31 lip, 2024
UODO: Ustawa o KAS sprzeczna z przepisami o ochronie danych osobowych
Aktualności
Getting your Trinity Audio player ready...

Prezes UODO zwrócił się do ministra finansów Andrzeja Domańskiego o dostosowanie przepisów ustawy o Krajowej Administracji Skarbowej do wymogów wynikających z Konstytucji – poinformował urząd we wtorek. Według prezesa UODO dane osobowe zebrane przez KAS w konkretnych celach nie powinny być łączone z innymi danymi i wykorzystywane do celów nieprzewidzianych w prawie (np. analitycznych), gdyż stoi to w sprzeczności z przepisami RODO.

Jak podkreśla w swoim wystąpieniu prezes Urzędu Ochrony Danych Osobowych, ustawa o Krajowej Administracji Skarbowej wymaga kompleksowego przeglądu pod kątem rozwiązań mających zapewnić ochronę przetwarzanych na podstawie jej przepisów danych osobowych, a także mających stanowić regulację zapewniającą stosowanie RODO.

KAS realizuje zadania związane z poborem podatków, opłat i należności celnych. Zajmuje się wykrywaniem przestępstw w tym obszarze, prowadzi czynności analityczne, prognostyczne i badawcze. Do tych celów wykorzystuje dane zgromadzone przez organy KAS w rejestrach, bazach, ewidencjach, zbiorach i systemach.

Zgodnie z przepisem art. 47 ustawy o KAS organy Krajowej Administracji Skarbowej mają prawo przetwarzać dane osobowe szczególnych kategorii w tym dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.

 

Art. 47. KAS

Przetwarzanie informacji przez organy KAS

1.

Organy KAS, w związku z:

1)
realizacją zadań z zakresu bezpieczeństwa publicznego, ważnego interesu ekonomicznego lub finansowego Rzeczypospolitej Polskiej lub Unii Europejskiej,
2)
prowadzonymi postępowaniami przygotowawczymi w sprawach o przestępstwa lub czynnościami wyjaśniającymi w sprawach o wykroczenia, o których mowa w:
a) ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach,
b) ustawie z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych,
c) ustawie z dnia 29 września 1994 r. o rachunkowości,
ca) ustawie z dnia 21 listopada 1996 r. o muzeach,
d) Kodeksie karnym w zakresie, o którym mowa w art. 2 zadania KAS ust. 1 pkt 15 i 16, a także w zakresie zadań określonych w art. 33 zadania naczelnika urzędu celno-skarbowego ust. 1 pkt 10 lit. c i d,
da) ustawie z dnia 27 czerwca 1997 r. o bibliotekach,
e) ustawie z dnia 30 czerwca 2000 r. – Prawo własności przemysłowej,
f) ustawie z dnia 29 listopada 2000 r. o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a także dla utrzymania międzynarodowego pokoju i bezpieczeństwa,
g) ustawie z dnia 2 marca 2001 r. o wyrobie alkoholu etylowego oraz wytwarzaniu wyrobów tytoniowych,
h) ustawie z dnia 23 lipca 2003 r. o ochronie zabytków i opiece nad zabytkami,
i) ustawie z dnia 16 kwietnia 2004 r. o ochronie przyrody,
j) ustawie z dnia 29 lipca 2005 r. o przeciwdziałaniu narkomanii,
k) ustawie z dnia 18 października 2006 r. o wyrobie napojów spirytusowych,
l) ustawie z dnia 13 kwietnia 2016 r. o bezpieczeństwie obrotu prekursorami materiałów wybuchowych,
m) ustawie z dnia 9 marca 2017 r. o systemie monitorowania drogowego i kolejowego przewozu towarów oraz obrotu paliwami opałowymi,
3)
prowadzonymi postępowaniami w sprawach o przestępstwa skarbowe lub wykroczenia skarbowe, o których mowa w Kodeksie karnym skarbowym,
4)
ujawnianiem i odzyskiwaniem mienia zagrożonego przepadkiem w związku z przestępstwami, o których mowa w art. 2 zadania KAS ust. 1 pkt 13−16, albo o których mowa w art. 33 przepadek korzyści majątkowej § 2 Kodeksu karnego skarbowego,
5)
realizacją zadań, o których mowa w art. 2 zadania KAS ust. 1 pkt 16d i 16f
– mogą przetwarzać niezbędne informacje zawierające dane osobowe.
2.
Dane, o których mowa w art. 9 dysponowanie budżetem KAS ust. 1 i art. 10 działalność duszpasterska w KAS rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2016/679”, mogą być przetwarzane przez organy KAS wyłącznie, gdy jest to niezbędne ze względu na zakres lub charakter prowadzonego postępowania lub przeprowadzanych czynności.
3.
Administrator danych jest obowiązany nieodpłatnie udostępnić dane na podstawie sporządzonego na piśmie żądania organu KAS albo imiennego upoważnienia organu KAS, okazanego wraz z legitymacją służbową przez kontrolującego jednostki organizacyjnej KAS. Informacja o udostępnieniu danych podlega ochronie zgodnie z przepisami o ochronie informacji niejawnych.
4.

Organy KAS mogą również przetwarzać:

1)
informacje dostarczane tym organom, w tym na podstawie przepisów odrębnych;
2)
dane zgromadzone w bazach, rejestrach, ewidencjach, zbiorach i systemach informatycznych udostępnionych organom KAS w celu realizacji ustawowych zadań.
5.
Uprawnienie, o którym mowa w ust. 1, dotyczy w szczególności danych dotyczących podróżnych w rozumieniu art. 1 zakres regulacji ustawy pkt 40 rozporządzenia delegowanego Komisji (UE) 2015/2446 z dnia 28 lipca 2015 r. uzupełniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 952/2013 w odniesieniu do szczegółowych zasad dotyczących niektórych przepisów unijnego kodeksu celnego (Dz. Urz. UE L 343 z 29.12.2015, str. 1), osób dokonujących przemieszczania towarów, o którym mowa w art. 5 odpowiednie stosowanie przepisów unijnego kodeksu celnego ustawy z dnia 19 marca 2004 r. – Prawo celne (Dz. U. z 2022 r. poz. 2073), oraz danych zawartych w rejestrach publicznych, o których mowa w art. 3 katalog pojęć ustawowych pkt 5 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, w tym również danych na piśmie utrwalonym w postaci elektronicznej. Dane na piśmie utrwalonym w postaci elektronicznej przekazuje się na informatycznym nośniku danych lub przy użyciu systemów teleinformatycznych, o których mowa w art. 2 objaśnienie pojęć ustawowych pkt 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344).
6.

W przypadkach, o których mowa w ust. 1 i 4, organy władzy publicznej oraz podmioty prowadzące rejestry, o których mowa w ust. 5, mogą wyrazić zgodę na udostępnianie za pomocą środków komunikacji elektronicznej informacji zgromadzonych w tych rejestrach organom KAS, bez konieczności składania sporządzonych na piśmie wniosków, jeżeli jest to uzasadnione rodzajem lub zakresem wykonywanych zadań albo prowadzonej działalności oraz jeżeli organy KAS posiadają:

1)
urządzenia umożliwiające odnotowanie w systemie, kto, kiedy, w jakim celu oraz jakie dane lub informacje uzyskał, oraz
2)
zabezpieczenia techniczne i organizacyjne uniemożliwiające wykorzystanie danych lub informacji niezgodnie z celem ich uzyskania.
7.
Wyrażenie zgody na udostępnienie informacji zgodnie z ust. 6 może nastąpić po złożeniu przez organ KAS oświadczenia o posiadaniu urządzeń oraz zabezpieczeń, o których mowa w ust. 6.
8.
Organy KAS, w zakresie zbierania i wykorzystywania informacji, o których mowa w ust. 1 i 4, są uprawnione do korzystania z informacji gromadzonych w systemach teleinformatycznych przez inne organy podatkowe oraz organy Straży Granicznej. Organy podatkowe oraz organy Straży Granicznej umożliwiają organom KAS dostęp do gromadzonych przez siebie informacji za pośrednictwem środków komunikacji elektronicznej lub oprogramowania interfejsowego, o którym mowa w art. 3 katalog pojęć ustawowych pkt 11 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
9.

Udostępnianie informacji, o których mowa w ust. 1, w sposób określony w ust. 8, następuje na wniosek organu KAS zawierający:

1)
wskazanie systemu, z którego informacje będą udostępniane;
2)
zakres informacji udostępnianych w związku z realizacją zadań ustawowych;
3)
dane osób uprawnionych oraz zakres informacji, które te osoby mogą uzyskiwać;
4)
wskazanie celu dostępu do informacji.

https://lexlege.pl/kas/art-47/

– Tak szeroki zakres kompetencji i ich realizacja z użyciem danych osobowych, również w sposób zautomatyzowany, w tym poprzez profilowanie, wiąże się z możliwością powstania wielu ryzyk dla prywatności i ochrony danych osobowych – zauważa prezes UODO.

Według prezesa UODO dane osobowe zebrane przez KAS w konkretnych celach nie powinny być łączone z innymi danymi i wykorzystywane do celów nieprzewidzianych w prawie (np. analitycznych), gdyż stoi to w sprzeczności z przepisami RODO.

Co do zasady nie można też struktury KAS jako całość uznawać za służbę specjalną, a jej szerokich kompetencji w sferze przetwarzania danych osobowych i prowadzenia czynności operacyjnych w stosunku do obywateli uzasadniać bezpieczeństwem narodowym.

Kompetencje organów skarbowych przewidziane przez ustawę o KAS budzą wątpliwości w kontekście art. 51 Konstytucji RP, który zapewnia prawo ochrony danych osobowych. W szczególności chodzi o równowagę między działaniami organów państwowych a prawami obywateli. W świetle art. 52 ust. 2 Konstytucji RP władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

Szczególne zastrzeżenia prezesa UODO budzą przepisy art. 46a i 48 wskazanej ustawy, gdyż zawierają mechanizmy ingerujące w sposób nieproporcjonalny w prywatność jednostki i w prawo ochrony danych osobowych. Z tego względu niezwykle istotne jest też rozpoczęcie dyskusji nad obecnym modelem przetwarzania danych osobowych przez organy Krajowej Administracji Skarbowej.

Zdaniem PUODO należy doprecyzować treść art. 46a ustawy o KAS z uwagi na brak zasady przejrzystości i rzetelności RODO tak, by jednoznacznie wykluczyć przekazywanie na jego podstawie danych osobowych mogących ujawniać stan zdrowia zindywidualizowanych osób fizycznych. Natomiast art. 48 ustawy o KAS wymaga pilnej i gruntownej zmiany, ponieważ narusza zasadę legalizmu i jest niezgodny z zasadami proporcjonalności i celowości RODO. Przepis ten daje KAS uprawnienia w zakresie pozyskiwania szczegółowych informacji dotyczących konkretnych rachunków bankowych.

Art. 46a. KAS

Współpraca organów KAS z ministrem właściwym do spraw zdrowia

Organy KAS współpracują z ministrem właściwym do spraw zdrowia i dokonują wymiany informacji, w tym danych objętych tajemnicą skarbową, oraz udostępniają nieodpłatnie te informacje, w zakresie niezbędnym do realizacji ich ustawowych zadań. Informacje te mogą być przekazane za pomocą środków komunikacji elektronicznej lub na informatycznym nośniku danych w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, zapisanych w edytowalnej postaci elektronicznej.

https://lexlege.pl/kas/art-46a/

Art. 48. KAS

Obowiązek przekazania informacji bankowych

1.

Na sporządzone na piśmie żądanie Szefa Krajowej Administracji Skarbowej, naczelnika urzędu celno-skarbowego lub naczelnika urzędu skarbowego wydane w związku z wszczętym postępowaniem przygotowawczym lub czynnościami wyjaśniającymi odpowiednio w sprawie o przestępstwa lub wykroczenia oraz przestępstwa skarbowe lub wykroczenia skarbowe, bank jest obowiązany do sporządzania i przekazywania informacji dotyczących osoby fizycznej lub osoby prawnej lub jednostki organizacyjnej niemającej osobowości prawnej lub danych pełnomocników wskazanego w żądaniu rachunku bankowego w przypadku, gdy postępowanie przygotowawcze lub czynności wyjaśniające są prowadzone w związku z czynami popełnionymi w zakresie działalności osoby fizycznej, osoby prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, w zakresie:

1)
posiadanych lub współposiadanych rachunków bankowych lub posiadanych pełnomocnictw do dysponowania rachunkami bankowymi, liczby tych rachunków lub pełnomocnictw, obrotów i stanów tych rachunków, z podaniem dat oraz kwot poszczególnych wpływów, dat oraz kwot poszczególnych obciążeń rachunków i ich tytułów oraz odpowiednio ich nadawców i odbiorców;
2)
posiadanych lub współposiadanych rachunków pieniężnych, rachunków papierów wartościowych lub posiadanych pełnomocnictw do dysponowania takimi rachunkami, liczby tych rachunków, a także obrotów, stanów tych rachunków oraz ich historii;
3)
zawartych umów kredytowych lub umów pożyczki, z podaniem okresu, na jaki zostały zawarte, wysokości zobowiązań wynikających z tych kredytów lub pożyczek, celów, na jakie zostały udzielone, i sposobu zabezpieczenia ich spłaty, a także umów depozytowych, umów udostępniania skrytek sejfowych oraz ich historii;
4)
nabytych za pośrednictwem banków akcji Skarbu Państwa lub obligacji emitowanych przez Skarb Państwa, a także obrotu tymi papierami wartościowymi;
5)
obrotu wydawanymi przez banki certyfikatami depozytowymi lub innymi papierami wartościowymi.
2.
Przepisy ust. 1 pkt 1 i 3 stosuje się odpowiednio do spółdzielczych kas oszczędnościowo-kredytowych.
3.
Przepisy ust. 1 pkt 2 i 4 stosuje się odpowiednio do innych niż banki podmiotów prowadzących działalność maklerską.
4.
Towarzystwo funduszy inwestycyjnych, na sporządzone na piśmie żądanie Szefa Krajowej Administracji Skarbowej lub naczelnika urzędu celno-skarbowego, jest obowiązane do sporządzania i przekazywania informacji o dacie nabycia, liczbie, cenie i wartości nabytych jednostek uczestnictwa i certyfikatów inwestycyjnych oraz o dacie odkupienia, liczbie i wartości odkupionych jednostek uczestnictwa i certyfikatów inwestycyjnych, kwocie wypłaconej uczestnikowi funduszu za odkupione jednostki uczestnictwa, a także o dacie i kwocie dochodów funduszu wypłaconych uczestnikowi. Przepis ust. 1 stosuje się odpowiednio.
5.
Zakład ubezpieczeń, osoby i podmioty, przy pomocy których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, oraz towarzystwo emerytalne, na sporządzone na piśmie żądanie Szefa Krajowej Administracji Skarbowej lub naczelnika urzędu celno-skarbowego, są obowiązane do sporządzenia i przekazania informacji o stronie umowy ubezpieczeniowej lub o osobie będącej członkiem otwartego funduszu emerytalnego oraz o wpłaconych i wypłaconych kwotach w związku z zawartymi umowami ubezpieczeniowymi oraz o wpłaconych składkach i środkach wypłaconych, jak również przekazanych na fundusz emerytalny Funduszu Ubezpieczeń Społecznych w związku z członkostwem w otwartym funduszu emerytalnym. Przepis ust. 1 stosuje się odpowiednio.
6.
Przepis ust. 1 stosuje się odpowiednio do dostawców usług płatniczych.
7.
Udzielenie informacji, o których mowa w ust. 1–6, następuje nieodpłatnie.
8.
W żądaniach, o których mowa w ust. 1–6, Szef Krajowej Administracji Skarbowej lub naczelnik urzędu celno-skarbowego określa zakres informacji oraz termin ich przekazania. Termin ten powinien uwzględniać zakres żądanych informacji oraz stopień ich skomplikowania.
9.
Przekazanie żądań, o których mowa w ust. 1–6, następuje w trybie przewidzianym dla dokumentów zawierających informacje niejawne o klauzuli „zastrzeżone” w rozumieniu przepisów o ochronie informacji niejawnych.
10.
Informacje, o których mowa w ust. 1–6, są przekazywane za pomocą środków komunikacji elektronicznej lub na informatycznym nośniku danych w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, zapisanych w edytowalnej postaci elektronicznej.
11.
Szef Krajowej Administracji Skarbowej lub naczelnik urzędu celno-skarbowego może, w drodze decyzji, nałożyć karę pieniężną w wysokości do 10 000 zł na podmiot, który pomimo prawidłowego wezwania w wyznaczonym terminie nie udzielił informacji, o których mowa w ust. 1–6, lub udzielił ich w niepełnym zakresie. W zakresie nieuregulowanym przepisy działu IV rozdziału 22 Ordynacji podatkowej stosuje się odpowiednio.

https://www.prawo.pl/podatki/ustawa-o-kas-a-ochrona-danych-osobowych-opinia-uodo,528314.html?utm_source=Eloqua&utm_content=WKPL_MSG_NSL_NRODO-31-07-24_EML&utm_campaign=WKPL_MSG_NSL_NRODO-31-07-24_OTH%2FWKC0120011_IEM010&utm_econtactid=CWOLT000017695798&utm_medium=email_newsletter&utm_crmid=&elqTrackId=7ae070d9b5d7446997489dd97ae02ccd&elq=0e0edc0c066446b791958e4ccee4a471&elqaid=130415&elqat=1&elqCampaignId=78617