Ochrona danych osobowych w przepisach dotyczących procedury podatkowej

1. Ordynacja podatkowa

W ustawie z 29.8.1997 r. – Ordynacja podatkowa (t.j. Dz.U. z 2018 r. poz. 800 ze zm.; dalej: OrdPU) dodano art. 1a, zgodnie z którym:

OrdPU normuje również sposób wykonywania przez organy podatkowe obowiązku informacyjnego z art. 13 ust. 1 i 2 RODO;
wykonywanie tego obowiązku informacyjnego odbywa się niezależnie od obowiązków organów podatkowych przewidzianych w OrdPU i nie wpływa na tok i wynik procedur podatkowych;
wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO (chodzi o prawo do żądania ograniczenia przetwarzania danych), nie wpływa na tok i wynik procedur podatkowych.

Obowiązek informacyjny z art. 13 ust. 1 i 2 RODO organy podatkowe przekazują w przypadku:

w wezwaniu (art. 159 § 1a OrdPU);
przy pierwszej czynności skierowanej do strony – przy wszczęciu postępowania podatkowego (art. 165 § 9 OrdPU); to samo dotyczy postanowienia o odmowie wszczęcia postępowania podatkowego (art. 165a § 1a OrdPU);
zawiadomienie o przekazaniu podania właściwemu organowi (organ przekazuje informacje w zakresie danych przez siebie przetwarzanych) (art. 170 § 1a OrdPU); to samo dotyczy sytuacji, gdy podanie dotyczy kilku spraw podlegających załatwieniu przez różne organy, organ podatkowy, do którego wniesiono podanie, rozpatruje sprawę należącą do jego właściwości, a równocześnie organ podatkowy zawiadamia wnoszącego podanie, że w sprawach innych powinien wnieść odrębne podanie do właściwego organu (art. 171 § 1 OrdPU);
przy pierwszej czynności skierowanej do wnioskodawcy przy wydawaniu zaświadczeń (art. 306aa OrdPU).

Ważne

Obowiązku informacyjnego nie trzeba dopełniać, jeżeli dany podmiot posiada te informacje, a ich zakres lub treść nie uległy zmianie.

Ponadto:

prawo wglądu do akt z art. 178 § 1 OrdPU nie narusza prawa osoby, której dane dotyczą do uprawnień wynikających z art. 15 RODO, czyli prawa dostępu do danych (art. 179a OrdPU);
informacje, o których mowa w art. 13 ust. 1 i 2 RODO zawiera też upoważnienie do przeprowadzenia kontroli podatkowej (art. 283 § 2 pkt 9 OrdPU).

2. Ewidencja podatników i płatników

W ustawie z 13.10.1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (t.j. Dz.U. z 2019 r. poz. 63 ze zm.; dalej: EwidPodU) dodano art. 15aa, z którego wynika, że w związku z przetwarzaniem danych osobowych w celu nadania NIP wykonanie obowiązku informacyjnego z art. 13 ust. 1 i 2 RODO następuje przez udostępnienie wymienionych tam informacji w miejscu publicznie dostępnym w siedzibie organu lub w BIP na stronie podmiotowej tego organu lub urzędu obsługującego ten organ oraz na jego stronie internetowej.

Ważne

W takim omawianym przypadku, pozyskując dane osobowe, organ przekazuje osobie, której dane dotyczą, informacje o sposobie wykonania tego obowiązku. Organy, o których mowa w art. 14a EwidPodU (minister finansów i organy KAS), mogą upoważniać do przetwarzania danych osobowych osoby zatrudnione lub pełniące służbę w jednostkach organizacyjnych KAS, w zakresie niezbędnym do realizacji zadań powierzonych tym osobom. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej. Organy te prowadzą rejestr osób upoważnionych do przetwarzania danych osobowych.

Dane osobowe przetwarzane przez ministra finansów i organy KAS podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności przez pozyskiwanie i przekazywanie danych osobowych podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;
zapewnieniu ochrony przed nieuprawnionym dostępem do CRP KEP;
zapewnieniu integralności danych w CRP KEP;
określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.

3. Krajowa Administracja Skarbowa

W ustawie z 16.11.2016 r. o Krajowej Administracji Skarbowej (t.j. Dz.U. z 2018 r. poz. 508 ze zm.; dalej: KASU) dodano art. 34a, zgodnie z którym organ KAS może upoważnić do przetwarzania danych osobowych osoby zatrudnione lub funkcjonariuszy pełniących służbę w jednostkach organizacyjnych KAS w zakresie niezbędnym do realizacji zadań powierzonych tym osobom. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej. Organ KAS prowadzi rejestr osób upoważnionych do przetwarzania danych osobowych. To samo dotyczy odpowiednio do Krajowej Szkoły Skarbowości.

Zgodnie z innymi dodanymi przepisami, organy KAS przetwarzają dane osobowe, w tym w CRDP, w celach realizacji zadań lub obowiązków określonych w KASU, przez okres niezbędny do osiągnięcia tych celów. Natomiast prowadzenie działalności analitycznej, prognostycznej i badawczej dotyczącej zjawisk pozostających we właściwości KAS oraz dokonywanie analizy ryzyka może polegać na zautomatyzowanym przetwarzaniu danych lub na zautomatyzowanym podejmowaniu decyzji w tym profilowaniu, wywołującym skutki prawne wobec osoby profilowanej lub której dane podlegają zautomatyzowanemu przetwarzaniu (art. 47b i 47c KASU).

W celu wykonywania obowiązku informacyjnego z art. 13 ust. 1 i 2 RODO, organy KAS mogą udostępniać informacje o przetwarzaniu danych osobowych w miejscu publicznie dostępnym w siedzibie organu KAS oraz na swojej stronie internetowej lub w BIP na stronie podmiotowej tego organu lub urzędu obsługującego ten organ. W takim przypadku organ KAS podczas pozyskiwania danych osobowych przekazuje osobie, której dane dotyczą, informacje o miejscu udostępnienia tych informacji. Wykonywanie tego obowiązku odbywa się niezależnie od obowiązków organów KAS i nie wpływa na przebieg i wynik procedur, o których mowa w działach IV i V (art. 47d KASU).

Zgodnie z art. 47e KASU dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;
zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych KAS;
zapewnieniu integralności danych w systemach informatycznych KAS;
określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.

Ponadto, zgodnie z art. 145a KASU, przetwarzanie tzw. drażliwych danych osobowych (art. 9 i 10 RODO), z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe oraz danych genetycznych, dotyczących funkcjonariuszy, jest dopuszczalne wyłącznie w zakresie, w jakim jest to niezbędne do realizacji zadania ministra finansów, Szefa KAS lub dyrektora izby administracji skarbowej nałożonego przepisem prawa. Przy czym:

przetwarzanie danych biometrycznych funkcjonariusza jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony lub szczególnie ważnych informacji, których ujawnienie może narazić na szkodę wspomniane wyżej organy;
do przetwarzania powyższych danych osobowych mogą być dopuszczeni wyłącznie funkcjonariusze posiadający pisemne upoważnienie do przetwarzania takich danych wydane przez Szefa KAS lub dyrektora izby administracji skarbowej (funkcjonariusze dopuszczeni do przetwarzania takich danych są obowiązani do zachowania ich w tajemnicy).

4. Wymiana informacji podatkowych z innymi państwami

W ustawie z 9.3.2017 r. o wymianie informacji podatkowych z innymi państwami (t.j. Dz.U. z 2019 r. poz. 648 ze zm.) do art. 6 dodano ust. 2, zgodnie z którym dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;
zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych;
zapewnieniu integralności danych w systemach informatycznych;
określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.

Ważne

Analogiczną treść, jak art. 6 ust. 2 powyższej ustawy nadano art. 11a ustawy z 11.10.2013 r. o wzajemnej pomocy przy dochodzeniu podatków, należności celnych i innych należności pieniężnych (t.j. Dz.U. z 2018 r. poz. 425 ze zm.).

Ponadto, raportująca instytucja finansowa wykonuje obowiązki informacyjne z art. 13 RODO w terminie pozwalającym na zrealizowanie przez osobę raportowaną jej uprawnień, określonych w art. 15–20 RODO (m.in. prawo dostępu do danych, prawo żądania do ograniczenia przetwarza ima danych, prawo do sprostowania danych, prawo do bycia zapomnianym), przed przekazaniem informacji o rachunkach raportowanych oraz informacji o rachunkach nieudokumentowanych (art. 30 ust. 1 ustawy).

Lista artykułów