Enamikes riikidel on valitsusele teada, kus inimesed on sündinud, kus nad elavad, kellega elavad, kui palju teenivad või kui väärtuslik on neile kuuluv kinnisvara. Rootsis – nagu selgus – maksuamet mitte ainult ei kontrolli seda infot oma ülesannete täitmiseks (maksude arvestamine ja kogumine), vaid müüb isikuandmeid vahendajatele. Nende hulgas nt MrKoll, kelle ärimudel on neid isikuandmeid kasumiga edasi müüa kõigile, kes soovivad.  Seejuures – no questions asked!

Kõlab nagu GDPR jäme rikkumine? Rootsis rullus lahti kohtusaaga, kuhu nüüdseks on sekkunud tuntud privaatsusaktivisti M. Schrems’i juhitav organisatsioon noyb (Non Of Your Business). Vaidlus on hetkel lahendamisel Stockholmi Halduskohtus.

Noyb tuvastas maksuameti andmesaajatena ka nt ettevõtted Dun and Bradstreet, Kalenderförlaget, the Intelligence Company. Kalenderförlaget, näiteks, avaldab nn maksukalendrit, mis mh sisaldab kõigi Rootsi inimeste sissetuleku andmeid.

Käesoleva aasta algupoole pöördus üks andmesubjekt oma õiguste teostamiseks maksuameti poole ning nõudis oma andmete ebaseadusliku töötlemise lõpetamist. Maksuamet lükkas nõudmise tagasi väitega, et teostab selliselt avalikku võimu. Maksuamet opereerib riiklikku, kõigi Rootsis resideeruvate inimeste isikuandmeid sisaldavat aadressiregistrit (statens personadressregister). Kooskõlas seadusega võivad ettevõtted neid andmeid küsida, eesmärgiga „andmeid või valitud nimesid ja aadresse otseturunduse, avalike teenustega seotud teadaannete edastamise või teiste sobivate tegevuste eesmärgil ajakohastada, täiendada või kontrollida“.

Maksuamet ei näi hoolivat Rootsi Ülemkohtu hiljutisest lahendist, milles kohus pidi lahendama  Rootsi infovabaduse seaduse ja GDPR-i vastuolu. Kohus leidis, et neist tulenevaid vastandlikke õigusi tuleb tasakaalus hoida. Kui on tõenäoline, et isikuandmeid võidakse töödelda GDPR reegleid rikkudes, tuleb need märgistada konfidentsiaalseteks ning need andmed ei tohi andmevahendajate kätte sattuda.

noyb on seisukohal, et miljonite rootslaste andmete müümine huvilistele on privaatsuse – kui põhiõiguse rikkumine. Lisaks sisaldub GDPR-s „eesmärgi piirangu põhimõte“, mille kohaselt kogutakse isikuandmeid täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus“. Maksuandmete mahamüümine ei ole ilmselgelt algse eesmärgiga kooskõlas.