Waarover gaat het?
Via een vraag om inlichtingen kan de fiscus inlichtingen opvragen bij een belastingplichtige of een derde. In heel wat gevallen vraagt de fiscus ook persoonsgegevens op. Dit is bijvoorbeeld het geval bij de onderzoeken naar equity die door (meestal) multinationals worden toegekend aan bepaalde werknemers. Doorgaans verzendt de fiscus namelijk eerst een vraag om inlichtingen aan derden aan de vennootschap en vraagt hierbij een overzicht op van alle personeelsleden die bonussen, stock options, RSU’s… hebben ontvangen.
Gegevens aan de hand waarvan een natuurlijke persoon kan worden geïdentificeerd, worden echter beschouwd als “persoonsgegevens”. De verwerking van deze persoonsgegevens is o.a. onderworpen aan de bepalingen van de GDPR (of AVG – Algemene Verordening Gegevensbescherming). Ondernemingen kunnen deze gegevens niet zomaar verwerken en bezorgen aan de fiscus, maar moeten strikte verplichtingen naleven.
Schendingen van deze verplichtingen kunnen leiden tot aanzienlijke boetes of andere sancties.
Hof van Justitie
De problematiek van het opvragen van persoonsgegevens in het kader van een fiscaal onderzoek kwam onlangs aan bod in een prejudicieel geschil voor het Hof van Justitie (HvJ 24 februari 2022, C-175/20).
De discussie betrof een Letse zaak, waarbij een internetadvertentiebedrijf door de Letse fiscus gevraagd werd om informatie te bezorgen m.b.t. voertuigen die via de website werden verkocht (chassisnummers, model, prijs) en de telefoonnummers van de verkopers. De toegang tot deze informatie zou onbeperkt in de tijd moeten worden toegestaan.
De belastingplichtige verzette zich hiertegen, waarna de zaak uiteindelijk tot voor het Hof van Justitie (HvJ) kwam. Het HvJ moest zich uitspreken over de vraag of het verzoek van de fiscus in overeenstemming was met de verplichtingen o.g.v. GDPR.
Het HvJ bevestigt vooreerst dat een verzoek van de fiscus om persoonsgegevens mee te delen, inderdaad binnen het toepassingsgebied van de GDPR valt. Het verzamelen, bewaren en meedelen van de gevraagde gegevens houdt telkens een “verwerking” in door de belastingplichtige.
Vervolgens geeft het HvJ enkele criteria mee om na te gaan of deze verwerking in overeenstemming is met de principes van de GDPR:
- De doeleinden van de verwerking moeten uiterlijk bij het verzamelen van de persoonsgegevens gekend zijn. Zo stelt het HvJ dat als het verstrekken van de persoonsgegevens niet gebaseerd is op een wettelijke bepaling, maar volgt uit een verzoek van de fiscus (zoals een vraag om inlichtingen), dan moet dit verzoek de specifieke doeleinden voor het verzamelen van de gegevens omschrijven;
- De persoonsgegevens die door de fiscus worden opgevraagd moeten toereikend en ter zake dienend zijn en beperkt blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Men mag dus niet zonder meer allerhande persoonsgegevens opvragen. De fiscus moet kunnen aantonen dat zij de hoeveelheid persoonsgegevens zoveel mogelijk heeft proberen te beperken;
- De belastingplichtige moet zich ervan vergewissen dat het verzoek tot doorzending van de persoonsgegevens rechtmatig is. Maar de bewijslast ter zake rust wel bij de verwerkingsverantwoordelijke, zijnde de fiscus.
Als de wettelijke verplichtingen van de belastingplichtige hem verhinderen om de gevraagde persoonsgegevens te bezorgen aan de fiscus, kan deze weigering in principe niet gesanctioneerd worden.
Dit blijkt uit recente rechtspraak.
Zo vernietigde de rechtbank van eerste aanleg te Brussel onlangs een administratieve boete die door de BBI werd opgelegd aan een telecomprovider die weigerde om bepaalde persoonsgegevens te bezorgen (Rb. Brussel 17 juni 2022, 2020/3775/A). En ook de rechtbank van eerste aanleg te Antwerpen, afd. Antwerpen heeft zulks al bevestigd ten aanzien van een payment service provider (Rb. Antwerpen 2 februari 2018, 17/1638/A).
Desalniettemin is het aangeraden om voorzichtig om te gaan met dergelijke verzoeken en bij het bepalen van het standpunt!
Key takeaways
Als ondernemingen geconfronteerd worden met een verzoek van de fiscus om persoonsgegevens mee te delen, is het van groot belang om na te gaan of het verzoek in overeenstemming is met de verplichtingen van de GDPR. De doeleinden van de verwerking moeten duidelijk zijn. Daarnaast moeten de persoonsgegevens die worden opgevraagd beperkt zijn tot hetgeen noodzakelijk en ter zake dienend is.
Gegevens die worden meegedeeld zonder dat er werd geverifieerd dat het gaat over een geldige verwerking, kunnen de aansprakelijkheid van de onderneming in het gedrang brengen!
Heeft u vragen of wordt u momenteel geconfronteerd met een fiscaal onderzoek, aarzel niet om Luk Cassimon (luk.cassimon@monardlaw.be, 0472/467.847), Wylma Gashi (wylma.gashi@monardlaw.be, 0487/954.038) of uw gewoonlijke contactpersoon te contacteren.
