Prezes UODO zwrócił się do ministra finansów Andrzeja Domańskiego o dostosowanie przepisów ustawy o Krajowej Administracji Skarbowej do wymogów wynikających z Konstytucji RP, przepisów rozporządzenia 2016/679 i orzecznictwa sądów międzynarodowych
KAS realizuje zadania związane z poborem podatków, opłat i należności celnych. Zajmuje się wykrywaniem przestępstw w tym obszarze, prowadzi czynności analityczne, prognostyczne i badawcze. Do tych celów wykorzystuje dane zgromadzone przez organy KAS w rejestrach, bazach, ewidencjach, zbiorach i systemach.
Zgodnie z przepisem art. 47 ustawy o KAS organy Krajowej Administracji Skarbowej mają prawo przetwarzać dane osobowe szczególnych kategorii w tym dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa. Tak szeroki zakres kompetencji i ich realizacja z użyciem danych osobowych, również w sposób zautomatyzowany, w tym poprzez profilowanie, wiąże się z możliwością powstania wielu ryzyk dla prywatności i ochrony danych osobowych - zauważa Prezes UODO.
Dane osobowe zebrane przez KAS w konkretnych celach nie powinny być łączone z innymi danymi i wykorzystywane do celów nieprzewidzianych w prawie (np. analitycznych), gdyż stoi to w sprzeczności z przepisami RODO.
Co do zasady nie można też struktury KAS jako całość uznawać za służbę specjalną, a jej szerokich kompetencji w sferze przetwarzania danych osobowych i prowadzenia czynności operacyjnych w stosunku do obywateli uzasadniać bezpieczeństwem narodowym.
Kompetencje organów skarbowych przewidziane przez ustawę o KAS budzą wątpliwości w kontekście art. 51 Konstytucji RP, który zapewnia prawo ochrony danych osobowych. W szczególności chodzi o równowagę między działaniami organów państwowych a prawami obywateli.
W świetle art. 52 ust 2 Konstytucji RP, władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
Szczególne zastrzeżenia Prezesa UODO budzą przepisy art. 46a i 48 wskazanej ustawy, gdyż zawierają mechanizmy ingerujące w sposób nieproporcjonalny w prywatność jednostki i w prawo ochrony danych osobowych.
Z tego względu niezwykle istotne jest też rozpoczęcie dyskusji nad obecnym modelem przetwarzania danych osobowych przez organy Krajowej Administracji Skarbowej.
Zdaniem PUODO należy doprecyzować treść art. 46a ustawy o KAS z uwagi na brak zasady przejrzystości i rzetelności RODO tak, by jednoznacznie wykluczyć przekazywanie na jego podstawie danych osobowych mogących ujawniać stan zdrowia zindywidualizowanych osób fizycznych.
Natomiast art. 48 ustawy o KAS wymaga pilnej i gruntownej zmiany, ponieważ narusza zasadę legalizmu i jest niezgodny z zasadami proporcjonalności i celowości RODO. Przepis ten daje KAS uprawnienia w zakresie pozyskiwania szczegółowych informacji dotyczących konkretnych rachunków bankowych.
Ustawa o Krajowej Administracji Skarbowej wymaga kompleksowego przeglądu pod kątem rozwiązań mających zapewnić ochronę przetwarzanych na podstawie jej przepisów danych osobowych, a także mających stanowić regulację zapewniającą stosowanie RODO - stwierdza Prezes UODO.
Ustawa o Krajowej Administracji Skarbowej
Art. 46a. Organy KAS współpracują z ministrem właściwym do spraw zdrowia i dokonują wymiany informacji, w tym danych objętych tajemnicą skarbową, oraz udostępniają nieodpłatnie te informacje, w zakresie niezbędnym do realizacji ich ustawowych zadań. Informacje te mogą być przekazane za pomocą środków komunikacji elektronicznej lub na informatycznym nośniku danych w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, zapisanych w edytowalnej postaci elektronicznej.
Art. 48. 1. Na sporządzone na piśmie żądanie Szefa Krajowej Administracji Skarbowej, naczelnika urzędu celno-skarbowego lub naczelnika urzędu skarbowego wydane w związku z wszczętym postępowaniem przygotowawczym lub czynnościami wyjaśniającymi odpowiednio w sprawie o przestępstwa lub wykroczenia oraz przestępstwa skarbowe lub wykroczenia skarbowe, bank jest obowiązany do sporządzania i przekazywania informacji dotyczących osoby fizycznej lub osoby prawnej lub jednostki organizacyjnej niemającej osobowości prawnej lub danych pełnomocników wskazanego w żądaniu rachunku bankowego w przypadku, gdy postępowanie przygotowawcze lub czynności wyjaśniające są prowadzone w związku z czynami popełnionymi w zakresie działalności osoby fizycznej, osoby prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, w zakresie:
1) posiadanych lub współposiadanych rachunków bankowych lub posiadanych pełnomocnictw do dysponowania rachunkami bankowymi, liczby tych rachunków lub pełnomocnictw, obrotów i stanów tych rachunków, z podaniem dat oraz kwot poszczególnych wpływów, dat oraz kwot poszczególnych obciążeń rachunków i ich tytułów oraz odpowiednio ich nadawców i odbiorców;
2) posiadanych lub współposiadanych rachunków pieniężnych, rachunków papierów wartościowych lub posiadanych pełnomocnictw do dysponowania takimi rachunkami, liczby tych rachunków, a także obrotów, stanów tych rachunków oraz ich historii;
3) zawartych umów kredytowych lub umów pożyczki, z podaniem okresu, na jaki zostały zawarte, wysokości zobowiązań wynikających z tych kredytów lub pożyczek, celów, na jakie zostały udzielone, i sposobu zabezpieczenia ich spłaty, a także umów depozytowych, umów udostępniania skrytek sejfowych oraz ich historii; 4) nabytych za pośrednictwem banków akcji Skarbu Państwa lub obligacji emitowanych przez Skarb Państwa, a także obrotu tymi papierami wartościowymi; 5) obrotu wydawanymi przez banki certyfikatami depozytowymi lub innymi papierami wartościowymi. 2. Przepisy ust. 1 pkt 1 i 3 stosuje się odpowiednio do spółdzielczych kas oszczędnościowo-kredytowych. 3. Przepisy ust. 1 pkt 2 i 4 stosuje się odpowiednio do innych niż banki podmiotów prowadzących działalność maklerską
4. Towarzystwo funduszy inwestycyjnych, na sporządzone na piśmie żądanie Szefa Krajowej Administracji Skarbowej lub naczelnika urzędu celno-skarbowego, jest obowiązane do sporządzania i przekazywania informacji o dacie nabycia, liczbie, cenie i wartości nabytych jednostek uczestnictwa i certyfikatów inwestycyjnych oraz o dacie odkupienia, liczbie i wartości odkupionych jednostek uczestnictwa i certyfikatów inwestycyjnych, kwocie wypłaconej uczestnikowi funduszu za odkupione jednostki uczestnictwa, a także o dacie i kwocie dochodów funduszu wypłaconych uczestnikowi. Przepis ust. 1 stosuje się odpowiednio.
5. Zakład ubezpieczeń, osoby i podmioty, przy pomocy których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, oraz towarzystwo emerytalne, na sporządzone na piśmie żądanie Szefa Krajowej Administracji Skarbowej lub naczelnika urzędu celno-skarbowego, są obowiązane do sporządzenia i przekazania informacji o stronie umowy ubezpieczeniowej lub o osobie będącej członkiem otwartego funduszu emerytalnego oraz o wpłaconych i wypłaconych kwotach w związku z zawartymi umowami ubezpieczeniowymi oraz o wpłaconych składkach i środkach wypłaconych, jak również przekazanych na fundusz emerytalny Funduszu Ubezpieczeń Społecznych w związku z członkostwem w otwartym funduszu emerytalnym. Przepis ust. 1 stosuje się odpowiednio.
6. Przepis ust. 1 stosuje się odpowiednio do dostawców usług płatniczych
7. Udzielenie informacji, o których mowa w ust. 1–6, następuje nieodpłatnie.
8. W żądaniach, o których mowa w ust. 1–6, Szef Krajowej Administracji Skarbowej lub naczelnik urzędu celno-skarbowego określa zakres informacji oraz termin ich przekazania. Termin ten powinien uwzględniać zakres żądanych informacji oraz stopień ich skomplikowania.
9. Przekazanie żądań, o których mowa w ust. 1–6, następuje w trybie przewidzianym dla dokumentów zawierających informacje niejawne o klauzuli „zastrzeżone" w rozumieniu przepisów o ochronie informacji niejawnych.
10. Informacje, o których mowa w ust. 1–6, są przekazywane za pomocą środków komunikacji elektronicznej lub na informatycznym nośniku danych w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, zapisanych w edytowalnej postaci elektronicznej.
11. Szef Krajowej Administracji Skarbowej lub naczelnik urzędu celno-skarbowego może, w drodze decyzji, nałożyć karę pieniężną w wysokości do 10.000 zł na podmiot, który pomimo prawidłowego wezwania w wyznaczonym terminie nie udzielił informacji, o których mowa w ust. 1–6, lub udzielił ich w niepełnym zakresie. W zakresie nieuregulowanym przepisy działu IV rozdziału 22 Ordynacji podatkowej stosuje się odpowiednio.
MS
UODO
foto: Pixabay