Fremsat den 21. februar 2018 af erhvervsministeren (Brian Mikkelsen)

Fremsat den 21. februar 2018 af erhvervsministeren (Brian Mikkelsen)
Forslag
til
Lov om Erhvervsstyrelsens behandling af data
§ 1. Erhvervsstyrelsen kan indsamle og behandle, herun-
der foretage samkøring af, oplysninger fra andre offentlige
myndigheder og fra offentligt tilgængelige kilder, når det er
nødvendigt af hensyn til udførelsen af styrelsens opgaver.
Stk. 2. Erhvervsstyrelsen kan behandle, herunder samkø-
re, oplysninger, som styrelsen ud over de tilfælde, der er
nævnt i stk. 1, er i besiddelse af, når det er nødvendigt af
hensyn til udførelsen af styrelsens kontrol- og tilsynsopga-
ver.
Stk. 3. Erhvervsstyrelsen kan få terminaladgang til nød-
vendige oplysninger om fysiske eller juridiske personers
økonomiske eller erhvervsmæssige forhold i indkomstregis-
tret, jf. § 7 i lov om et indkomstregister, når det er nødven-
digt af hensyn til udførelsen af styrelsens opgaver.
Stk. 4. Erhvervsstyrelsen kan indsamle og behandle oplys-
ninger, som omfattes af stk. 1-3, samt videregive disse op-
lysninger til andre offentlige myndigheder, når det er nød-
vendigt af hensyn til udførelsen af disse myndigheders kon-
trol- og tilsynsopgaver.
Stk. 5. Erhvervsministeren fastsætter nærmere regler for
Erhvervsstyrelsens indsamling, videregivelse og anden be-
handling af oplysninger efter stk. 1-4, herunder om hvornår
og til hvilke formål og opgaver oplysninger kan indsamles
og behandles, hvornår sletning af oplysninger skal finde
sted, og om de tekniske og organisatoriske foranstaltninger,
der skal iagttages ved behandlingen.
§ 2. Loven træder i kraft den 1. juli 2018.
§ 3. Loven gælder ikke for Færøerne og Grønland, men
kan ved kongelig anordning sættes helt eller delvis i kraft
for Færøerne og Grønland med de ændringer, som de færøs-
ke og grønlandske forhold tilsiger.
Lovforslag nr. L 149 Folketinget 2017-18
Erhvervsmin.,
Erhvervsstyrelsen
CQ000429
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Baggrund
3. Lovforslagets hovedpunkt
3.1. Erhvervsstyrelsens behandling af data
3.1.1. Gældende ret
3.1.1.1. Lovgivning på Erhvervsministeriets område
3.1.1.2. Forvaltningsloven
3.1.1.3. Databeskyttelsesforordningen og databeskyttelsesloven
3.1.2. Erhvervsministeriets overvejelser og den foreslåede ordning
3.1.2.1. Forholdet til lovgivningen på Erhvervsstyrelsens område
3.1.2.2. Forholdet til forvaltningsloven
3.1.2.3. Forholdet til databeskyttelsesforordningen og databeskyttelsesloven
3.1.2.4. Forholdet til den Europæiske Menneskerettighedskonvention
4. Økonomiske og administrative konsekvenser for det offentlige
5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
6. Administrative konsekvenser for borgerne
7. Miljømæssige konsekvenser
8. Forholdet til EU-retten
9. Hørte myndigheder og organisationer m.v.
10. Sammenfattende skema
1. Indledning
Organiseret svindel med moms og afgifter er en udford-
ring for skattemyndighederne i både Danmark og andre lan-
de. Blandt andet har grov momskriminalitet og svindel med
punktafgifter været genstand for megen opmærksomhed de
senere år. Regeringen ønsker at styrke skattevæsenets mu-
lighed for at udføre en bedre og mere intelligent skattekon-
trol.
Ved stiftelse af virksomheder indledes registreringspro-
cessen i alle tilfælde hos Erhvervsstyrelsen, og derfor kan
Erhvervsstyrelsen anses som »første forsvarslinje« mod
virksomheder, som agter at begå svig med moms og afgifter.
Det er dermed essentielt, at en intelligent kontrol er placeret
her. Dette giver mulighed for, at Erhvervsstyrelsen kan stop-
pe virksomhederne, allerede inden de registreres, således at
der kan tages forholdsregler over for de virksomheder, som
anses for at have en forhøjet risiko for at begå svig med
moms og afgifter.
Kontrollen ved registrering af virksomheder kan styrkes
gennem et tættere samarbejde mellem Erhvervsstyrelsen,
skattemyndighederne og andre relevante myndigheder. Det
foreslås, at der etableres datadrevet kontrol i forbindelse
med registrering af virksomheder. Formålet er at hindre or-
ganiseret svig med moms og afgifter allerede ved registre-
ring af den virksomhed, som skal anvendes til svig.
Konkret foreslås det, at Erhvervsstyrelsen anvender ma-
chine learning i forbindelse med registrering af virksomhe-
der. Machine learning er en teknologi, som bl.a. kan gen-
kende mønstre og tegn på svig på tværs af data, hvilket gør,
at den efterfølgende kontrol kan målrettes, således at indsat-
sen får en større træfsikkerhed. Man kan med machine lear-
ning sammenholde store mængder af data fra mange forskel-
lige datakilder og ved brug af avancerede algoritmer identi-
ficere tegn på fejl og svig. For de virksomheder, som utilsig-
tet laver fejl, kan teknologien bruges til at understøtte og
guide virksomheden, så der sker korrekt registrering.
Ved Erhvervsstyrelsens anvendelse af machine learning er
det nødvendigt, at styrelsen kan indsamle og behandle op-
lysninger fra andre offentlige myndigheder samt fra offent-
ligt tilgængelige kilder samt videregive oplysninger til andre
offentlige myndigheder til brug for disses kontrol- og til-
synsopgaver. Nærværende lovforslag har til formål at tilve-
jebringe de retlige rammer for Erhvervsstyrelsens behand-
ling af data til brug for styrelsens anvendelse af machine
learning.
2. Baggrund
Regeringen ønsker at styrke skattevæsenets mulighed for
at udføre en bedre og mere intelligent skattekontrol. Derfor
har skatteministeren præsenteret en samlet kontrolpakke –
»Stærkere skattekontrol, styrket vejledning«. Som en del af
kontrolpakken indgår initiativer foreslået af en tværministe-
riel arbejdsgruppe, som blev nedsat for at se på muligheder-
ne for et styrket myndighedssamarbejde mod svindel med
moms og afgifter.
Den tværministerielle arbejdsgruppe har i en rapport »For-
slag til en stærkere myndighedsindsats mod organiseret
svindel« foreslået tre initiativer, som omfatter et nyt koordi-
2
nationsforum, et myndighedssamarbejde om et nyt fælles ri-
sikobillede og et initiativ om styrket kontrol i registrerings-
fasen. Det sidstnævnte initiativ er forankret i Erhvervsstyrel-
sen og vedrører dels intelligent kontrol i virksomhedsregi-
streringen, dels en forbedring af visse af Erhvervsstyrelsens
data. Nærværende lovforslag har til formål at skabe lov-
hjemmel til indførelse af intelligent kontrol i registreringsfa-
sen.
Erhvervsstyrelsen er i besiddelse af data omkring virk-
somheder og personer, som har relationer til virksomheder.
Det drejer sig bl.a. om oplysninger, som virksomheder er
pligtige at indberette i medfør af eksempelvis selskabsloven,
lov om visse erhvervsdrivende virksomheder og årsregn-
skabsloven. Erhvervsstyrelsen har endvidere data, som er
indsamlet til brug for styrelsens kontrol- og tilsynsvirksom-
hed.
Det er imidlertid ikke kun Erhvervsstyrelsen, der har data,
som ved en intelligent kontrol vil kunne anvendes til at vur-
dere risikoindikatorerne for en virksomhed, men i høj grad
også skattevæsenet. Det er nødvendigt for at kunne etablere
en styrket kontrol i registreringsfasen, at denne baseres på
data fra begge myndigheder. Det er centralt, at der er mulig-
hed for at sikre et så stort datagrundlag som muligt, da vur-
deringen af virksomheder hermed kan blive mere præcis.
Det vil med et tilstrækkeligt stort datasæt være muligt at
identificere virksomheder, som med stor sandsynlighed vil
begå svig med moms og afgifter, samtidig med at virksom-
heder, hvor der ikke vurderes at være denne risiko, ikke vil
blive påvirket af den yderligere kontrol.
De oplysninger, der vil blive anvendt i forbindelse med en
styrket kontrol i registreringsfasen, er oplysninger om virk-
somheder samt om personer, der har en tilknytning til disse
virksomheder. Der er primært tale om oplysninger, som er
anmeldt og registreret som led i udøvelsen af erhvervsmæs-
sig virksomhed.
Deling af data i et samarbejde mellem myndigheder med
henblik på kontrol af virksomheder, er anbefalet i Rigsrevi-
sionens beretning om effektiv kontrol, 15/2016, som er afgi-
vet i april 2017. Det fremgår af beretningens kapitel 3, at det
er Rigsrevisionens vurdering, at dataudveksling mellem
myndigheder vil kunne styrke kontrollens effektivitet samt
reducere kontrollens belastning for virksomhederne.
I takt med den teknologiske udvikling er det stadig mere
udbredt, at såvel offentlige myndigheder som private virk-
somheder tilgår og benytter offentligt tilgængelige oplysnin-
ger som en integreret del af deres opgaveløsning. Offentligt
tilgængelige kilder kan i denne forbindelse være internettet,
som i dag udgør en væsentlig – og i mange sammenhænge
den primære – informationskilde på tværs af samfundet. Ek-
sempelvis kan der findes relevante kortdata, som er offent-
ligt tilgængelige gennem bl.a. Google. Det er ikke hensig-
ten, at ikke-validerede data fra sociale medier alene kan be-
grunde en afgørelse om anvendelse af sanktioner. De ind-
samlede oplysninger kan omfatte enhver type oplysning,
herunder personoplysninger.
Det er i den tværministerielle rapport foreslået, at Er-
hvervsstyrelsen anvender machine learning i forbindelse
med registrering af virksomheder, hvilket både omfatter
virksomheder, der er registreret i henhold til skattevæsenets
samt Erhvervsstyrelsens lovgivning. Machine learning er
som nævnt en teknologi, som bl.a. kan genkende mønstre og
tegn på svig på tværs af data, hvilket gør, at den efterfølgen-
de kontrol kan målrettes, således at indsatsen får en større
træfsikkerhed. Man kan med machine learning sammenhol-
de store mængder af data fra mange forskellige datakilder
og ved brug af avancerede algoritmer identificere tegn på
fejl og svig. For de virksomheder, som utilsigtet laver fejl,
kan teknologien bruges til at understøtte og guide virksom-
heden, så der sker korrekt registrering.
Anvendelsen af machine learning teknologien er ikke ba-
seret på forudbestemte parametre, men på statistiske sand-
synligheder ud fra data, som ikke på forhånd er bearbejdet.
Brugen af teknologien forudsætter et stort datagrundlag, idet
de statistiske indikationer bliver mere pålidelige, des større
datagrundlaget er. Erhvervsstyrelsen vil forud for indsamlin-
gen af data vurdere, om disse er nødvendige til brug for sty-
relsens opgaver og andre offentlige myndigheders kontrol-
og tilsynsopgaver.
Lovforslaget indebærer, at Erhvervsstyrelsen udvikler og
implementerer en model for brug af machine learning til
kontrol ved registrering af virksomheder samt ved registre-
ring af ændringer i eksisterende virksomheders oplysninger.
Ved brug af machine learning kan der foretages identifika-
tion af virksomheder, som har forøget risiko for svig og
økonomisk kriminalitet, hvilket skal føre til en målrettet ma-
nuel kontrol hos Erhvervsstyrelsen, skattevæsenet eller beg-
ge myndigheder samtidigt. Der skabes med lovforslagets §
1, stk. 4, hjemmel til, at Erhvervsstyrelsen kan videregive
oplysninger til andre offentlige myndigheder, herunder skat-
tevæsenet, således at myndighederne kan foretage manuel
kontrol af de relevante sager.
Anvendelsen af machine learning i forbindelse med virk-
somhedsregistrering vil give en indikation af risikofaktorer-
ne allerede ved anmeldelsen af stiftelsen af en virksomhed.
Når en virksomhed registreres hos Erhvervsstyrelsen, vil de
anmeldte oplysninger om virksomheden kunne sammenhol-
des med tilsvarende oplysninger om andre virksomheder,
herunder virksomheder som har begået svig. Erhvervsstyrel-
sen vil således ved hjælp af machine learning kunne opdage
fælles mønstre for virksomheder, der har begået svig, og nye
virksomheder, der anmeldes til registrering. Dette giver mu-
lighed for, at Erhvervsstyrelsen kan udtage virksomheden til
manuel kontrol og/eller videregive oplysningerne til skatte-
væsenet, inden virksomheden er registreret. Skattevæsenet
vil dermed få mulighed for at foretage de nødvendige for-
holdsregler for at imødegå svig, eksempelvis ved at kræve
sikkerhedsstillelse m.v. i henhold til skatte- og afgiftslovgiv-
ningen eventuelt samtidigt med, at Erhvervsstyrelsen kon-
trollerer overholdelse af selskabslovgivningen.
Indsatsen ved en manuel kontrol kan ved brug af machine
learning fokuseres på de virksomheder, som på baggrund af
en analyse af store mængder data vurderes at have høj risiko
3
for at omgå reglerne. Med indførelsen af adgangen til at fo-
retage datasamkøring ved brug af machine learning vil Er-
hvervsstyrelsen skulle behandle væsentligt flere sager manu-
elt i forbindelse med registrering.
Ved at rette fokus på kontrol af og tilsyn med de virksom-
heder, som vurderes at have en væsentligt højere sandsyn-
lighed for at begå svig, følges anbefalingen i Rigsrevisio-
nens beretning om effektiv kontrol. Heraf fremgår det i af-
snit 2.2, at en effektiv kontrol forudsætter, at myndigheder-
nes indsats bør fokuseres på de virksomheder, hvor der er
størst risiko for regelbrud.
Det fremgår af »Den fællesoffentlige digitaliseringsstrate-
gi 2016-2020«, at offentlige data i højere grad skal deles og
genbruges for at kunne skabe en mere overskuelig og sam-
menhængende offentlig sektor. Det forudsætter, at myndig-
hederne i højere grad sikkert kan udveksle og tilgå relevante
oplysninger, som de enkelte myndigheder allerede ligger in-
de med. Det er ikke mindst nødvendigt, når flere myndighe-
der er involveret.
Øget anvendelse og genbrug af data bidrager til et bedre
grundlag for effektiv offentlig forvaltning. Samtidig vil det
bidrage til en mere moderne og velfungerende offentlig sek-
tor. Konkret vil genbrug og deling af data fra offentlige regi-
stre bidrage til, at offentlige myndigheder kan effektivisere
opgavevaretagelsen, herunder kontrol- og tilsynsopgaver, da
et større datagrundlag medfører, at myndighederne med
større sandsynlighed kan identificere de virksomheder, der
vil begå svig med moms og afgifter eller anden økonomisk
kriminalitet. F.eks. kan visse oplysninger i en virksomheds
årsregnskab, der er aflagt efter reglerne i årsregnskabsloven,
valideres af visse oplysninger i virksomhedens skattemæssi-
ge regnskab, der aflægges i henhold til reglerne i skatte- og
afgiftslovgivningen.
Det er i den forbindelse afgørende, at reguleringen sikrer,
at de nye teknologiske muligheder, herunder anvendelsen af
machine learning, bliver et aktiv for det danske samfund. De
lovgivningsmæssige rammer skal være tidssvarende, så mu-
ligheden for at dele data på tværs af forskellige myndighe-
der ikke begrænses unødigt. Indsatsen skal fortsat ske inden
for rammerne af forvaltningsloven og persondatalovgivnin-
gen, se lovforslagets pkt. 3.1.2.3. Lovforslaget har til formål
at tilvejebringe de retlige rammer for Erhvervsstyrelsens
brug af machine learning.
3. Lovforslagets hovedpunkt
3.1. Erhvervsstyrelsens behandling af data
Lovforslaget har til formål at skabe klar hjemmel til at
indsamle og behandle oplysninger, herunder få terminalad-
gang til indkomstregistret, foretage samkøring og videregi-
velse af oplysninger, både for så vidt angår styrelsens egne
oplysninger, oplysninger fra andre offentlige myndigheder
og offentligt tilgængelige kilder.
3.1.1. Gældende ret
3.1.1.1. Lovgivning på Erhvervsministeriets område
Erhvervsstyrelsen behandler oplysninger, i det omfang det
er nødvendigt for Erhvervsstyrelsens opgavevaretagelse i
henhold til de regler, som styrelsen administrerer. Denne be-
handling sker i elektroniske sagshåndteringssystemer samt i
en række elektroniske databaser og registre, som Erhvervs-
styrelsen er ansvarlig for at drive og vedligeholde, f.eks.
CVR-registret, som er offentligt tilgængeligt.
Udover at behandle oplysninger til brug for Erhvervssty-
relsens egen opgavevaretagelse behandler og videregiver Er-
hvervsstyrelsen oplysninger til andre offentlige myndighe-
der, herunder skattevæsenet, til brug for understøttelsen af
disses opgavevaretagelse, f.eks. i forbindelse med registre-
ringen af virksomheder.
Erhvervsstyrelsens indsamling, behandling og videregi-
velse af oplysninger er – ud over at være omfattet af forvalt-
ningsloven og persondatalovgivningen – omfattet af enkelte
andre regelsæt på styrelsens område, herunder bekendtgørel-
se om anmeldelse, registrering, gebyr samt offentliggørelse
m.v. i Erhvervsstyrelsen, jf. bekendtgørelse nr. 1466 af 25.
november 2016, og lov om fremgangsmåden ved anmeldel-
se m.v. af visse oplysninger hos Erhvervsstyrelsen (frem-
gangsmådeloven), jf. lovbekendtgørelse nr. 1204 af 14. ok-
tober 2013.
Fremgangsmådeloven finder anvendelse på anmeldelser,
registreringer og offentliggørelser hos Erhvervsstyrelsen,
når regler herom er fastsat i lovgivningen, jf. dennes § 1.
Det fremgår af fremgangsmådelovens § 4, at enhver oplys-
ning, som er anmeldt, registreret eller offentliggjort hos Er-
hvervsstyrelsen, kan anvendes i styrelsens sagsbehandling
inden for alle styrelsens kompetenceområder, herunder til
intern registersamkøring og sammenstilling af oplysninger i
kontroløjemed. Fortrolige og følsomme oplysninger samt
oplysninger om andre rent private forhold kan udelukkende
anvendes inden for samme kompetenceområde, som oplys-
ningerne er indsamlet til brug for, medmindre andet følger
af anden lovgivning. Det vil sige, at Erhvervsstyrelsen efter
fremgangsmådeloven f.eks. ikke vil kunne anvende fortroli-
ge oplysninger, som er afgivet i forbindelse med en virk-
somheds registrering i henhold til hvidvasklovgivningen, til
den samme virksomheds registrering i CO2-kvoteregisteret.
De oplysninger, som Erhvervsstyrelsen behandler, stam-
mer i høj grad fra indberetninger ved virksomhedsregistre-
ring. Det er oplysninger, som virksomhederne er pligtige at
indsende i henhold til styrelsens lovgivning, eksempelvis
lov om aktie- og anpartsselskaber (selskabsloven), lov om
visse erhvervsdrivende virksomheder samt lov om erhvervs-
drivende fonde, og som registreres i henhold til bekendtgø-
relse om anmeldelse, registrering, gebyr samt offentliggørel-
se m.v. i Erhvervsstyrelsen (anmeldelsesbekendtgørelsen).
Der findes på visse af Erhvervsstyrelsens områder særlige
begrænsninger vedrørende behandling af data, tavshedspligt
m.v. Dette gør sig eksempelvis gældende på hvidvask- og
revisorområdet samt i reguleringen af CO2-kvoteregisteret.
4
Disse begrænsninger følger i vidt omfang af EU-regulering.
Det forudsættes, at sådanne særlige begrænsninger iagttages,
og der vil derfor skulle foretages en konkret vurdering af,
om de pågældende regler er til hinder for behandling af data.
3.1.1.2. Forvaltningsloven
Erhvervsstyrelsens behandling af oplysninger er omfattet
af reglerne i forvaltningsloven, jf. lovbekendtgørelse nr. 433
af 22. april 2014. Det følger af forvaltningslovens § 28, stk.
1, at for videregivelse af oplysninger om enkeltpersoner
(personoplysninger) til en anden forvaltningsmyndighed
gælder reglerne i § 5, stk. 1-3, §§ 6-8, § 10, § 11, stk. 1, § 38
og § 40 i lov om behandling af personoplysninger, jf. lovens
§ 1, stk. 3. Herudover gælder de almindelige forvaltningsret-
lige principper, herunder sagligheds- og proportionalitets-
principperne. Det betyder, at Erhvervsstyrelsen kun kan be-
handle oplysninger, hvis det er sagligt og proportionalt.
Endvidere følger det af forvaltningslovens § 28, stk. 2, at
oplysninger af fortrolig karakter, som ikke er omfattet af stk.
1, kun må videregives til en anden forvaltningsmyndighed,
når 1) den, oplysningen angår, udtrykkeligt har givet sam-
tykke, 2) det følger af lov eller bestemmelser fastsat i hen-
hold til lov, at oplysningen skal videregives, eller 3) det må
antages, at oplysningen vil være af væsentlig betydning for
myndighedens virksomhed eller for en afgørelse, myndighe-
den skal træffe. Forvaltningslovens § 28, stk. 2, tager sigte
på oplysninger af fortrolig karakter, som ikke angår identifi-
cerbare fysiske personer, dvs. fortrolige oplysninger om ju-
ridiske personer og fortrolige oplysninger, som hverken an-
går juridiske personer eller identificerbare fysiske personer.
Derudover følger af det forvaltningslovens § 29, stk. 1, at
i sager, der rejses ved ansøgning, må oplysninger om an-
søgerens rent private forhold ikke indhentes fra andre dele
af forvaltningen eller fra en anden forvaltningsmyndighed.
Bestemmelsen i § 29, stk. 1, gælder dog ikke, hvis 1) ansø-
geren har givet samtykke hertil, 2) andet følger af lov eller
bestemmelser fastsat i henhold til lov eller 3) særlige hensyn
til ansøgeren eller tredjemand klart overstiger ansøgerens in-
teresse i, at oplysningen ikke indhentes.
I forvaltningslovens § 31 er det fastsat, at i det omfang en
forvaltningsmyndighed er berettiget til at videregive en op-
lysning, skal myndigheden på begæring af en anden forvalt-
ningsmyndighed videregive oplysningen, hvis den er af be-
tydning for myndighedens virksomhed eller for en afgørelse,
som myndigheden skal træffe. Bestemmelsen er ikke be-
grænset til at omfatte fortrolige oplysninger og gælder både
for personoplysninger og andre oplysninger. Det fremgår
endvidere af forvaltningslovens § 32, at personer, der virker
inden for den offentlige forvaltning, ikke i den forbindelse
må skaffe sig fortrolige oplysninger, som ikke er af betyd-
ning for udførelsen af den pågældendes opgaver.
3.1.1.3. Databeskyttelsesforordningen og
databeskyttelsesloven
Erhvervsstyrelsens behandling af personoplysninger er
omfattet af persondataloven. Det foreslås imidlertid i nær-
værende lovforslags § 2, at den foreslåede lov træder i kraft
den 1. juli 2018. Ved den foreslåede lovs ikrafttrædelsestids-
punkt vil reglerne for Erhvervsstyrelsens behandling af per-
sonoplysninger være omfattet af bestemmelserne i Europa-
Parlamentets og Rådets forordning nr. 2016/679 af 27. april
2016 om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af så-
danne oplysninger og om ophævelse af direktiv 95/46/EF
(generel forordning om databeskyttelse). Databeskyttelses-
forordningens regelsæt finder anvendelse fra den 25. maj
2018.
Justitsministeren har endvidere den 25. oktober 2017
fremsat forslag til lov (L 68 17/18) om supplerende bestem-
melser til forordningen om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri
udveksling af sådanne oplysninger (databeskyttelsesloven).
Lovforslaget foreslås at træde i kraft den 25. maj 2018, jf.
forslaget til databeskyttelseslovens § 46, stk. 1. Det fremgår
af lovforslagets § 46, stk. 2, at lov nr. 429 af 31. maj 2000
om behandling af personoplysninger, som senest ændret ved
lov nr. 426 af 3. maj 2017, ophæves. Databeskyttelsesloven
supplerer databeskyttelsesforordningen, jf. forslaget til data-
beskyttelseslovens § 1, stk. 1.
Det følgende tager derfor udgangspunkt i databeskyttel-
sesforordningen og databeskyttelseslovens regler om be-
handling af personoplysninger.
Databeskyttelsesforordningen finder ifølge forordningens
artikel 2, stk. 1, anvendelse på behandling af personoplys-
ninger, der helt eller delvist foretages ved hjælp af automa-
tisk databehandling, og på anden ikke-automatisk behand-
ling af personoplysninger, der er eller vil blive indeholdt i et
register. Ved behandling af personoplysninger forstås ifølge
forordningens artikel 4, nr. 2, enhver aktivitet eller række af
aktiviteter – med eller uden brug af automatisk behandling –
som personoplysninger eller en samling af personoplysnin-
ger gøres til genstand for, f.eks. indsamling, registrering, or-
ganisering, systematisering, opbevaring, tilpasning eller æn-
dring, genfinding, søgning, brug, videregivelse ved trans-
mission, formidling eller enhver anden form for overladelse,
sammenstilling eller samkøring, begrænsning, sletning eller
tilintetgørelse.
Samkøring er en særlig form for behandling, som bl.a.
personoplysninger kan gøres til genstand for. Samkøring er
en fælles betegnelse for forskellige tekniske løsninger, som
vedrører sammenkobling af oplysninger, der kommer fra
forskellige registre. Under samkøring hører maskinelle over-
førsler, hvorved et register tilføres oplysninger fra et andet
register, således at det modtagende register udvides med dis-
se oplysninger. Til begrebet samkøring henregnes endvidere
maskinelle sammenstillinger af oplysninger fra forskellige
registre, hvorved der dannes et nyt »uddata-produkt«, f.eks.
et nyt register.
Databeskyttelsesforordningens kapitel II indeholder de så-
kaldte behandlingsregler. I forordningens artikel 5 er der
fastsat en række grundlæggende principper, der gælder for
alle behandlinger af personoplysninger, som omfattes af for-
ordningen. Bestemmelsen fastsætter således, at personoplys-
ninger skal behandles lovligt, rimeligt og på en gennemsig-
5
tig måde i forhold til den registrerede. Det fastsættes endvi-
dere, at personoplysninger skal indsamles til udtrykkeligt
angivne og legitime formål og ikke må viderebehandles på
en måde, der er uforenelig med disse formål. Personoplys-
ninger skal også være tilstrækkelige, relevante og begrænset
til, hvad der er nødvendigt i forhold til de formål, hvortil de
behandles (»dataminimering«). Endvidere gælder, at perso-
noplysninger skal være korrekte og om nødvendigt ajourfør-
te, og der skal tages ethvert rimeligt skridt for at sikre, at
personoplysninger, der er urigtige i forhold til de formål,
hvortil de behandles, straks slettes eller berigtiges (»rigtig-
hed«). Det fastlægges tillige i artikel 5, at personoplysninger
skal opbevares på en sådan måde, at det ikke er muligt at
identificere de registrerede i et længere tidsrum end det, der
er nødvendigt til de formål, hvortil de pågældende persono-
plysninger behandles (»opbevaringsbegrænsning«). Endelig
skal personoplysninger behandles på en måde, der sikrer til-
strækkelig sikkerhed for de pågældende personoplysninger,
herunder beskyttelse mod uautoriseret eller ulovlig behand-
ling og mod hændeligt tab, tilintetgørelse eller beskadigelse,
under anvendelse af passende tekniske eller organisatoriske
foranstaltninger (»integritet og fortrolighed«).
I databeskyttelsesforordningens artikel 6 fastsættes de ge-
nerelle betingelser for, hvornår behandling af oplysninger
må finde sted. Af bestemmelsen følger, at behandling kun er
lovlig, hvis mindst en af betingelserne i litra a-f er opfyldt,
herunder hvis behandling er nødvendig for at overholde en
retlig forpligtelse, som påhviler den dataansvarlige, jf. litra
c, eller som er nødvendig af hensyn til udførelse af en opga-
ve i samfundets interesse, eller som henhører under offentlig
myndighedsudøvelse, som den dataansvarlige har fået på-
lagt, jf. litra e. Vedrørende forordningens artikel 6, stk. 1, li-
tra c, fremgår det af præambelbetragtning nr. 45, at hvis be-
handling foretages i overensstemmelse med en retlig for-
pligtelse, som påhviler den dataansvarlige, eller hvis be-
handling er nødvendig for at udføre en opgave i samfundets
interesse, eller som henhører under offentlig myndighedsud-
øvelse, bør behandlingen have et retsgrundlag i EU-retten
eller medlemsstaternes nationale ret. Der henvises nærmere
til Justitsministeriets betænkning nr. 1565/2017 om databe-
skyttelsesforordningen, side 129-130.
Videregivelse og behandling af følsomme personoplysnin-
ger er i øvrigt reguleret i forordningens artikel 9 og 10. De
oplysninger, der omfattes af artikel 9, er personoplysninger
om race eller etnisk oprindelse, politisk, religiøs eller filoso-
fisk overbevisning eller fagforeningsmæssigt tilhørsforhold
samt behandling af genetiske data, biometriske data med det
formål entydigt at identificere en fysisk person, helbredsop-
lysninger eller oplysninger om en fysisk persons seksuelle
forhold eller seksuelle orientering. Forordningens artikel 10
omfatter behandling af personoplysninger vedrørende straf-
fedomme og lovovertrædelser eller tilknyttede sikkerheds-
foranstaltninger på grundlag af artikel 6, stk. 1.
Databeskyttelsesforordningen regulerer endvidere »profi-
lering«, som i forordningens artikel 4, nr. 4, defineres som
»enhver form for automatisk behandling af personoplysnin-
ger, der består i at anvende personoplysninger til at evaluere
bestemte personlige forhold vedrørende en fysisk person,
navnlig for at analysere eller forudsige forhold vedrørende
den fysiske persons arbejdsindsats, økonomiske situation,
helbred, personlige præferencer, interesser, pålidelighed, ad-
færd, geografisk position eller bevægelser«. Af forordnin-
gens artikel 22, stk. 1, fremgår det, at den registrerede har
ret til ikke at være genstand for en afgørelse, der alene er ba-
seret på automatisk behandling, herunder profilering, som
har retsvirkning eller på tilsvarende vis betydeligt påvirker
den pågældende.
3.1.2. Erhvervsministeriets overvejelser og den foreslåede
ordning
For at imødegå organiseret svindel med moms og afgifter
er det essentielt, at der indføres en intelligent kontrol ved
virksomhedsregistrering, idet dette giver mulighed for, at
Erhvervsstyrelsen allerede inden registreringen kan stoppe
de virksomheder, der med stor sandsynlighed har til hensigt
at begå svig med moms og afgifter. Det er på baggrund her-
af nødvendigt, at Erhvervsstyrelsen har hjemmel til at ind-
samle og behandle oplysninger fra andre offentlige myndig-
heder, særligt skattevæsenet, samt offentlige tilgængelige
kilder.
Efter Erhvervsministeriets opfattelse er det nødvendigt, at
Erhvervsstyrelsens kontrol- og tilsynsopgaver som udgangs-
punkt tilrettelægges med en risikobaseret tilgang, således at
det er de virksomheder, hvor der er en særligt høj risiko for
svig, som udsættes for yderligere kontrol. Deling og samkø-
ring af Erhvervsstyrelsens egne data vil bidrage til, at styrel-
sen med den risikobaserede tilgang med større sandsynlig-
hed kan identificere de virksomheder, der ikke overholder
lovgivningen på Erhvervsstyrelsens områder.
Oplysninger fra visse andre offentlige myndigheders regi-
stre kunne bidrage væsentligt til risikobilledet, således at
skattevæsenet har mulighed for at behandle sager, hvor der
er en særlig risiko for svig med moms og afgifter, førend re-
gistrering af virksomheden sker i Erhvervsstyrelsen. Det er
derfor endvidere nødvendigt, at Erhvervsstyrelsen har hjem-
mel til at videregive nødvendige oplysninger til andre of-
fentlige myndigheder.
I en situation, hvor der skal ske registrering af stiftelsen af
en virksomhed, er der således behov for, at Erhvervsstyrel-
sen ved hjælp af machine learning kan samkøre data fra sty-
relsens registre samt skattevæsenets registre. Det vil på den-
ne baggrund kunne vurderes, om en sag om registrering af
stiftelsen af en virksomhed bør udtages til en manuel kontrol
hos Erhvervsstyrelsen, skattevæsenet eller begge myndighe-
der.
Af Rigsrevisionens beretning om effektiv kontrol kapitel 3
anbefales det, at myndigheder samarbejder systematisk om
kontrollen på tværs, idet myndighederne har en række ensar-
tede problematikker i forbindelse med at tilrettelægge en ef-
fektiv kontrol.
Anvendelsen af machine learning kan ved samkøringen af
oplysninger identificere mønstre og tegn på svig, som ikke
ellers ville være opdaget. Mønstrene dannes ud fra de sager,
6
hvor der er konstateret svig, og det vil således være disse,
der ligger til grund for, at nye sager bliver udtaget til manuel
kontrol. Det kan eksempelvis være, at der ved de sager, hvor
der tidligere er konstateret svig, gør sig særlige forhold gæl-
dende for så vidt angår indkomsten for de personer, som
indsættes som ledelsen i en virksomhed, og det vil dermed
være muligt at udtage sager, hvor de indsatte personer har
tilsvarende særlige forhold i indkomsten. Et andet eksempel
kan være, at personer, som tidligere har været involveret i
virksomheder, hvori der er konstateret svig, har et særligt
mønster for ind- og udtræden af ledelseshverv i andre virk-
somheder, og det vil hermed være muligt at udtage sager,
hvor de indsatte personer har et tilsvarende mønster. I og
med at det ikke på forhånd vides hvilke mønstre og tegn på
svig, der dannes ved anvendelsen af machine learning, fravi-
ges saglighedsprincippet.
Ved anvendelsen af machine learning er det ikke på for-
hånd givet, hvilke kriterier der ligger til grund for, at en sag
udtages til manuel sagsbehandling, idet det vurderes, om de
mønstre, der gør sig gældende for virksomheder, der har be-
gået svig, tilsvarende gør sig gældende for nye virksomhe-
der, som dermed kan formodes også at have til hensigt at be-
gå svig. Derfor er det nødvendigt at anvende et relativt stort
datasæt, som omfatter oplysninger fra både Erhvervsstyrel-
sen og andre myndigheder, herunder især skattevæsenet. Det
vil ligeledes være muligt at sammenholde de til Erhvervssty-
relsen indberettede oplysninger med de til skattevæsenet
indberettede oplysninger. Det vil således f.eks. være muligt
at opdage, hvis det, der er oplyst i et selskabs årsregnskab,
ikke svarer til det, der er indberettet i selskabets selvangivel-
se til skattevæsenet. Dette vil kunne danne baggrund for, at
en sag udtages til manuel behandling. Uanset at det ikke er
givet på forhånd, hvilke kriterier der ligger til grund for, at
en sag udtages til manuel sagsbehandling, vil det altid være
klart, hvilke oplysninger der er tilgået i forbindelse med an-
vendelsen af machine learning. Det vil være muligt at tilve-
jebringe en databeskrivelse, såfremt der måtte blive begæret
aktindsigt, i henhold til offentlighedslovens § 12.
Erhvervsstyrelsen har forskellige beføjelser, som anven-
des ved den manuelle kontrol. Styrelsen kan under visse be-
tingelser nægte registrering, kræve dokumentation og/eller
berigtigelse, kræve revision af årsregnskaber og oversende
selskaber til tvangsopløsning ved skifteretterne. Det er ikke
hensigten med lovforslaget, at resultaterne, som genereres
ved machine learning, skal kunne anvendes som en væsent-
lig del af en afgørelse. En virksomhed, som er udtaget til
kontrol på baggrund af resultatet af machine learning, vil
først ved den manuelle behandling f.eks. kunne nægtes regi-
strering i Erhvervsstyrelsen efter de nugældende regler her-
om. Afgørelser i sager, som er udtaget til manuel behandling
på baggrund af resultatet af machine learning, vil kunne på-
klages i samme omfang som hidtil. Det bør imidlertid efter
et tidsrum, hvor anvendelsen af machine learning er udviklet
og implementeret, evalueres, om de nuværende beføjelser er
tilstrækkelige, eller om der bør indføres yderligere sankti-
onsmuligheder for Erhvervsstyrelsen.
Når anvendelsen af machine learning ved en virksomheds
registrering af stiftelsen indikerer, at der er en forhøjet risiko
for, at der vil ske svig med moms og afgifter, vil skattevæse-
net have mulighed for at behandle sagen manuelt, inden stif-
telsen registreres i Erhvervsstyrelsen. Skattevæsenet vil så-
ledes have mulighed for at tage forholdsregler, førend virk-
somheden får et CVR-nummer. Der kan eksempelvis være
tale om sikkerhedsstillelse, forkortede afregningsperioder
m.v. efter skatte- og afgiftslovgivningen.
Som det fremgår af pkt. 3.1.1, er det udgangspunktet, at
Erhvervsstyrelsens indsamling og behandling af oplysninger
kan ske inden for forvaltningslovens og persondataregule-
ringens rammer samt inden for rammerne af de særlige be-
stemmelser om tavshedspligt m.v. på styrelsens områder.
Som beskrevet under lovforslagets pkt. 3.1.1.1 har Er-
hvervsstyrelsen således allerede i dag i et vist omfang mu-
lighed for intern registersamkøring og sammenstilling af op-
lysninger i kontroløjemed for de oplysninger, som er an-
meldt, registreret eller offentliggjort hos Erhvervsstyrelsen.
Der er dog efter de gældende regler generelt ikke mulig-
hed for at koordinere indsatsen med oplysninger, som inde-
holdes i registre m.v., som føres af andre offentlige myndig-
heder. Erhvervsstyrelsen har heller ikke klar hjemmel til at
indsamle oplysninger fra andre offentlige myndigheders da-
takilder og registre foruden den almindelige adgang til at
indsamle og behandle oplysninger til brug for behandlingen
af konkrete sager. Endelig har Erhvervsstyrelsen ikke klar
hjemmel til at videregive oplysninger til andre offentlige
myndigheder, herunder skattevæsenet, når det er nødvendigt
af hensyn til udførelsen af disse myndigheders kontrol- og
tilsynsopgaver.
De datakilder og registre fra andre offentlige myndighe-
der, som Erhvervsstyrelsen indledningsvist vil indsamle op-
lysninger fra, indeholder oplysninger om fysiske personers
indkomst og økonomiske forhold i øvrigt (indkomstregistret,
skatteoplysninger (R75-oplysninger) og skattekontoen), op-
lysninger om hvorvidt fysiske eller juridiske personer har
påført eller forsøgt at påføre det offentlige væsentlige tab
(KINFO), oplysninger om fysiske eller juridiske personers
indberetninger om moms eller afgifter (erhvervssystemet),
oplysninger om fysiske eller juridiske personer, der er blevet
nægtet registrering, fordi de ikke har stillet den krævede sik-
kerhed (træskoregistret), oplysninger om juridiske personers
selvangivelser, omstruktureringer og underskudsregister
(DIAS), og oplysninger om fysiske personer, der ved dom er
frataget muligheden for at deltage i ledelsen af en erhvervs-
virksomhed uden at hæfte personligt og ubegrænset for virk-
somhedens forpligtelser (konkurskarantæneregistret).
Erhvervsstyrelsen vil endvidere få mulighed for at ind-
samle og behandle oplysninger fra offentligt tilgængelige
kilder. Denne adgang vil i første omgang blive anvendt til at
indsamle oplysninger om kortdata gennem bl.a. Google,
som kan anvendes til at verificere udenlandske adresser for
virksomheder og personer i forbindelse med registrering.
Lovforslaget giver et klart retligt grundlag for, at Er-
hvervsstyrelsen kan indsamle og behandle, herunder foreta-
ge samkøring af, oplysninger fra andre offentlige myndighe-
7
der og fra offentligt tilgængelige kilder, når det er nødven-
digt af hensyn til udførelsen af styrelsens opgaver, jf. forsla-
get til § 1, stk. 1, med tilhørende bemærkninger. Det frem-
går af Databeskyttelsesforordningens præambelbetragtning
nr. 10, at i forbindelse med behandling af personoplysninger
bør medlemsstaterne kunne opretholde eller indføre nationa-
le bestemmelser for yderligere at præcisere anvendelsen af
denne forordnings bestemmelser, for at overholde en retlig
forpligtelse eller for at udføre en opgave i samfundets inte-
resse, eller som henhører under offentlig myndighedsud-
øvelse, som den dataansvarlige har fået pålagt. Det bemær-
kes, at der ikke af Erhvervsstyrelsen vil blive truffet automa-
tisk afgørelse på baggrund af datasamkøringen, idet sager,
hvor der vurderes at være en høj risiko for, at der kan ske
overtrædelse af den lovgivning, Erhvervsstyrelsen admini-
strerer, vil blive behandlet manuelt og afgjort efter en kon-
kret vurdering.
Forslaget indebærer endvidere, at styrelsen kan behandle,
herunder samkøre, oplysninger, som styrelsen ud over de til-
fælde, der er nævnt i lovforslagets § 1, stk. 1, er i besiddelse
af, når det er nødvendigt af hensyn til udførelsen af styrel-
sens kontrol- og tilsynsopgaver, jf. lovforslagets § 1, stk. 2,
med tilhørende bemærkninger. Den foreslåede bestemmelse
omfatter dermed alle øvrige oplysninger, som styrelsen be-
handler, herunder følsomme personoplysninger. Hvor lov-
forslagets § 1, stk. 1, vedrører oplysninger fra andre myn-
digheder, omhandler forslagets § 1, stk. 2, således de data,
som Erhvervsstyrelsen allerede er i besiddelse af. Det kan
eksempelvis være oplysninger, som virksomheder har ind-
berettet til Erhvervsstyrelsen som følge af deres indberet-
ningspligter i selskabslovgivningen, eller det kan være kon-
trolsager, hvor Erhvervsstyrelsen har indsamlet oplysninger
fra virksomhederne.
Formålet med den øgede mulighed for at behandle, herun-
der samkøre oplysninger, som Erhvervsstyrelsen er i besid-
delse af, mellem Erhvervsstyrelsens kontrol- og tilsynsom-
råder er navnlig at opnå en øget koordinering mellem disse
områder og dermed en mere effektiv kontrol- og tilsynsind-
sats. Tværgående datadeling og samkøring af data er en vig-
tig forudsætning herfor. Det skyldes, at overtrædelse på et
lovområde (f.eks. revisortilsyn) meget sandsynligt også kan
betyde lovovertrædelser på andre lovområder (f.eks. selska-
bskontrollen). Derudover vil datadeling mellem kontrol- og
tilsynsområderne også medføre, at de udarbejdede risikomo-
deller kan tilpasses og præciseres ud fra et større datagrund-
lag. Hvidvask- og selskabskontrollen kan f.eks. optimeres
ud fra oplysninger, som benyttes i revision- og regnskabs-
kontrollen. Yderligere datagrundlag fra andre områder i Er-
hvervsstyrelsen vil endvidere give mulighed for en styrket
kontrol- og tilsynsindsats.
Forslaget indebærer endvidere, at Erhvervsstyrelsen kan
få terminaladgang til nødvendige oplysninger om fysiske el-
ler juridiske personers økonomiske eller erhvervsmæssige
forhold i indkomstregistret, jf. § 7 i lov om et indkomstregi-
ster, når det er nødvendigt af hensyn til udførelsen af styrel-
sens opgaver, jf. forslaget til § 1, stk. 3, med tilhørende be-
mærkninger.
Herudover indebærer forslaget tillige, at Erhvervsstyrelsen
kan indsamle og behandle oplysninger, som er nævnt i lov-
forslagets § 1, stk. 1-3, samt videregive disse oplysninger til
andre offentlige myndigheder, når det er nødvendigt af hen-
syn til udførelsen af disse myndigheders kontrol- og tilsyns-
opgaver, jf. forslaget til § 1, stk. 4, med tilhørende bemærk-
ninger. Behandling og videregivelse af oplysninger i medfør
af lovforslagets § 1, stk. 3, kan alene ske til andre offentlige
myndigheder, der har klar lovhjemmel til at anvende disse
oplysninger, idet dette er påkrævet i henhold til § 7 i lov om
et indkomstregister.
Lovforslaget indebærer endelig, at erhvervsministeren kan
fastsætte nærmere regler for Erhvervsstyrelsens indsamling
og behandling af oplysninger efter § 1, stk. 1-4, herunder
om til hvilke formål og opgaver oplysninger kan indsamles
og behandles, til hvilke myndigheder, der kan ske videregi-
velse, hvornår sletning af oplysninger skal finde sted, og om
de tekniske foranstaltninger, der skal iagttages ved behand-
lingen, jf. lovforslagets § 1, stk. 5, med tilhørende bemærk-
ninger.
Det er Erhvervsministeriets vurdering, at detaljerede reg-
ler om Erhvervsstyrelsens behandling af oplysninger mest
hensigtsmæssigt fastsættes på bekendtgørelsesniveau, hvor-
for der foreslås bemyndigelse hertil i lovforslagets § 1, stk.
5. Baggrunden herfor er at sikre en så konkret og agil regu-
lering som muligt. Samtidig vil det kunne sikres, at der –
som det hidtil har været tilfældet i forhold til Erhvervsstyrel-
sens behandling af oplysninger – løbende vil kunne tages
hensyn til og foretages nærmere regulering af nye værktøjer,
systemer m.v., som Erhvervsstyrelsen tager i brug inden for
de rammer, som lovforslaget etablerer. Endvidere vil det
kunne sikres, at de teknologiske muligheder for behandling
af store datamængder ledsages af detaljerede regler om be-
handlingssikkerhed, herunder om adgang til data. Erhvervs-
styrelsen vil herudover fastsætte regler om, hvilke myndig-
heder som styrelsen vil videregive oplysninger til i medfør
af lovforslagets § 1, stk. 4.
Det bemærkes, at databeskyttelsesforordningen og databe-
skyttelseslovens regler om behandlingssikkerhed vil skulle
iagttages parallelt med denne lov. Baggrunden for, at det
foreslås, at erhvervsministeren bemyndiges til at fastsætte
regler om de tekniske og organisatoriske foranstaltninger,
der skal iagttages ved behandlingen, er, at lovforslaget giver
anledning til behandling af store mængder data, herunder
personfølsomme oplysninger, hvorfor der vurderes at være
behov for klare regler om behandlingssikkerhed.
Lovforslagets § 1, stk. 5, vil endvidere kunne udnyttes til
at skabe et klart retligt grundlag for de indledende tests ved
anvendelse af de data, som omfattes af de foreslåede be-
stemmelser i § 1, stk. 1-4. Formålet er i læringsøjemed at
udvikle Erhvervsstyrelsens model, således at denne kan gen-
kende mønstre og tegn på svig på tværs af data. Herved kan
identificeres virksomheder med forhøjet risiko for at begå
svig med moms og afgifter samt anden økonomisk krimina-
litet. Det bemærkes, at de almindelige krav om proportiona-
litet og dataminimering fortsat gælder ved test af data. Det
forudsættes derfor, at adgangen til at anvende test ikke be-
8
nyttes i et videre omfang, end hvad der er nødvendigt for at
sikre, at den efter lovforslaget tilsigtede model vedrørende
behandling af data er operationel og virker efter hensigten.
Der henvises i øvrigt til lovforslagets § 1, stk. 5, med tilhø-
rende bemærkninger.
3.1.2.1. Forholdet til lovgivningen på Erhvervsstyrelsens
område
Lovforslaget berører ikke fremgangsmådelovens regler
om at foretage intern registersamkøring og sammenstilling
af oplysninger i Erhvervsstyrelsen, jf. fremgangsmådelovens
§ 4, stk. 1. Lovforslagets § 1, stk. 1-4, giver dog hjemmel til,
at fortrolige oplysninger samt oplysninger om andre rent pri-
vate forhold kan anvendes inden for andre kompetenceom-
råder end det, som oplysningerne umiddelbart er indhentet
til brug for. Inden for lovforslagets anvendelsesområde sker
der dermed en fravigelse af fremgangsmådelovens § 4, stk.
2.
Lovforslaget fraviger ikke reglerne vedrørende tavsheds-
pligt eller andre nationale og EU-retlige specifikke begræns-
ninger i behandlingen af oplysninger. Behandling og videre-
givelse af oplysninger omfattet af reglerne i særlige tav-
shedspligtsbestemmelser overholdes og administreres efter
de betingelser, som følger af de enkelte tavshedspligtsbe-
stemmelser. Der henvises nærmere til lovforslagets pkt.
3.1.1.1.
3.1.2.2. Forholdet til forvaltningsloven
Med lovforslaget skabes der hjemmel til, at oplysninger,
herunder oplysninger af fortrolig karakter, kan indsamles af
Erhvervsstyrelsen, når det er nødvendigt af hensyn til udfø-
relsen af styrelsens opgaver, jf. lovforslagets § 1, stk. 1. Det
gælder både i sager, som rejses på Erhvervsstyrelsens initia-
tiv, og i ansøgningssager.
Lovforslaget giver endvidere hjemmel til, at Erhvervssty-
relsen kan videregive oplysninger, som omfattes af lovfor-
slagets § 1, stk. 1-3, til andre offentlige myndigheder, når
det er nødvendigt af hensyn til udførelsen af disse myndig-
heders kontrol- og tilsynsopgaver, jf. lovforslagets § 1, stk.
4.
De foreslåede bestemmelser giver hjemmel til videregivel-
se af oplysninger til andre myndigheder. Derved vil et sam-
tykke til videregivelse af oplysningerne efter forvaltningslo-
vens § 28, stk. 2, nr. 1, og § 29, stk. 2, nr. 1, ikke være nød-
vendigt. Det bemærkes, at lovforslaget ikke sigter til at ænd-
re på det grundlæggende kriterium om, at anvendelse af op-
lysninger, herunder personoplysninger, kræver et sagligt for-
mål, og at behandlingen ikke skal være mere omfattende,
end forholdet tilsiger.
3.1.2.3. Forholdet til databeskyttelsesforordningen og
databeskyttelsesloven
Lovforslaget har til formål at skabe en klar hjemmel til at
indsamle og behandle oplysninger, herunder få terminalad-
gang til indkomstregistret, foretage samkøring og videregi-
velse af oplysninger, både for så vidt angår styrelsens egne
oplysninger, oplysninger fra andre offentlige myndigheder
og offentligt tilgængelige kilder.
Lovforslaget giver endvidere hjemmel til, at personoplys-
ninger kan indsamles og behandles af Erhvervsstyrelsen
med henblik på læring og opbygning af en machine lear-
ning-model.
De oplysninger, som behandles efter lovforslaget, har i
vidt omfang karakter af oplysninger, som virksomheder er
pligtige til at indberette i medfør af eksempelvis selskabslo-
ven, lov om visse erhvervsdrivende virksomheder og års-
regnskabsloven. Lovforslaget omfatter imidlertid også op-
lysninger om personer, som har tilknytning til de pågælden-
de virksomheder. En del af de omhandlede oplysninger, der
er nødvendige at inddrage i forbindelse med machine lear-
ning-modellen, er derfor personoplysninger omfattet af data-
beskyttelsesforordningen og databeskyttelsesloven. Inddra-
gelsen af disse er nødvendige, idet det øger sandsynligheden
for at identificere mønstre og tegn på, at lovgivningen ikke
bliver overholdt.
I forhold til samkøring vil gennemførelsen af lovforslaget
sikre, at der er et klart og sikkert retsgrundlag, idet det dog
bemærkes, at databeskyttelsesforordningen ikke indeholder
et udtrykkeligt krav om, at der skal være en direkte lovhjem-
mel til samkøring. Der henvises i øvrigt til lovforslagets pkt.
3.1.2. Herved bemærkes, at databeskyttelsesforordningen
heller ikke fastsætter krav om, at myndighedens tilladelse
skal indhentes, når der foretages samkøring af oplysninger,
eller at der skal gives information til den registrerede, inden
samkøringen foretages. Efter databeskyttelsesforordningen
vil samkøring således skulle leve op til de almindelige prin-
cipper for og regler om behandling. Da samkøring per defi-
nition vil være en indgribende behandlingssituation, vil for-
ordningens artikel 5 om principper for behandling af perso-
noplysninger, herunder proportionalitetsprincippet, være
særligt relevant. I den forbindelse bemærkes det, at antallet
af sagsbehandlere, der vil blive beskæftiget med samkøring i
kontroløjemed, bliver begrænset mest muligt. Der henvises
om samkøring til Justitsministeriets betænkning nr.
1565/2017 om databeskyttelsesforordningen, side 86-87 og
side 96-97.
De behandlinger af personoplysninger, som foretages hos
Erhvervsstyrelsen efter lovforslaget, skal leve op til de reg-
ler, som er fastlagt i databeskyttelsesforordningen og data-
beskyttelsesloven. Lovforslaget indebærer således ikke no-
gen fravigelse af databeskyttelsesforordningen eller databe-
skyttelsesloven, jf. dog nedenstående afsnit.
Erhvervsministeren vil i medfør af lovforslagets § 1, stk.
5, og inden for rammerne af databeskyttelsesforordningens
artikel 23 fastsætte nærmere regler om, at Erhvervsstyrelsen
må behandle personoplysninger til andre formål, end de for-
mål, hvortil oplysningerne oprindeligt var indsamlet, uaf-
hængigt af, om der er forenelighed mellem disse formål, og
det formål, som de anvendes til ved styrelsens læring og ud-
vikling af modeller. Det indebærer konkret, at Erhvervssty-
relsen får adgang til at udnytte og foretage læring og test
med de data, som omfattes af de foreslåede bestemmelser i §
1, stk. 1-4, samt udnytte disse til konkret sagsbehandling.
9
Det fremgår af Justitsministeriets betænkning nr. 1565/2017
om databeskyttelsesforordningen, side 158, at en sådan
fremgangsmåde, hvorefter der i lovgivningen foretages fra-
vigelser af forordningen, er i overensstemmelse med databe-
skyttelsesforordningen, såfremt fravigelsen opfylder de
krav, som er fastlagt i forordningens artikel 23.
Det følger således af forordningens artikel 23, at en med-
lemsstats nationale ret kan begrænse rækkevidden af de for-
pligtelser og rettigheder, der er omhandlet i bl.a. artikel 5,
når en sådan begrænsning respekterer det væsentligste ind-
hold af de grundlæggende rettigheder og frihedsrettigheder
og er en nødvendig og forholdsmæssig foranstaltning i et
demokratisk samfund af hensyn til bl.a. kontrol-, tilsyns- el-
ler reguleringsfunktioner, der er forbundet med offentlig
myndighedsudøvelse i de tilfælde, der er omhandlet i litra
a)-e) og g). Det omfatter bl.a. en medlemsstats væsentlige
økonomiske eller finansielle interesser, herunder budget- og
skatteanliggender.
Formålet med begrænsningen af formålsbestemthedsprin-
cippet er i læringsøjemed at udvikle Erhvervsstyrelsens an-
vendelse af en machine learning-model, således at denne
kan genkende mønstre og tegn på svig på tværs af data. Her-
ved kan virksomheder med forhøjet risiko for at begå svig
med moms og afgifter samt anden økonomisk kriminalitet
identificeres. Det bemærkes, at de almindelige krav om pro-
portionalitet og dataminimering fortsat gælder ved test af
data. Adgangen til at anvende oplysninger til læring og test
samt udnyttelse af modelresultaterne vil således ikke kunne
benyttes i et videre omfang, end hvad der er nødvendigt for
at sikre, at den efter lovforslaget tilsigtede model vedrøren-
de deling og samkøring af data er operationel og virker efter
hensigten. Uanset, at der foretages en begrænsning af for-
målsbestemthedsprincippet i henhold til databeskyttelsesfor-
ordningens artikel 23, respekterer begrænsningen det væ-
sentligste indhold af de grundlæggende rettigheder og fri-
hedsrettigheder efter databeskyttelsesforordningens artikel
5, og fravigelsen hviler på væsentlige samfundsmæssige
hensyn til kontrol og misbrugsbekæmpelse på bl.a. skatte-
området. Udviklingen af machine learning-modellen er en
nødvendig forudsætning for, at lovforslagets ordning kan
udmøntes i praksis. Begrænsningen af formålsbestemtheds-
princippet relaterer sig udelukkende til de teknisk nødvendi-
ge tiltag forud for ibrugtagningen af machine learning-mo-
dellen. Forudgående udvikling af modellen indebærer i øv-
rigt, at modellens træfsikkerhed øges, hvilket får betydning
for, hvilke sager der udtages til manuel behandling af Er-
hvervsstyrelsen eller skattevæsenet. Dermed kan det sikres,
at den manuelle behandling af oplysninger, som foretages af
fysiske sagsbehandlere, fokuseres på de virksomheder, som
med høj sandsynlighed har til hensigt at begå svig.
Begrænsningen af formålsbestemthedsprincippet vurderes
på denne baggrund at være en nødvendig og forholdsmæssig
foranstaltning i et demokratisk samfund af hensyn til Er-
hvervsstyrelsens og andre offentlige myndigheders, herun-
der skattevæsenets, kontrol-, tilsyns- og reguleringsfunktio-
ner. Disse funktioner er en central del af den offentlige myn-
dighedsudøvelse og har tilknytning til bl.a. væsentlige øko-
nomiske og finansielle interesser. Begrænsningen af for-
målsbestemthedsprincippet vurderes således i denne hense-
ende at opfylde kravene til fravigelser i databeskyttelsesfor-
ordningens artikel 23. Det bemærkes, at det ved fastsættel-
sen af regler efter bestemmelsen skal vurderes, om betingel-
serne i databeskyttelsesforordningens artikel 23 er opfyldt.
Minimumskravene i artikel 23, stk. 2, skal således være op-
fyldt, for at formålsbestemthedsprincippet kan fraviges.
Efter lovforslagets § 1, stk. 5, fastsætter erhvervsministe-
ren nærmere regler for Erhvervsstyrelsens indsamling, vide-
regivelse og anden behandling af oplysninger efter stk. 1-4,
herunder om hvornår og til hvilke formål og opgaver oplys-
ninger kan indsamles og behandles, til hvilke myndigheder,
der kan ske videregivelse, hvornår sletning af oplysninger
skal finde sted, og om de tekniske og organisatoriske foran-
staltninger, der skal iagttages ved behandlingen. Det forud-
sættes, at denne bemyndigelse kan bruges til at fravige for-
målsbestemthedsprincippet i databeskyttelsesforordningens
artikel 5, og at denne fremgangsmåde er forenelig med for-
ordningens artikel 23. Bemyndigelsen skal således opfylde
kravene i forordningens artikel 23, stk. 2, som fastslår, at en-
hver lovgivningsmæssig foranstaltning, der begrænser bl.a.
formålsbestemthedsprincippet, som minimum, hvor det er
relevant, navnlig skal indeholde specifikke bestemmelser
vedrørende: a) formålene med behandlingen eller kategori-
erne af behandling, b) kategorierne af personoplysninger, c)
rækkevidden af de indførte begrænsninger, g) garantierne
for at undgå misbrug eller ulovlig adgang eller overførsel, e)
specifikation af den dataansvarlige eller kategorierne af da-
taansvarlige, f) opbevaringsperioder og de gældende garan-
tier under hensyntagen til behandlingens karakter, omfang
og formål eller kategorier af behandling, g) risiciene for de
registreredes rettigheder og frihedsrettigheder, og h) de regi-
streredes ret til at blive underrettet om begrænsningen, med-
mindre dette kan skade formålet med begrænsningen. Der
henvises nærmere til lovforslaget pkt. 3.1.2.2 samt bemærk-
ningerne til § 1, stk. 5.
Bemyndigelsesbestemmelsen i lovforslagets § 1, stk. 5, vil
således kunne anvendes til at fravige formålsbestemtheds-
princippet, hvilket vil ske i relation til i læringsøjemed at
udvikle modeller m.v., der kan genkende mønstre og tegn på
svig på tværs af data. Der foretages ikke øvrige begrænsnin-
ger i de registreredes rettigheder. Da der ikke i øvrigt foreta-
ges nogen fravigelse af databeskyttelsesforordningen og da-
tabeskyttelsesloven, skal spørgsmålet om underretning og
indsigt i data m.v. derfor afgøres efter de almindelige regler
i databeskyttelsesforordningen og databeskyttelsesloven.
Der henvises i øvrigt til lovforslagets § 1, stk. 5, med tilhø-
rende bemærkninger. I forhold til databeskyttelsesforordnin-
gens regulering af profilering, bliver der ikke med lovforsla-
get taget stilling til den administrative anvendelse og betyd-
ning af de dataanalyser, som er et resultat af den læring og
modelvikling, som de foreslåede bestemmelser har til hen-
sigt at skabe hjemmel til at foretage. Databeskyttelsesforord-
ningens artikel 22 fastslår, at personer har ret til ikke at være
genstand for en afgørelse, der alene er baseret på automatisk
behandling, herunder profilering, som har retsvirkning eller
10
på tilsvarende vis betydeligt påvirker den pågældende. I for-
bindelse med anvendelsen af udviklede modeller vil regler-
ne i forordningens artikel 22 skulle iagttages. Inden for ram-
merne af de foreslåede bestemmelser vil det blive sikret, at
der anvendes passende matematiske eller statistiske proce-
durer til profileringen. Der vil endvidere blive gennemført
tekniske og organisatoriske foranstaltninger, der navnlig kan
sikre, at faktorer, der resulterer i unøjagtige personoplysnin-
ger, bliver rettet, og at risikoen for fejl minimeres. Foran-
staltningerne skal tillige sikre personoplysninger på en må-
de, der tager højde for de potentielle risici for den registrere-
des interesser og rettigheder, og som hindrer bl.a. forskels-
behandling af fysiske personer på grund af race eller etnisk
oprindelse, politisk, religiøs eller filosofisk overbevisning,
fagforeningsmæssigt tilhørsforhold, genetisk status eller hel-
bredstilstand eller seksuel orientering, eller som resulterer i
foranstaltninger, der har en sådan virkning.
3.1.2.4. Forholdet til den Europæiske
Menneskerettighedskonvention
Den behandling af personoplysninger, som lovforslaget
omfatter, vil kunne udgøre et indgreb i retten til respekt for
privatliv, jf. EMRK artikel 8, stk. 1. Et sådant indgreb vil
alene kunne retfærdiggøres efter EMRK artikel 8, stk. 2,
hvis indgrebet er foreskrevet ved lov, hvis det varetager et
eller flere anerkendelsesværdige formål, og hvis det er nød-
vendigt i et demokratisk samfund for at opnå det eller de an-
førte formål (krav om proportionalitet).
Lovforslaget har bl.a. til formål at styrke Erhvervsstyrel-
sens og andre offentlige myndigheders, herunder skatte-
væsenets, kontrol og tilsyn, således at svig med moms og af-
gifter og anden økonomisk kriminalitet hindres, hvilket vur-
deres at være et anerkendelsesværdigt formål.
Lovforslaget varetager hensyn, som efter Erhvervsmini-
steriets opfattelse må anses for nødvendige i et demokratisk
samfund. Ministeriet har herved bl.a. lagt vægt på, at sam-
køring og anden behandling af oplysninger, herunder perso-
noplysninger, er en naturlig og grundlæggende forudsætning
for Erhvervsstyrelsens og andre offentlige myndigheders,
herunder skattevæsenets, bekæmpelse af svig og økonomisk
kriminalitet under anvendelse af større og større datamæng-
der.
Erhvervsministeriet finder på den baggrund, at lovforsla-
get kan gennemføres inden for rammerne af Danmarks for-
pligtelser efter EMRK. Ved udstedelse af bekendtgørelser
efter bemyndigelsen i § 1, stk. 5, skal det sikres, at de formål
og hensyn, som den konkrete dataanvendelse skal varetage,
er nødvendige og står i rimeligt forhold til den involverede
behandling af de registreredes oplysninger.
4. Økonomiske og administrative konsekvenser for det
offentlige
Lovforslaget medfører betydelige administrative konse-
kvenser, da det kræver ressourcer til implementering af da-
tadrevet kontrol, til efterbehandling og til en indsats vedrø-
rende datakvalitet. I henhold til aftale om styrket kontrol og
vejledning er der afsat 20 mio. kr. årligt i perioden
2018-2021 til styrket kontrol ved virksomhedsregistreringen
i Erhvervsstyrelsen.
Den foreslåede model indebærer øget manuel sagsbehand-
ling for den del af virksomhedsregistreringerne, hvor der er
risiko for svig med moms og afgifter eller anden økonomisk
kriminalitet. Det vil endvidere medføre øget manuel kontrol
og tilsyn efterfølgende inden for Erhvervsstyrelsens og an-
dre offentlige myndigheders kontrol- og tilsynsområder.
Lovforslaget identificerer ikke specifikke data til deling,
og der er dermed ikke direkte, konkrete økonomiske konse-
kvenser for skattevæsenet forbundet med lovforslaget. Det
vurderes dog, at udmøntningen af lovforslaget vil have min-
dre økonomiske og administrative konsekvenser for skatte-
væsenet, som det ikke på nuværende tidspunkt er muligt at
lave et skøn over.
5. Økonomiske og administrative konsekvenser for
erhvervslivet m.v.
Lovforslaget vurderes ikke at have økonomiske og admi-
nistrative konsekvenser for erhvervslivet.
6. Administrative konsekvenser for borgerne
Lovforslaget vurderes ikke at have administrative konse-
kvenser for borgerne.
7. Miljømæssige konsekvenser
Lovforslaget har ingen miljømæssige konsekvenser.
8. Forholdet til EU-retten
Lovforslaget indeholder ikke EU-retlige aspekter.
9. Hørte myndigheder og organisationer m.v.
Et udkast til lovforslag har i perioden fra den 13. novem-
ber 2017 til den 11. december 2017 været sendt i høring hos
følgende myndigheder og organisationer mv.: Advokatsam-
fundet/Advokatrådet, AgroSkat ApS, Akademikernes Cen-
tralorganisation, Arbejderbevægelsens Erhvervsråd, Ar-
bejdsmarkedets Tillægs Pension (ATP), Arbejdsmarkedssty-
relsen, Bryggeriforeningen, Børsmæglerforeningen, Central-
organisationens Fællesudvalg, CEPOS – Center for Politiske
Studier, Copenhagen Business School, Danish Venture Ca-
pital and Private Equity Association, Danmarks National-
bank, Danmarks Rederiforening, Danmarks Skibskredit A/S,
Danmarks Statistik, Dansk Aktionærforening, Dansk Ar-
bejdsgiverforening, Dansk Erhverv, Dansk Industri, Dansk
Investor Relations Forening – DIRF, Dansk Iværksætterfor-
ening, Dansk Landbrugsrådgivning – Videncenteret for
Landbrug, Dansk Told- og Skatteforbund – DTS, Danske
Advokater, Danske Regioner, Datatilsynet, De Samvirkende
Købmænd, Den Danske Dommerforening, Den Danske Fi-
nansanalytikerforening, Den Danske Fondsmæglerforening,
Det Kooperative Fællesforbund, Det Nationale Netværk af
Virksomhedsledere, Det Økonomiske Råds Sekretariat, Di-
gitaliseringsstyrelsen, Domstolsstyrelsen, Erhvervsstyrel-
sens Team Effektiv Regulering (TER), Finansforbundet, Fi-
nansrådet, Finanssektorens Arbejdsgiverforening, First
11
North, Foreningen af J. A. K. Pengeinstitutter, Foreningen
Danske Revisorer, Foreningen Freelance Bogholdere, For-
sikring & Pension, FSR – Danske Revisorer, Grønlands
Selvstyre, Håndværksrådet, IBIS – International Bistand, In-
ternational Solidaritet Oxfam, Ingeniørforeningen i Dan-
mark, Komiteen for god Selskabsledelse, Kommunekredit,
KL, Kuratorforeningen, Københavns Universitet, Landbrug
og Fødevarer, Landsdækkende Banker, Landsorganisationen
i Danmark, Ledernes Hovedorganisation, Liberale Erhvervs
Råd, Lokale Pengeinstitutter, NASDAQ OMX Copenhagen
A/S, Realkreditforeningen, Revisornævnet, Rigsadvokaten,
Rigsombuddet på Færøerne, Rigsrevisionen, Roskilde Uni-
versitetscenter, SKAT, Skattefaglig forening – SRF, Skatte-
revisorforeningen, Statsadvokaturen for særlig økonomisk
kriminalitet, Syddansk Universitet, Aalborg Universitet og
Aarhus Universitet.
10. Sammenfattende skema
Positive konsekvenser/mindreudgifter
(hvis ja, angiv omfang)
Negative konsekvenser/merudgifter
(hvis ja, angiv omfang)
Økonomiske konsekvenser for stat,
kommuner og regioner
Det forventes, at anvendelsen af ma-
chine learning vil have en positiv ef-
fekt på skattegabet.
Lovforslaget indebærer anvendelse af
ressourcer til implementering af data-
drevet kontrol, til efterbehandling og
til en indsats vedrørende datakvalitet.
Administrative konsekvenser for stat,
kommuner og regioner
Ingen Lovforslaget indebærer implemente-
ring af datadrevet kontrol, efterbehand-
ling og en indsats vedrørende data-
kvalitet.
Økonomiske konsekvenser for er-
hvervslivet
Ingen Ingen
Administrative konsekvenser for er-
hvervslivet
TER vurderer, at forslaget ikke medfø-
rer administrative konsekvenser for er-
hvervslivet.
TER vurderer, at forslaget ikke medfø-
rer administrative konsekvenser for er-
hvervslivet.
Administrative konsekvenser for bor-
gerne
Ingen Ingen
Miljømæssige konsekvenser Ingen Ingen
Forholdet til EU-retten Ingen Ingen
Overimplementering af EU-retlige mi-
nimumsforpligtelser (sæt X)
JA NEJ
X
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Den foreslåede § 1 har til formål at etablere et klart retligt
grundlag for, at Erhvervsstyrelsen kan indsamle og behandle
en række oplysninger i form af deling og samkøring af data,
når det er nødvendigt af hensyn til udførelsen af Erhvervs-
styrelsens opgaver.
Det er ikke hensigten med bestemmelsen at fravige tav-
shedspligtsbestemmelser m.v. på Erhvervsstyrelsens områ-
der, og disse vil derfor fortsat skulle overholdes ved udnyt-
telse af oplysninger til deling og samkøring af data efter den
foreslåede bestemmelse.
Efter det foreslåede stk. 1 kan Erhvervsstyrelsen indsamle
og behandle, herunder foretage samkøring af, oplysninger
fra andre offentlige myndigheder og fra offentligt tilgænge-
lige kilder, når det er nødvendigt af hensyn til udførelsen af
styrelsens opgaver. Dette omfatter både almindelige, fortro-
lige og følsomme oplysninger.
Oplysningerne, som indsamles og behandles efter bestem-
melsen, vil i første række være oplysninger om fysiske per-
soners indkomst og økonomiske forhold i øvrigt (indkomst-
registret, skatteoplysninger (R75) og skattekontoen), oplys-
ninger om hvorvidt fysiske eller juridiske personer har på-
ført eller forsøgt at påføre det offentlige væsentlige tab
(KINFO), oplysninger om moms eller afgifter (erhvervssy-
stemet), oplysninger om fysiske eller juridiske personer, der
er blevet nægtet registrering, fordi de ikke har stillet den
krævede sikkerhed (træskoregistret), oplysninger om juridi-
ske personers selvangivelser, omstruktureringer og under-
skudsregister (DIAS), og oplysninger om fysiske personer,
der ved dom er frataget muligheden for at deltage i ledelsen
af en erhvervsvirksomhed uden at hæfte personligt og ube-
grænset for virksomhedens forpligtelser (konkurskarantæne-
registret).
Der vil kunne indsamles og behandles offentligt tilgænge-
lige oplysninger, herunder fra søgemaskiner som f.eks.
Google, kortdata og adresseoplysninger m.v. Indsamlingen
og behandlingen, herunder samkøringen, efter den foreslåe-
12
de stk. 1 vil navnlig blive brugt til at styrke kontrol ved virk-
somhedsregistrering hos Erhvervsstyrelsen.
Det er Erhvervsstyrelsens vurdering, at der bør fastsættes
en udtrykkelig hjemmel til at indsamle og behandle oplys-
ninger fra offentligt tilgængelige kilder, henset til den øgede
brug af oplysninger fra offentligt tilgængelige kilder sam-
menholdt med den øgede digitalisering og de stigende data-
mængder fra offentligt tilgængelige kilder. Lovforslaget in-
debærer ikke en udvidet adgang til at indsamle oplysninger
fra offentligt tilgængelige kilder, men sikrer alene et klart
hjemmelsgrundlag for Erhvervsstyrelsens indsamling og be-
handling af oplysninger fra offentligt tilgængelige kilder. I
forbindelse med beslutningen om, hvilke offentligt tilgæn-
gelige oplysninger, som Erhvervsstyrelsen vil indsamle og
behandle, vil Erhvervsstyrelsen foretage en vurdering af,
hvorvidt det er sagligt og proportionalt at indsamle og be-
handle den pågældende type oplysning. Derved sikres det, at
den pågældende type oplysning alene indsamles og behand-
les, såfremt det er nødvendigt og ikke går videre, end hvad
formålet tilsiger.
Udtrykket »samkøring« er en fælles betegnelse for for-
skellige tekniske løsninger, som vedrører sammenkobling af
oplysninger, der kommer fra forskellige registre. Under
samkøring hører maskinelle overførsler, hvorved et register
tilføres oplysninger fra et andet register, således at det mod-
tagende register udvides med disse oplysninger. Til begrebet
samkøring henregnes endvidere maskinelle sammenstillin-
ger af oplysninger fra forskellige registre, hvorved der dan-
nes et nyt »uddata-produkt«, f.eks. et nyt register.
Begrebet »offentligt tilgængelige kilder« skal forstås bredt
og omfatter således både personoplysninger og andre oplys-
ninger fra enhver offentligt tilgængelig kilde, herunder en-
hver informationskilde af både elektronisk og ikke-elektro-
nisk karakter, som inden for rammerne af gældende ret kan
tilgås i det offentlige rum. Oplysninger og kilder, der er til-
gængelige på almindelige kommercielle vilkår, f.eks. gen-
nem betaling af abonnement eller andre former for beta-
lingstjenester, anses tillige som offentligt tilgængelige.
Med »nødvendigt af hensyn til udførelsen af styrelsens
opgaver« sigtes til, at der ikke ændres på det grundlæggende
kriterium om, at anvendelse af oplysninger, herunder perso-
noplysninger, kræver et sagligt formål, og at behandlingen
ikke må være mere omfattende, end forholdet tilsiger. Der er
ikke tilsigtet nogen fravigelse af databeskyttelsesforordnin-
gen eller databeskyttelseslovens regler i den forbindelse.
Erhvervsstyrelsens indsamling og behandling af oplysnin-
ger fra andre offentlige myndigheder og offentligt tilgænge-
lig kilder vil omfatte oplysninger, som er offentliggjort, eller
som andre myndigheder er i besiddelse af forud for ikraft-
træden. Oplysningerne vil således kunne vedrøre forhold fra
tidligere end nærværende lovs ikrafttræden.
Efter det foreslåede stk. 2 kan Erhvervsstyrelsen behandle,
herunder samkøre, oplysninger, som styrelsen ud over de til-
fælde, der er nævnt i lovforslagets § 1, stk. 1, er i besiddelse
af, når det er nødvendigt af hensyn til udførelsen af styrel-
sens kontrol- og tilsynsopgaver. Den foreslåede bestemmel-
se omfatter dermed alle øvrige oplysninger, som styrelsen er
i besiddelse af. Det kan eksempelvis være oplysninger, som
virksomheder har indberettet til Erhvervsstyrelsen, som føl-
ge af deres indberetningspligter i selskabslovgivningen, eller
det kan være kontrolsager, hvor Erhvervsstyrelsen har ind-
samlet oplysninger fra virksomhederne. Reglen vil blive an-
vendt til at udnytte Erhvervsstyrelsens eksisterende oplys-
ninger til at styrke Erhvervsstyrelsens kontrol- og tilsyns-
funktioner også på tværs af styrelsens områder. Det vurderes
primært at være nødvendigt, at anvende oplysningerne inden
for styrelsens kontrol- og tilsynsområder, hvorfor bestem-
melsen er begrænset hertil.
Det foreslåede stk. 2 fraviger inden for bestemmelsens an-
vendelsesområde fremgangsmådelovens § 4, stk. 2, jf. pkt.
3.1.1.1, som foreskriver, at fortrolige og følsomme oplysnin-
ger samt oplysninger om andre rent private forhold udeluk-
kende kan anvendes inden for samme kompetenceområder,
som oplysningerne er indhentet til brug for. Hvor den fore-
slåede stk. 2 ikke finder anvendelse, herunder ved behand-
ling af oplysninger til andre formål end Erhvervsstyrelsens
kontrol- og tilsynsopgaver, vil fremgangsmådelovens § 4,
stk. 2, fortsat i givet fald skulle overholdes.
Det foreslås i bestemmelsens stk. 3, at Erhvervsstyrelsen
til brug for udførelsen af styrelsens opgaver kan få terminal-
adgang til alle nødvendige oplysninger om fysiske eller juri-
diske personers økonomiske eller erhvervsmæssige forhold i
indkomstregistret, jf. § 7 i lov om et indkomstregister. Ved
»terminaladgang« menes en direkte elektronisk adgang til at
indsamle oplysninger fra det pågældende register. Der er
alene adgang til oplysninger i indkomstregisteret i det om-
fang, det efter en konkret vurdering er nødvendigt og sag-
ligt. Det foreslåede stk. 3 har til formål at tilvejebringe klar
hjemmel til at anvende registret til sammenstilling og sam-
køring af oplysninger.
Oplysninger, som er indsamlet efter lovforslagets § 1, stk.
3, kan alene behandles, såfremt der er udtrykkelig lovhjem-
mel hertil, jf. § 7 i lov om et indkomstregister, og kan derfor
kun videregives til andre offentlige myndigheder, som også
har udtrykkelig hjemmel i lov til at anvende disse oplysnin-
ger.
Det foreslås i bestemmelsens stk. 4, at Erhvervsstyrelsen
kan indsamle og behandle oplysninger, som omfattes af stk.
1-3, samt videregive disse oplysninger til andre offentlige
myndigheder, når det er nødvendigt for deres myndigheds-
udøvelse i kontrol- og tilsynsøjemed.
Det vurderes primært at være nødvendigt at behandle, her-
under indsamle og videregive oplysningerne til andre offent-
lige myndigheder, når dette sker til brug for deres kontrol-
og tilsynsområder, hvorfor bestemmelsen er begrænset her-
til.
Kontrol- og tilsynsopgaver i bestemmelsens forstand om-
fatter også politiets opgaver i forbindelse med forebyggelse,
efterforskning og forfølgning mv. af strafbare forhold. Det
bemærkes, at Erhvervsstyrelsens videregivelse af oplysnin-
ger til politiet med henblik på at oplysningerne danner
grundlag for, eller inddrages i, en verserende efterforskning
13
af et strafbart forhold, efter gældende ret kan finde sted, selv
når der alene er tale om antagelser eller mistanker og uanset
det konkrete strafbare forholds strafværdighed.
De kontrolresultater, som andre offentlige myndigheder,
herunder skattevæsenet, opnår som følge af de oplysninger,
der videregives fra Erhvervsstyrelsen i medfør af lovforsla-
gets stk. 4, kan have betydning for Erhvervsstyrelsens frem-
adrettede vurdering af risikoen for, om virksomheder m.v.
vil begå svig og anden økonomisk kriminalitet omfattet af
andre offentlige myndigheders lovgivning, herunder skatte-
og afgiftslovgivningen. Adgangen til at indsamle og behand-
le oplysninger efter lovforslagets stk. 1 og 4 omfatter derfor
også andre offentlige myndigheders, herunder skattevæse-
nets, kontrolresultater, som er dannet på grundlag af Er-
hvervsstyrelsens videregivelse af oplysninger til disse andre
offentlige myndigheder. Det vil i bekendtgørelse udstedt i
medfør af lovforslagets § 1, stk. 5, blive fastsat, til hvilke
andre offentlige myndigheder Erhvervsstyrelsen kan videre-
give oplysninger.
Det foreslåede stk. 4 har til formål at give Erhvervsstyrel-
sen et klart retsgrundlag for, at styrelsen af egen drift kan vi-
deregive oplysninger til andre offentlige myndigheder, som
ved brug af machine learning vurderes at være af væsentlig
betydning for disse myndigheders kontrol- og tilsynsopga-
ver. Vurderingen af, hvilke oplysninger som vil være af væ-
sentlig betydning for andre offentlige myndigheders kontrol-
og tilsynsopgaver, foretages på grundlag af på forhånd fast-
satte kriterier. Dette kan f.eks. i relation til videregivelse til
skattevæsenet være tilfælde, hvor machine learning-model-
len vurderer, at der er høj risiko for, at en virksomhed vil be-
gå svig eller anden økonomisk kriminalitet. Erhvervsstyrel-
sen tager stilling til, om kriterierne er opfyldte, således at de
dels sikrer, at videregivelse af oplysninger tjener et sagligt
formål, og dels at oplysningerne er begrænsede til, hvad der
er nødvendigt i forhold til den modtagende myndigheds
kontrol- og tilsynsopgaver.
Det bemærkes, at der med den foreslåede bestemmelse ik-
ke er tilsigtet nogen ændring af andre offentlige myndighe-
ders adgang til efter anmodning at få udleveret de oplysnin-
ger, som styrelsen er kommet i besiddelse af, herunder op-
lysninger indsamlet i medfør af lovforslagets stk. 1-3. Der er
med den foreslåede bestemmelse endvidere ikke tilsigtet no-
gen ændring af, i hvilket omfang styrelsen på baggrund af
en konkret vurdering kan videregive oplysninger til andre
offentlige myndigheder. Disse spørgsmål afgøres efter de al-
mindelige regler om videregivelse af oplysninger mellem
offentlige myndigheder, herunder de regler, som er fastlagt i
databeskyttelsesloven, databeskyttelsesforordningen og for-
valtningsloven. Derudover kan oplysninger i medfør af lov-
forslagets § 1, stk. 4, alene videregives til andre offentlige
myndigheder, som har hjemmel til at anvende disse. Dette
medfører ikke et krav om eksplicit lovhjemmel i alle tilfæl-
de, men kan konkret gøre det i forhold til bestemte oplysnin-
ger f.eks. oplysninger om konkurskarantæne, hvor der er
krav om hjemmel i lov eller bekendtgørelse.
Der foreslås i bestemmelsens stk. 5 indsat hjemmel for er-
hvervsministeren til at fastsætte nærmere regler for Er-
hvervsstyrelsens indsamling, behandling og videregivelse af
oplysninger, herunder om hvornår og til hvilke formål op-
lysninger kan indsamles og behandles, hvornår sletning af
oplysninger skal finde sted, hvilke myndigheder Erhvervs-
styrelsen kan videregive oplysninger til og om de tekniske
og organisatoriske foranstaltninger, der skal iagttages ved
behandlingen. Ved fastsættelsen af disse regler vil de invol-
verede offentlige myndigheder blive inddraget.
Adgangen til at fastsætte regler skal ske inden for ramme-
rne af arkivlovens regler om bevaring og kassation af offent-
lige arkivalier m.v., samt anden lovgivning, som indeholder
krav til opbevaring og sletning. Ved sletning forstås i over-
ensstemmelse hermed arkivering og kassation af de omfatte-
de oplysninger.
Bestemmelsen indebærer herudover, at erhvervsministe-
ren skal fastsætte regler, som sikrer et passende beskyttel-
sesniveau i forbindelse med Erhvervsstyrelsens gennemfø-
relse af behandling i tillæg til de almindelige regler i databe-
skyttelsesforordningen.
Som nævnt i pkt. 3.1.2 og 3.1.2.3 i de almindelige be-
mærkninger vil erhvervsministeren i medfør af lovforslagets
stk. 5 og inden for rammerne af databeskyttelsesforordnin-
gens artikel 23 fastsætte nærmere regler om, at Erhvervssty-
relsen må viderebehandle personoplysninger til andre for-
mål, end de oprindeligt var indsamlet til, uafhængigt af for-
målenes forenelighed (formålsbestemthedsprincippet).
Ved udnyttelsen af bemyndigelsen skal kravene i forord-
ningens artikel 23, stk. 2, være opfyldt, hvilket medfører, at
der ved Erhvervsstyrelsens udstedelse af en bekendtgørelse,
der begrænser bl.a. formålsbestemthedsprincippet, som mi-
nimum, hvor det er relevant, navnlig skal indeholde speci-
fikke bestemmelser vedrørende de i artikel 23, stk. 2, påkræ-
vede bestemmelser.
Begrænsningen af formålsbestemthedsprincippet indebæ-
rer konkret, at Erhvervsstyrelsen får adgang til at foretage
test med de data, som omfattes af de foreslåede bestemmel-
ser i stk. 1-4. Det fremgår af Justitsministeriets betænkning
nr. 1565/2017 om databeskyttelsesforordningen, side 158, at
en sådan fremgangsmåde, hvorefter der i lovgivningen fore-
tages fravigelser af forordningen, er i overensstemmelse
med databeskyttelsesforordningen, såfremt fravigelsen op-
fylder de krav, som er fastlagt i forordningens artikel 23.
Begrænsningen af formålsbestemthedsprincippet vurderes
at være en nødvendig og forholdsmæssig foranstaltning i et
demokratisk samfund af hensyn til Erhvervsstyrelsen og an-
dre offentlige myndigheders, herunder skattevæsenets, kon-
trol-, tilsyns- og reguleringsfunktioner, der udgør offentlig
myndighedsudøvelse.
Formålet er bl.a. at sikre det lovgivningsmæssige grundlag
for, at der i læringsøjemed kan udvikles modeller m.v., der
kan genkende mønstre og tegn på svig på tværs af data. Det
bemærkes, at de almindelige krav om proportionalitet og da-
taminimering fortsat gælder ved anvendelse af data. Det for-
udsættes derfor at adgangen til at fastsætte regler om, at der
kan anvendes oplysninger til læringsformål for modeludvik-
lingen ikke benyttes i et videre omfang, end hvad der er
14
nødvendigt for at sikre, at den efter lovforslaget tilsigtede
model vedrørende samkøring af data er operationel og virker
efter hensigten.
Den foreslåede bestemmelse i stk. 5 kan alene anvendes til
at fravige formålsbestemthedsprincippet i relation til be-
handling af oplysninger i henhold til stk. 1-4. Det skal vur-
deres konkret, om fravigelser, der fastsættes i medfør af be-
stemmelsen, lever op til databeskyttelsesforordningens arti-
kel 23.
Der foretages ikke i øvrigt fravigelse af reglerne i databe-
skyttelsesforordningen, herunder de registreredes rettighe-
der. Spørgsmålet om underretning og indsigt i data m.v.,
som behandles i medfør af stk. 1-4, skal derfor afgøres efter
de almindelige regler i databeskyttelsesforordningen og da-
tabeskyttelsesloven.
Der henvises i øvrigt til pkt. 3.1.2 og 3.1.2.3 i lovforsla-
gets almindelige bemærkninger.
Til § 2
Det foreslås i § 2, at loven træder i kraft den 1. juli 2018.
Erhvervsstyrelsens indsamling og behandling af oplysnin-
ger fra andre offentlige myndigheder og offentligt tilgænge-
lig kilder vil omfatte oplysninger, som er offentliggjort, eller
som andre myndigheder er i besiddelse af forud for ikraft-
træden. Oplysningerne vil således kunne vedrøre forhold fra
tidligere end nærværende lovs ikrafttræden.
Til § 3
Bestemmelsen vedrører lovens territoriale gyldighed.
Persondataloven gælder ikke for Færøerne, jf. persondata-
lovens § 83, 1. pkt., men er dog sat i kraft i medfør af denne
bestemmelse ved kongelig anordning nr. 754 af 19. juni
2017 for behandling af personoplysninger for rigsmyndighe-
derne på Færøerne. Persondatalovens kapitel 6 a er imidler-
tid ikke sat i kraft for Færøerne. For andre end rigsmyndig-
hederne gælder på Færøerne i stedet lagtingslov nr. 73 af 8.
maj 2001 om behandling af personoplysninger med senere
ændringer.
Det foreslås, at loven ikke skal gælde for Færøerne, men
at loven delvis skal kunne sættes i kraft for rigsmyndighe-
derne på Færøerne med de afvigelser, som de færøske for-
hold tilsiger.
Persondataloven gælder endvidere ikke for Grønland, jf.
persondatalovens § 83, 2. pkt., men er sat i kraft for Grøn-
land ved kongelig anordning nr. 1238 af 14. oktober 2016.
Persondatalovens kapitel 6 a er imidlertid ikke sat i kraft for
Grønland.
Det foreslås, at loven ved kongelig anordning kan sættes i
kraft for Grønland – og ikke blot for rigsmyndighederne –
med de afvigelser, som de grønlandske forhold tilsiger.
15