GDPR
Sinds 25 mei 2018 zijn de GDPR-regels in heel de Europese Unie in werking. Deze Europese verordening regelt hoe en waarvoor data verzameld, bijgehouden en verwerkt mogen worden. Ieder bedrijf, vereniging of instantie die bezig is met de verwerking van persoonsgegevens wordt aan deze regels onderworpen. In feite wil dat zeggen dat iedereen er mee te maken krijgt. Iedereen is immers op één of andere manier bezig met persoonsgegevens van anderen. Alleen voor particulieren gelden de regels niet.
Ook de fiscus
In principe is ook de fiscus onderworpen aan de GDPR-regels. De fiscus moet dus de privacy van de belastingplichtige respecteren en omzichtig omspringen met de gegevens die ze over de belastingplichtigen verzamelt.
De belastingplichtige heeft:
- recht op informatie
- recht op inzage
- recht om te weten waarom zijn gegevens worden verzameld en verwerkt
- recht te weten hoelang zijn gegevens worden opgeslagen
- recht een klacht in te dienen bij de gegevensbeschermingsautoriteit als zijn rechten niet worden gerespecteerd.
Uitzonderingen waarop de fiscus beroep kan doen
Anderzijds is het ook logisch dat de fiscus wat meer mogelijkheden heeft dan bv. een privéonderneming. De fiscus moet natuurlijk zijn werk kunnen doen. In een moderne gedigitaliseerde wereld betekent dat een aantal uitzonderingen in de wet werden ingeschreven, o.a.:
- profilering: geautomatiseerde verwerking van persoonsgegevens waarmee de kenmerken van een natuurlijke persoon worden geëvalueerd, om zo zijn beroepsprestaties, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.
- datamining: techniek om op basis van grote hoeveelheden data gedrag van bepaalde personen in te schatten. De fiscus kan deze techniek bijvoorbeeld gebruiken om in te schatten bij welke belastingplichtigen het risico op een bepaalde onregelmatigheid het grootst is.
Uiteraard is het een moeilijk evenwicht tussen de rechten van de belastingplichtige en moderne technieken als profilering. Aan de ene kant heeft een belastingplichtige het recht om niet louter op basis van profilering aan een fiscaal regime te worden onderworpen. Zo mag de fiscus eigenlijk geen aanslag sturen die helemaal voortkomt uit automatische gegevensverwerking. Als er “passende maatregelen zijn om de rechten en vrijheden en gerechtvaardigde belangen van de belastingplichtige te beschermen” is er echter geen probleem. Hoever de fiscus bij een onderzoek kan gaan en wanneer de fiscus zich kan baseren op indicatoren uit datamining zal nog duidelijker moeten blijken uit de praktijk.
De GDPR geeft een persoon het recht om te vragen dat zijn gegevens gewist worden. Fiscaal ligt dat veel moeilijker. De overheid (hier specifiek de fiscus) heeft die gegevens immers nodig voor een taak van algemeen belang of het uitoefenen van het openbaar gezag. Het recht om vergeten te worden, dat een belastingplichtige heeft tegenover bv. Google, heeft hij niet tegenover de fiscus.
Ook de rechten die de belastingplichtige wel heeft, zoals het recht op inzage, zijn soms beperkter in fiscalbus. De precieze beperkingen worden in detail in de wet opgesomd. Zo is het recht op inzage uitgesloten tijdens bepaalde fases van het fiscaal onderzoek.
Verandert er echt iets? De belastingplichtige heeft nu een betere basis om zijn rechten te beschermen en te eisen dat ook de fiscus die respecteert.