurderes på denne baggrund at være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til Erhvervsstyrelsens og andre offentlige myndigheders, herunder skattevæsenets, kontrol-, tilsyns- og reguleringsfunktioner. Disse funktioner er en central del af den offentlige myndighedsudøvelse og har tilknytning til bl.a. væsentlige økonomiske og finansielle interesser. Begrænsningen af formålsbestemthedsprincippet vurderes således i denne henseende at opfylde kravene til fravigelser i databeskyttelsesforordningens artikel 23. Det bemærkes, at det ved fastsættelsen af regler efter bestemmelsen skal vurderes, om betingelserne i databeskyttelsesforordningens artikel 23 er opfyldt. Minimumskravene i artikel 23, stk. 2, skal således være opfyldt, for at formålsbestemthedsprincippet kan fraviges.

Efter lovforslagets § 1, stk. 5, fastsætter erhvervsministeren nærmere regler for Erhvervsstyrelsens indsamling, videregivelse og anden behandling af oplysninger efter stk. 1-4, herunder om hvornår og til hvilke formål og opgaver oplysninger kan indsamles og behandles, til hvilke myndigheder, der kan ske videregivelse, hvornår sletning af oplysninger skal finde sted, og om de tekniske og organisatoriske foranstaltninger, der skal iagttages ved behandlingen. Det forudsættes, at denne bemyndigelse kan bruges til at fravige formålsbestemthedsprincippet i databeskyttelsesforordningens artikel 5, og at denne fremgangsmåde er forenelig med forordningens artikel 23. Bemyndigelsen skal således opfylde kravene i forordningens artikel 23, stk. 2, som fastslår, at enhver lovgivningsmæssig foranstaltning, der begrænser bl.a. formålsbestemthedsprincippet, som minimum, hvor det er relevant, navnlig skal indeholde specifikke bestemmelser vedrørende: a) formålene med behandlingen eller kategorierne af behandling, b) kategorierne af personoplysninger, c) rækkevidden af de indførte begrænsninger, g) garantierne for at undgå misbrug eller ulovlig adgang eller overførsel, e) specifikation af den dataansvarlige eller kategorierne af dataansvarlige, f) opbevaringsperioder og de gældende garantier under hensyntagen til behandlingens karakter, omfang og formål eller kategorier af behandling, g) risiciene for de registreredes rettigheder og frihedsrettigheder, og h) de registreredes ret til at blive underrettet om begrænsningen, medmindre dette kan skade formålet med begrænsningen. Der henvises nærmere til lovforslaget pkt. 3.1.2.2 samt bemærkningerne til § 1, stk. 5.

Bemyndigelsesbestemmelsen i lovforslagets § 1, stk. 5, vil således kunne anvendes til at fravige formålsbestemthedsprincippet, hvilket vil ske i relation til i læringsøjemed at udvikle modeller m.v., der kan genkende mønstre og tegn på svig på tværs af data. Der foretages ikke øvrige begrænsninger i de registreredes rettigheder. Da der ikke i øvrigt foretages nogen fravigelse af databeskyttelsesforordningen og databeskyttelsesloven, skal spørgsmålet om underretning og indsigt i data m.v. derfor afgøres efter de almindelige regler i databeskyttelsesforordningen og databeskyttelsesloven. Der henvises i øvrigt til lovforslagets § 1, stk. 5, med tilhørende bemærkninger. I forhold til databeskyttelsesforordningens regulering af profilering, bliver der ikke med lovforslaget taget stilling til den administrative anvendelse og betydning af de dataanalyser, som er et resultat af den læring og modelvikling, som de foreslåede bestemmelser har til hensigt at skabe hjemmel til at foretage. Databeskyttelsesforordningens artikel 22 fastslår, at personer har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende. I forbindelse med anvendelsen af udviklede modeller vil reglerne i forordningens artikel 22 skulle iagttages. Inden for rammerne af de foreslåede bestemmelser vil det blive sikret, at der anvendes passende matematiske eller statistiske procedurer til profileringen. Der vil endvidere blive gennemført tekniske og organisatoriske foranstaltninger, der navnlig kan sikre, at faktorer, der resulterer i unøjagtige personoplysninger, bliver rettet, og at risikoen for fejl minimeres. Foranstaltningerne skal tillige sikre personoplysninger på en måde, der tager højde for de potentielle risici for den registreredes interesser og rettigheder, og som hindrer bl.a. forskelsbehandling af fysiske personer på grund af race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetisk status eller helbredstilstand eller seksuel orientering, eller som resulterer i foranstaltninger, der har en sådan virkning.

3.1.2.4. Forholdet til den Europæiske Menneskerettighedskonvention

Den behandling af personoplysninger, som lovforslaget omfatter, vil kunne udgøre et indgreb i retten til respekt for privatliv, jf. EMRK artikel 8, stk. 1. Et sådant indgreb vil alene kunne retfærdiggøres efter EMRK artikel 8, stk. 2, hvis indgrebet er foreskrevet ved lov, hvis det varetager et eller flere anerkendelsesværdige formål, og hvis det er nødvendigt i et demokratisk samfund for at opnå det eller de anførte formål (krav om proportionalitet).

Lovforslaget har bl.a. til formål at styrke Erhvervsstyrelsens og andre offentlige myndigheders, herunder skattevæsenets, kontrol og tilsyn, således at svig med moms og afgifter og anden økonomisk kriminalitet hindres, hvilket vurderes at være et anerkendelsesværdigt formål.

Lovforslaget varetager hensyn, som efter Erhvervsministeriets opfattelse må anses for nødvendige i et demokratisk samfund. Ministeriet har herved bl.a. lagt vægt på, at samkøring og anden behandling af oplysninger, herunder personoplysninger, er en naturlig og grundlæggende forudsætning for Erhvervsstyrelsens og andre offentlige myndigheders, herunder skattevæsenets, bekæmpelse af svig og økonomisk kriminalitet under anvendelse af større og større datamængder.

Erhvervsministeriet finder på den baggrund, at lovforslaget kan gennemføres inden for rammerne af Danmarks forpligtelser efter EMRK. Ved udstedelse af bekendtgørelser efter bemyndigelsen i § 1, stk. 5, skal det sikres, at de formål og hensyn, som den konkrete dataanvendelse skal varetage, er nødvendige og står i rimeligt forhold til den involverede behandling af de registreredes oplysninger.

4. Økonomiske og administrative konsekvenser for det offentlige

Lovforslaget medfører betydelige administrative konsekvenser, da det kræver ressourcer til implementering af datadrevet kontrol, til efterbehandling og til en indsats vedrørende datakvalitet. I henhold til aftale om styrket kontrol og vejledning er der afsat 20 mio. kr. årligt i perioden 2018-2021 til styrket kontrol ved virksomhedsregistreringen i Erhvervsstyrelsen.

Den foreslåede model indebærer øget manuel sagsbehandling for den del af virksomhedsregistreringerne, hvor der er risiko for svig med moms og afgifter eller anden økonomisk kriminalitet. Det vil endvidere medføre øget manuel kontrol og tilsyn efterfølgende inden for Erhvervsstyrelsens og andre offentlige myndigheders kontrol- og tilsynsområder.

Lovforslaget identificerer ikke specifikke data til deling, og der er dermed ikke direkte, konkrete økonomiske konsekvenser for skattevæsenet forbundet med lovforslaget. Det vurderes dog, at udmøntningen af lovforslaget vil have mindre økonomiske og administrative konsekvenser for skattevæsenet, som det ikke på nuværende tidspunkt er muligt at lave et skøn over.

5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.

Lovforslaget vurderes ikke at have økonomiske og administrative konsekvenser for erhvervslivet.

6. Administrative konsekvenser for borgerne

Lovforslaget vurderes ikke at have administrative konsekvenser for borgerne.

7. Miljømæssige konsekvenser

Lovforslaget har ingen miljømæssige konsekvenser.

8. Forholdet til EU-retten

Lovforslaget indeholder ikke EU-retlige aspekter.

9. Hørte myndigheder og organisationer m.v.

Et udkast til lovforslag har i perioden fra den 13. november 2017 til den 11. december 2017 været sendt i høring hos følgende myndigheder og organisationer mv.: Advokatsamfundet/Advokatrådet, AgroSkat ApS, Akademikernes Centralorganisation, Arbejderbevægelsens Erhvervsråd, Arbejdsmarkedets Tillægs Pension (ATP), Arbejdsmarkedsstyrelsen, Bryggeriforeningen, Børsmæglerforeningen, Centralorganisationens Fællesudvalg, CEPOS - Center for Politiske Studier, Copenhagen Business School, Danish Venture Capital and Private Equity Association, Danmarks Nationalbank, Danmarks Rederiforening, Danmarks Skibskredit A/S, Danmarks Statistik, Dansk Aktionærforening, Dansk Arbejdsgiverforening, Dansk Erhverv, Dansk Industri, Dansk Investor Relations Forening - DIRF, Dansk Iværksætterforening, Dansk Landbrugsrådgivning - Videncenteret for Landbrug, Dansk Told- og Skatteforbund - DTS, Danske Advokater, Danske Regioner, Datatilsynet, De Samvirkende Købmænd, Den Danske Dommerforening, Den Danske Finansanalytikerforening, Den Danske Fondsmæglerforening, Det Kooperative Fællesforbund, Det Nationale Netværk af Virksomhedsledere, Det Økonomiske Råds Sekretariat, Digitaliseringsstyrelsen, Domstolsstyrelsen, Erhvervsstyrelsens Team Effektiv Regulering (TER), Finansforbundet, Finansrådet, Finanssektorens Arbejdsgiverforening, First North, Foreningen af J. A. K. Pengeinstitutter, Foreningen Danske Revisorer, Foreningen Freelance Bogholdere, Forsikring & Pension, FSR - Danske Revisorer, Grønlands Selvstyre, Håndværksrådet, IBIS - International Bistand, International Solidaritet Oxfam, Ingeniørforeningen i Danmark, Komiteen for god Selskabsledelse, Kommunekredit, KL, Kuratorforeningen, Københavns Universitet, Landbrug og Fødevarer, Landsdækkende Banker, Landsorganisationen i Danmark, Ledernes Hovedorganisation, Liberale Erhvervs Råd, Lokale Pengeinstitutter, NASDAQ OMX Copenhagen A/S, Realkreditforeningen, Revisornævnet, Rigsadvokaten, Rigsombuddet på Færøerne, Rigsrevisionen, Roskilde Universitetscenter, SKAT, Skattefaglig forening - SRF, Skatterevisorforeningen, Statsadvokaturen for særlig økonomisk kriminalitet, Syddansk Universitet, Aalborg Universitet og Aarhus Universitet.

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Den foreslåede § 1 har til formål at etablere et klart retligt grundlag for, at Erhvervsstyrelsen kan indsamle og behandle en række oplysninger i form af deling og samkøring af data, når det er nødvendigt af hensyn til udførelsen af Erhvervsstyrelsens opgaver.

Det er ikke hensigten med bestemmelsen at fravige tavshedspligtsbestemmelser m.v. på Erhvervsstyrelsens områder, og disse vil derfor fortsat skulle overholdes ved udnyttelse af oplysninger til deling og samkøring af data efter den foreslåede bestemmelse.

Efter det foreslåede stk. 1 kan Erhvervsstyrelsen indsamle og behandle, herunder foretage samkøring af, oplysninger fra andre offentlige myndigheder og fra offentligt tilgængelige kilder, når det er nødvendigt af hensyn til udførelsen af styrelsens opgaver. Dette omfatter både almindelige, fortrolige og følsomme oplysninger.

Oplysningerne, som indsamles og behandles efter bestemmelsen, vil i første række være oplysninger om fysiske personers indkomst og økonomiske forhold i øvrigt (indkomstregistret, skatteoplysninger (R75) og skattekontoen), oplysninger om hvorvidt fysiske eller juridiske personer har påført eller forsøgt at påføre det offentlige væsentlige tab (KINFO), oplysninger om moms eller afgifter (erhvervssystemet), oplysninger om fysiske eller juridiske personer, der er blevet nægtet registrering, fordi de ikke har stillet den krævede sikkerhed (træskoregistret), oplysninger om juridiske personers selvangivelser, omstruktureringer og underskudsregister (DIAS), og oplysninger om fysiske personer, der ved dom er frataget muligheden for at deltage i ledelsen af en erhvervsvirksomhed uden at hæfte personligt og ubegrænset for virksomhedens forpligtelser (konkurskarantæneregistret).

Der vil kunne indsamles og behandles offentligt tilgængelige oplysninger, herunder fra søgemaskiner som f.eks. Google, kortdata og adresseoplysninger m.v. Indsamlingen og behandlingen, herunder samkøringen, efter den foreslåede stk. 1 vil navnlig blive brugt til at styrke kontrol ved virksomhedsregistrering hos Erhvervsstyrelsen.

Det er Erhvervsstyrelsens vurdering, at der bør fastsættes en udtrykkelig hjemmel til at indsamle og behandle oplysninger fra offentligt tilgængelige kilder, henset til den øgede brug af oplysninger fra offentligt tilgængelige kilder sammenholdt med den øgede digitalisering og de stigende datamængder fra offentligt tilgængelige kilder. Lovforslaget indebærer ikke en udvidet adgang til at indsamle oplysninger fra offentligt tilgængelige kilder, men sikrer alene et klart hjemmelsgrundlag for Erhvervsstyrelsens indsamling og behandling af oplysninger fra offentligt tilgængelige kilder. I forbindelse med beslutningen om, hvilke offentligt tilgængelige oplysninger, som Erhvervsstyrelsen vil indsamle og behandle, vil Erhvervsstyrelsen foretage en vurdering af, hvorvidt det er sagligt og proportionalt at indsamle og behandle den pågældende type oplysning. Derved sikres det, at den pågældende type oplysning alene indsamles og behandles, såfremt det er nødvendigt og ikke går videre, end hvad formålet tilsiger.

Udtrykket »samkøring« er en fælles betegnelse for forskellige tekniske løsninger, som vedrører sammenkobling af oplysninger, der kommer fra forskellige registre. Under samkøring hører maskinelle overførsler, hvorved et register tilføres oplysninger fra et andet register, således at det modtagende register udvides med disse oplysninger. Til begrebet samkøring henregnes endvidere maskinelle sammenstillinger af oplysninger fra forskellige registre, hvorved der dannes et nyt »uddata-produkt«, f.eks. et nyt register.

Begrebet »offentligt tilgængelige kilder« skal forstås bredt og omfatter således både personoplysninger og andre oplysninger fra enhver offentligt tilgængelig kilde, herunder enhver informationskilde af både elektronisk og ikke-elektronisk karakter, som inden for rammerne af gældende ret kan tilgås i det offentlige rum. Oplysninger og kilder, der er tilgængelige på almindelige kommercielle vilkår, f.eks. gennem betaling af abonnement eller andre former for betalingstjenester, anses tillige som offentligt tilgængelige.

Med »nødvendigt af hensyn til udførelsen af styrelsens opgaver« sigtes til, at der ikke ændres på det grundlæggende kriterium om, at anvendelse af oplysninger, herunder personoplysninger, kræver et sagligt formål, og at behandlingen ikke må være mere omfattende, end forholdet tilsiger. Der er ikke tilsigtet nogen fravigelse af databeskyttelsesforordningen eller databeskyttelseslovens regler i den forbindelse.

Erhvervsstyrelsens indsamling og behandling af oplysninger fra andre offentlige myndigheder og offentligt tilgængelig kilder vil omfatte oplysninger, som er offentliggjort, eller som andre myndigheder er i besiddelse af forud for ikrafttræden. Oplysningerne vil således kunne vedrøre forhold fra tidligere end nærværende lovs ikrafttræden.

Efter det foreslåede stk. 2 kan Erhvervsstyrelsen behandle, herunder samkøre, oplysninger, som styrelsen ud over de tilfælde, der er nævnt i lovforslagets § 1, stk. 1, er i besiddelse af, når det er nødvendigt af hensyn til udførelsen af styrelsens kontrol- og tilsynsopgaver. Den foreslåede bestemmelse omfatter dermed alle øvrige oplysninger, som styrelsen er i besiddelse af. Det kan eksempelvis være oplysninger, som virksomheder har indberettet til Erhvervsstyrelsen, som følge af deres indberetningspligter i selskabslovgivningen, eller det kan være kontrolsager, hvor Erhvervsstyrelsen har indsamlet oplysninger fra virksomhederne. Reglen vil blive anvendt til at udnytte Erhvervsstyrelsens eksisterende oplysninger til at styrke Erhvervsstyrelsens kontrol- og tilsynsfunktioner også på tværs af styrelsens områder. Det vurderes primært at være nødvendigt, at anvende oplysningerne inden for styrelsens kontrol- og tilsynsområder, hvorfor bestemmelsen er begrænset hertil.

Det foreslåede stk. 2 fraviger inden for bestemmelsens anvendelsesområde fremgangsmådelovens § 4, stk. 2, jf. pkt. 3.1.1.1, som foreskriver, at fortrolige og følsomme oplysninger samt oplysninger om andre rent private forhold udelukkende kan anvendes inden for samme kompetenceområder, som oplysningerne er indhentet til brug for. Hvor den foreslåede stk. 2 ikke finder anvendelse, herunder ved behandling af oplysninger til andre formål end Erhvervsstyrelsens kontrol- og tilsynsopgaver, vil fremgangsmådelovens § 4, stk. 2, fortsat i givet fald skulle overholdes.

Det foreslås i bestemmelsens stk. 3, at Erhvervsstyrelsen til brug for udførelsen af styrelsens opgaver kan få terminaladgang til alle nødvendige oplysninger om fysiske eller juridiske personers økonomiske eller erhvervsmæssige forhold i indkomstregistret, jf. § 7 i lov om et indkomstregister. Ved »terminaladgang« menes en direkte elektronisk adgang til at indsamle oplysninger fra det pågældende register. Der er alene adgang til oplysninger i indkomstregisteret i det omfang, det efter en konkret vurdering er nødvendigt og sagligt. Det foreslåede stk. 3 har til formål at tilvejebringe klar hjemmel til at anvende registret til sammenstilling og samkøring af oplysninger.

Oplysninger, som er indsamlet efter lovforslagets § 1, stk. 3, kan alene behandles, såfremt der er udtrykkelig lovhjemmel hertil, jf. § 7 i lov om et indkomstregister, og kan derfor kun videregives til andre offentlige myndigheder, som også har udtrykkelig hjemmel i lov til at anvende disse oplysninger.

Det foreslås i bestemmelsens stk. 4, at Erhvervsstyrelsen kan indsamle og behandle oplysninger, som omfattes af stk. 1-3, samt videregive disse oplysninger til andre offentlige myndigheder, når det er nødvendigt for deres myndighedsudøvelse i kontrol- og tilsynsøjemed.

Det vurderes primært at være nødvendigt at behandle, herunder indsamle og videregive oplysningerne til andre offentlige myndigheder, når dette sker til brug for deres kontrol- og tilsynsområder, hvorfor bestemmelsen er begrænset hertil.

Kontrol- og tilsynsopgaver i bestemmelsens forstand omfatter også politiets opgaver i forbindelse med forebyggelse, efterforskning og forfølgning mv. af strafbare forhold. Det bemærkes, at Erhvervsstyrelsens videregivelse af oplysninger til politiet med henblik på at oplysningerne danner grundlag for, eller inddrages i, en verserende efterforskning af et strafbart forhold, efter gældende ret kan finde sted, selv når der alene er tale om antagelser eller mistanker og uanset det konkrete strafbare forholds strafværdighed.

De kontrolresultater, som andre offentlige myndigheder, herunder skattevæsenet, opnår som følge af de oplysninger, der videregives fra Erhvervsstyrelsen i medfør af lovforslagets stk. 4, kan have betydning for Erhvervsstyrelsens fremadrettede vurdering af risikoen for, om virksomheder m.v. vil begå svig og anden økonomisk kriminalitet omfattet af andre offentlige myndigheders lovgivning, herunder skatte- og afgiftslovgivningen. Adgangen til at indsamle og behandle oplysninger efter lovforslagets stk. 1 og 4 omfatter derfor også andre offentlige myndigheders, herunder skattevæsenets, kontrolresultater, som er dannet på grundlag af Erhvervsstyrelsens videregivelse af oplysninger til disse andre offentlige myndigheder. Det vil i bekendtgørelse udstedt i medfør af lovforslagets § 1, stk. 5, blive fastsat, til hvilke andre offentlige myndigheder Erhvervsstyrelsen kan videregive oplysninger.

Det foreslåede stk. 4 har til formål at give Erhvervsstyrelsen et klart retsgrundlag for, at styrelsen af egen drift kan videregive oplysninger til andre offentlige myndigheder, som ved brug af machine learning vurderes at være af væsentlig betydning for disse myndigheders kontrol- og tilsynsopgaver. Vurderingen af, hvilke oplysninger som vil være af væsentlig betydning for andre offentlige myndigheders kontrol- og tilsynsopgaver, foretages på grundlag af på forhånd fastsatte kriterier. Dette kan f.eks. i relation til videregivelse til skattevæsenet være tilfælde, hvor machine learning-modellen vurderer, at der er høj risiko for, at en virksomhed vil begå svig eller anden økonomisk kriminalitet. Erhvervsstyrelsen tager stilling til, om kriterierne er opfyldte, således at de dels sikrer, at videregivelse af oplysninger tjener et sagligt formål, og dels at oplysningerne er begrænsede til, hvad der er nødvendigt i forhold til den modtagende myndigheds kontrol- og tilsynsopgaver.

Det bemærkes, at der med den foreslåede bestemmelse ikke er tilsigtet nogen ændring af andre offentlige myndigheders adgang til efter anmodning at få udleveret de oplysninger, som styrelsen er kommet i besiddelse af, herunder oplysninger indsamlet i medfør af lovforslagets stk. 1-3. Der er med den foreslåede bestemmelse endvidere ikke tilsigtet nogen ændring af, i hvilket omfang styrelsen på baggrund af en konkret vurdering kan videregive oplysninger til andre offentlige myndigheder. Disse spørgsmål afgøres efter de almindelige regler om videregivelse af oplysninger mellem offentlige myndigheder, herunder de regler, som er fastlagt i databeskyttelsesloven, databeskyttelsesforordningen og forvaltningsloven. Derudover kan oplysninger i medfør af lovforslagets § 1, stk. 4, alene videregives til andre offentlige myndigheder, som har hjemmel til at anvende disse. Dette medfører ikke et krav om eksplicit lovhjemmel i alle tilfælde, men kan konkret gøre det i forhold til bestemte oplysninger f.eks. oplysninger om konkurskarantæne, hvor der er krav om hjemmel i lov eller bekendtgørelse.

Der foreslås i bestemmelsens stk. 5 indsat hjemmel for erhvervsministeren til at fastsætte nærmere regler for Erhvervsstyrelsens indsamling, behandling og videregivelse af oplysninger, herunder om hvornår og til hvilke formål oplysninger kan indsamles og behandles, hvornår sletning af oplysninger skal finde sted, hvilke myndigheder Erhvervsstyrelsen kan videregive oplysninger til og om de tekniske og organisatoriske foranstaltninger, der skal iagttages ved behandlingen. Ved fastsættelsen af disse regler vil de involverede offentlige myndigheder blive inddraget.

Adgangen til at fastsætte regler skal ske inden for rammerne af arkivlovens regler om bevaring og kassation af offentlige arkivalier m.v., samt anden lovgivning, som indeholder krav til opbevaring og sletning. Ved sletning forstås i overensstemmelse hermed arkivering og kassation af de omfattede oplysninger.

Bestemmelsen indebærer herudover, at erhvervsministeren skal fastsætte regler, som sikrer et passende beskyttelsesniveau i forbindelse med Erhvervsstyrelsens gennemførelse af behandling i tillæg til de almindelige regler i databeskyttelsesforordningen.

Som nævnt i pkt. 3.1.2 og 3.1.2.3 i de almindelige bemærkninger vil erhvervsministeren i medfør af lovforslagets stk. 5 og inden for rammerne af databeskyttelsesforordningens artikel 23 fastsætte nærmere regler om, at Erhvervsstyrelsen må viderebehandle personoplysninger til andre formål, end de oprindeligt var indsamlet til, uafhængigt af formålenes forenelighed (formålsbestemthedsprincippet).

Ved udnyttelsen af bemyndigelsen skal kravene i forordningens artikel 23, stk. 2, være opfyldt, hvilket medfører, at der ved Erhvervsstyrelsens udstedelse af en bekendtgørelse, der begrænser bl.a. formålsbestemthedsprincippet, som minimum, hvor det er relevant, navnlig skal indeholde specifikke bestemmelser vedrørende de i artikel 23, stk. 2, påkrævede bestemmelser.

Begrænsningen af formålsbestemthedsprincippet indebærer konkret, at Erhvervsstyrelsen får adgang til at foretage test med de data, som omfattes af de foreslåede bestemmelser i stk. 1-4. Det fremgår af Justitsministeriets betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 158, at en sådan fremgangsmåde, hvorefter der i lovgivningen foretages fravigelser af forordningen, er i overensstemmelse med databeskyttelsesforordningen, såfremt fravigelsen opfylder de krav, som er fastlagt i forordningens artikel 23.

Begrænsningen af formålsbestemthedsprincippet vurderes at være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til Erhvervsstyrelsen og andre offentlige myndigheders, herunder skattevæsenets, kontrol-, tilsyns- og reguleringsfunktioner, der udgør offentlig myndighedsudøvelse.

Formålet er bl.a. at sikre det lovgivningsmæssige grundlag for, at der i læringsøjemed kan udvikles modeller m.v., der kan genkende mønstre og tegn på svig på tværs af data. Det bemærkes, at de almindelige krav om proportionalitet og dataminimering fortsat gælder ved anvendelse af data. Det forudsættes derfor at adgangen til at fastsætte regler om, at der kan anvendes oplysninger til læringsformål for modeludviklingen ikke benyttes i et videre omfang, end hvad der er nødvendigt for at sikre, at den efter lovforslaget tilsigtede model vedrørende samkøring af data er operationel og virker efter hensigten.

Den foreslåede bestemmelse i stk. 5 kan alene anvendes til at fravige formålsbestemthedsprincippet i relation til behandling af oplysninger i henhold til stk. 1-4. Det skal vurderes konkret, om fravigelser, der fastsættes i medfør af bestemmelsen, lever op til databeskyttelsesforordningens artikel 23.

Der foretages ikke i øvrigt fravigelse af reglerne i databeskyttelsesforordningen, herunder de registreredes rettigheder. Spørgsmålet om underretning og indsigt i data m.v., som behandles i medfør af stk. 1-4, skal derfor afgøres efter de almindelige regler i databeskyttelsesforordningen og databeskyttelsesloven.

Der henvises i øvrigt til pkt. 3.1.2 og 3.1.2.3 i lovforslagets almindelige bemærkninger.

Til § 2

Det foreslås i § 2, at loven træder i kraft den 1. juli 2018.

Erhvervsstyrelsens indsamling og behandling af oplysninger fra andre offentlige myndigheder og offentligt tilgængelig kilder vil omfatte oplysninger, som er offentliggjort, eller som andre myndigheder er i besiddelse af forud for ikrafttræden. Oplysningerne vil således kunne vedrøre forhold fra tidligere end nærværende lovs ikrafttræden.

Til § 3

Bestemmelsen vedrører lovens territoriale gyldighed.

Persondataloven gælder ikke for Færøerne, jf. persondatalovens § 83, 1. pkt., men er dog sat i kraft i medfør af denne bestemmelse ved kongelig anordning nr. 754 af 19. juni 2017 for behandling af personoplysninger for rigsmyndighederne på Færøerne. Persondatalovens kapitel 6 a er imidlertid ikke sat i kraft for Færøerne. For andre end rigsmyndighederne gælder på Færøerne i stedet lagtingslov nr. 73 af 8. maj 2001 om behandling af personoplysninger med senere ændringer.

Det foreslås, at loven ikke skal gælde for Færøerne, men at loven delvis skal kunne sættes i kraft for rigsmyndighederne på Færøerne med de afvigelser, som de færøske forhold tilsiger.

Persondataloven gælder endvidere ikke for Grønland, jf. persondatalovens § 83, 2. pkt., men er sat i kraft for Grønland ved kongelig anordning nr. 1238 af 14. oktober 2016. Persondatalovens kapitel 6 a er imidlertid ikke sat i kraft for Grønland.

Det foreslås, at loven ved kongelig anordning kan sættes i kraft for Grønland - og ikke blot for rigsmyndighederne - med de afvigelser, som de grønlandske forhold tilsiger.