オランダデータ保護当局APは、2022年4月7日、税務当局における不正検知システムの利用に関し、複数の違反を認定し、財務大臣に対し合計370万ユーロの制裁金を課しました(Boete Belastingdienst zwarte lijst FSV | Autoriteit Persoonsgegevens)。
本件は、行政機関による個人データ処理に関し、参考になると思いますので、決定文の抄訳を掲載します(Claudeで全訳→語法を手作業で訂正→重要部分を抜粋→下線を引く、というプロセスで作成しています。)。
概要
決定文序文。
「個人データ保護機関(以下:AP)は、財務大臣に対し、総額3,700,000ユーロの行政制裁金を科すことを決定した。APは、財務大臣が税務当局の処理のコントローラーとして、2013年11月4日から2020年2月27日まで、不正シグナリング機能(以下:SV)アプリケーションにおける個人データの処理により、適法性、目的特定、正確性及び保存制限の原則に違反して行動したと結論付けた。
前述の4つの原則の違反に加えて、APは、税務当局がFSVの個人データに適切なセキュリティレベルを保証するために、アクセスセキュリティ、ロギング及びロギングの管理に関して、十分かつ適切な技術的及び組織的措置を講じていなかったと結論付けた。最後に、APは、税務当局がFSVのデータ保護影響評価(以下:DPIA)の実施において、データ保護責任者(以下:DPO)を適切かつ適時に関与させなかったと結論付けた。
APは以下でこの決定について詳しく説明する。第1章はイントロダクションであり、第2章には調査結果が含まれている。第3章では行政制裁金の(金額の)詳細が説明され、第4章には最後に主文及び法的救済条項が含まれている。」
調査結果の要約
決定文2.1。
「税務当局は、FSVに主に不正を犯した者及び税金又は給付金の不正を犯した可能性があると疑われた者を記録した。FSVは税務当局内で税務申告及び給付金の申請の評価に使用され、他の政府機関からの情報要求の登録に使用された。FSVはリスクモデルの作成にも参照され、税金又は給付金の債務の徴収に関連して罰金を科すべきかどうかの判断にも使用された。
2013年11月4日から2020年2月27日の期間において、税務当局は、疑われた不正及び確定した不正のシグナルと情報要求をFSVに登録、変更、参照、使用、結合し、FSV外に少なくとも244,273人及び30,000事業者について拡散した。これにより、税務当局は、GDPR第4条柱書及び1、2及び15号、GDPR第10条並びに旧オランダデータ保護法第1条柱書及びa及びb号並びに旧オランダデータ保護法第16条の意味における個人データ(健康、国籍及び刑事個人データに関するデータを含む)を処理した。
APは、財務大臣がGDPR第4条柱書及び7号並びに旧オランダデータ保護法第1条柱書及びd号に定められているように、税務当局によるFSVにおける個人データ処理のコントローラーであることを確認する。本決定において税務当局が言及される場合、APはこれを財務大臣と同等とする。
次にAPは、税務当局が2013年11月4日から2020年2月27日まで、FSVにおける個人データの処理により、適法性、目的特定、正確性及び保存制限の原則に違反して行動したことを確認する。APは以下でこれらの違反について説明する。
個人データは、GDPR第5条第1項柱書及びa号並びに旧オランダデータ保護法第6条に定められている適法性の原則に従って処理されなければならない。これは、GDPR第6条第1項及び旧オランダデータ保護法第8条に記載されている個人データの処理の根拠が存在しなければならないことを意味する。APは、FSVにおける個人データの処理には根拠がなかったと結論付ける。税務当局はこれらの処理について、「法的義務」を根拠として援用することに成功しなかった。なぜなら、(可能な)不正のシグナル及び情報要求を反対情報として処理する義務がなかったからである。
税務当局による「公共の利益に基づくタスクの履行又は公的権限の行使の枠組みにおけるタスクの履行に必要」という根拠の援用も成功しない。一般国税法、一般所得依存規制法、Awb第5.2編及び実体法の体系は、税務当局に(具体的なケースにおいて)監督目的で個人データを収集する権限を確かに与えている。しかし、この法律は、FSVにおける別個の、構造的な、大規模でセグメントを超えた多様な、(過度に)詳細な(特別及び刑事)個人データの収集の根拠として機能するには十分に具体的ではない。さらに、FSVにおける処理は、税務当局が税金及び給付金に関する法律の遵守を監督する公的タスクを履行するために必要ではなかった。関係者の利益への侵害が処理によって達成される目的と比較して不均衡であったため、比例性の原則が満たされていなかった。その際、FSVの目的が明確に定められておらず、したがって不明確であったことが重要である。さらに、APは、追求される目的が他の、より制限的な方法で、すなわちFSVなしで、又は他のより制限的なアプリケーションの形成によって達成できるため、補完性の原則も満たされていないと考える。
個人データはさらに、GDPR第5条第1項柱書及びb号並びに旧オランダデータ保護法第7条に定められている目的特定の原則に従って処理されなければならない。これは、個人データが明確に定められた明示的な目的のためにのみ収集されることを意味する。APは調査の後、FSVにおける個人データの収集の事前に定式化された目的が明確に定められていなかったと結論付ける。
個人データはさらに、GDPR第5条第1項柱書及びd号並びに旧オランダデータ保護法第11条第2項に定められている正確性の原則に従って処理されなければならない。これは、個人データが正確でなければならず、必要に応じて更新されなければならないことを意味する。APは、FSVには不正確で更新されていない個人データがあり、税務当局がこれらの個人データを修正又は削除するための合理的な措置を講じなかったことを確認する。
個人データは、GDPR第5条第1項柱書及びe号並びに旧オランダデータ保護法第10条第1項に定められている保存制限の原則に従っても処理されなければならない。これは、個人データが必要以上に長く保存されてはならないことを意味する。APの調査から、FSVの個人データがFSVの個人データに適用される保存期間よりも長く保存されていたことがわかる。これにより、税務当局は個人データを(したがって)必要以上に長く保存した。
前述の4つの規範及び基礎となる原則の違反に加えて、APは、税務当局がFSVの個人データに適切なセキュリティレベルを保証するために、アクセスセキュリティ、ロギング及びロギングの管理に関して十分かつ適切な技術的及び組織的措置を講じていなかったと結論付ける。これにより、税務当局は2013年11月4日から2020年2月27日まで、GDPR第32条第1項及び旧オランダデータ保護法第13条に違反して行動した。
最後に、APは、税務当局がFSVのGEBの実施においてDPOを適切かつ適時に関与させなかったと結論付ける。この行為により、税務当局はGDPR第38条第1項及びGDPR第35条第2項に違反して行動した。」
侵害の性質・重大性・期間関係
決定文3.3.1。制裁金額を決定する文脈での言及。
「FSVにおける個人データの不正な処理の性質及び範囲を考慮すると、APは税務当局による違反が非常に重大であると考える。税務当局は、FSVにおいて270,000人以上の関係者に関する540,000以上のシグナルを不正に処理した。この非常に大きなグループの市民(数百人の未成年者を含む)は、個人データ保護の権利において深刻な影響を受けた。その際、APは、関係市民が税務当局に対して従属的で不平等な立場にあることを考慮する。市民は税務当局に対して税務申告を行う義務又は特定の給付金を申請する可能性のみを有するからである。税務当局の意見提出後、税務当局がFSVからのデータを他の政府機関及び民間当事者とも共有していたことが判明した。APは、税務当局がその広範な権限及び市民に対して占める不平等な立場を考慮すると、この場合、その権限を極めて不注意に扱ったことを非難に値すると考える。
違反の期間に関して、APは、税務当局が6年以上の期間にわたって侵害を犯したこと、すなわち2013年11月4日から2020年2月27日まで犯したことを確認した。違反がこのように長期間にわたって構造的に継続したという事実を、APは非常に重大であると考える。
FSVに(潜在的)不正者として記録された市民への結果は非常に大きかった可能性がある。場合によっては、市民は十分な調査に基づかずに「不正者」という烙印を押された。そして、調査が行われ、不正がないことが判明した場合でも、この結論はFSVに記録されないことが多く、不正の疑いがFSVに残った。FSVへの登録(他の指標との組み合わせの可能性がある)は、その市民にとって汚名、より集中的な監督につながる可能性があり、及び/又は否定的な財政的結果をもたらした。
より集中的な監督は、例えば、その市民にとって不利に所得税申告が修正される、又は介護、住宅又は育児給付金の資格を得るための申請が却下されるという結果をもたらす可能性があった。また、給付金債務に対する個人的な支払い計画の要求又は税金又は給付金債務に対する任意の債務整理は、その市民のFSV登録のために自動的に却下された。市民はこれにより、財政状況について非常に長い間不確実性の中にいた。さらに、関係者は自分がFSVに記載されているという事実について通知されず、そのような趣旨の閲覧要求の後でも通知されなかった。これにより、関係者は自分がFSVに記載されていることを知らず、したがって権利を行使できなかったという結果が生じた。
税務当局の調査から、税務当局内及び税務当局と他の政府機関との間のコミュニケーションにおいて、リスクのシグナリングに関する例が見つかったことがさらに判明した。そこでは、国籍や外見などの個人的特徴に基づいて不正リスクが示された。例えば、(指示)文書において、外国籍(トルコ、モロッコ、東ヨーロッパなど)がさらなる税務調査の選択基準として使用された。しかし、モスクへの寄付や、「–ić」で終わる姓を持つ納税者による医薬品使用に関連する高額の控除も、不正のリスク指標として使用された。不正リスク選択におけるこの不平等な取り扱いは、汚名のリスクが大きい。さらに、税務当局がこの差別的でしたがって不適切なデータ処理方法について合理的で客観的な正当化を有していたことは示されていない。」
個人データのカテゴリ関係
決定文3.3.2。制裁金額を決定する文脈での言及。具体的なデータ項目がかかれているのはここだけに見えます。
「税務当局はFSVにおいて多くの(異なる)個人データを処理した。FSVのシグナルは、少なくとも市民サービス番号及び住所、氏名、居住地データ、口座番号、IPアドレスなどを含むいくつかの入力フィールドで構成されていた。シグナルには人の国籍及び犯罪行為及び刑事判決に関する文書が含まれることもあった。税務当局はさらに、場合によっては市民の身体的又は精神的健康に関するデータも処理した。これはGDPRの下で追加の保護を受ける特別カテゴリーの個人データである。APはまた、シグナルがシグナルが(直接)関係しない者、例えば家族、税務サービス提供者、保育者に関するデータを含む可能性があることを確認した。範囲及び機密性の高い個人データの性質を考慮して、APはこの根拠に基づいても違反が特に重大であると考える。」
DPIA関係
決定文3.4。制裁金額を決定する文脈での言及。
「DPOは、特にGDPRの内部遵守の監督においてコントローラーを支援する。このためには、コントローラーがDPOを個人データの保護に関連するすべての問題に適切かつ適時に関与させることが重要である。APは、税務当局がFSVのDPIAの実施においてDPOを適切かつ適時に関与させなかったことを確認した。
税務当局は、2018年11月6日から2019年1月21日までDPIAを実施した。この期間から1年以上経過して初めて、DPOにDPIAについて助言するよう求められた。したがって、税務当局はDPIAの実施中にDPOに助言を求めなかった。この結果、DPOは自らのタスクを適切に実行できず、したがって税務当局にGDPRの遵守について適時に助言することができなかった。適時の協議があれば、DPOは税務当局にFSVにおける個人データの不正な処理に関連するリスクについてより早く警告できたであろう。
前述のように、税務当局はFSVにおいて何十万人もの市民の非常に多くの(機密性の高い)個人データを処理した。多数の関係者に不利な結果をもたらす可能性のある大規模な個人データ処理の場合、税務当局は適時にDPIAを実施し、その件に関してDPOに助言を求めるべきである。APは、税務当局による重大な違反があり、財務大臣がコントローラーとして責任を負うと考える。
最後に、APはこの違反についても、税務当局が財務大臣の責任の下で重大に帰責可能な過失により行動したという判断に至る。税務当局がDPIAの実施から1年以上経過し、メディアからのFSVに関する質問の結果として初めてDPOに助言を求めたことを、APは重大な過失であると考える。」
