Grażyna Leśniak: Temat ochrony danych osobowych i ich przekazywania między urzędami i służbami administracji publicznej, w tym zwłaszcza administracji skarbowej, praktycznie nie istnieje w przestrzeni publicznej. Na archiwalnej stronie GIODO znalazłam dwie informacje dotyczące administracji podatkowej. Jedna odnosiła się do kwestii przekazania komornikowi numeru NIP osoby nie będącej dłużnikiem, a druga dotyczyła  udostępniania przez urzędy skarbowe danych osób przekazujących 1 proc. swojego podatku na rzecz organizacji pożytku publicznego. Czy kwestia ochrony danych osobowych w służbach podległych ministrowi finansów faktycznie sprowadza się do takich prostych spraw?

Bartosz Kubista: Myślę, że problem jest szerszy. Owszem w przypadku podstawowej działalności urzędów skarbowych polegającej na zbieraniu deklaracji podatkowych i ich weryfikacji, problemy związane z ochroną danych osobowych faktycznie mogą być trywialne. Natomiast te problemy, o których Pani wspomniała nie obejmują problemów związanych z postępowaniami i kontrolami, w ramach których bardzo często pojawiają się dane osobowe świadków, którzy są zapraszani na przesłuchania, biegłych, którzy są od czasu do czasu angażowani, osób, które występują w postępowaniu i których dane są tak naprawdę szeroko dostępne dla nieograniczonej liczby osób. Zdarza się, że dane tych osób znajdują się w aktach, chociaż nie wszystkie podawane tam informacje są niezbędne. Podam kilka przykładów, z którymi sami się spotkaliśmy. Organ powołuje biegłego i musi poinformować o tym stronę postępowania. Ten biegły na pewno sporządzi jakąś swoją opinię i się pod nią podpisze, więc jego imię i nazwisko będzie znane, ale to nie może być tak, że w aktach sprawy do swobodnego wglądu znajduje się numer telefonu tego biegłego albo jego prywatny adres e-mail, bo akurat była prowadzona z nim korespondencja. W efekcie strona mogła się z takimi danymi zapoznać, a niekoniecznie było jej to potrzebne z perspektywy postępowania.

Zobacz również: Polski fiskus chce wiedzieć za dużo >>

A jak, w Pana ocenie, wygląda bezpieczeństwo danych, którymi dysponuje administracja skarbowa? Służby ministra finansów od lat zabiegają o coraz szerszy dostęp do informacji gromadzonych przez inne służby, organy czy instytucje, także finansowe. Chętnie się też informacjami między sobą wymieniają. Czy nasze dane są bezpieczne?

Nie chciałbym wypowiadać się o kwestiach technicznych, bo nie mam wiedzy na temat tego, w jakim rzeczywiście zakresie oprogramowanie i sprzęt gwarantują bezpieczeństwo. Jeżeli natomiast chodzi o przepisy, to na pewno nasze ogromne obawy jako adwokatów, doradców podatkowych lub samorządu budzi to, jak wiele informacji jest przekazywanych pomiędzy różnymi urzędami i pomiędzy różnymi organami. Bardzo często w kolejnych ustawach pojawiają się przepisy mówiące o tym, że organ krajowej administracji skarbowej ma praw wglądu w te informacje i może żądać ich przekazania, albo że jeden urząd skarbowy może przekazać drugiemu pewne dane itd. W sytuacji, gdy zwracamy uwagę na dostęp służb do jakichś danych, to jedyną  gwarancją, od strony proceduralnej, zapewnienia bezpieczeństwa, jaką wtedy słyszymy, jest stwierdzenie, że tego pracownika czy urzędnika obowiązuje tajemnica. Brakuje natomiast konkretnych procedur, konkretnego wskazania, co, gdzie i kiedy, żeby ilość danych, która jest przekazywana przez jeden urząd drugiemu i przez jeden organ drugiemu, była jak najmniejsza i ograniczona do niezbędnego minimum, jak zresztą to wynika z zasady minimalizacji wskazywanej przez RODO, a tego nie ma. Jedyną informacją jest ta, że mają prawo żądać informacji. I to na pewno budzi wątpliwości, czy te dane rzeczywiście są w tym zakresie bezpieczne.

Czy nasze przepisy dotyczące administracji skarbowej, jak chociażby ustawa o Krajowej Administracji Skarbowej, która reguluje jej funkcjonowanie, są zgodne z RODO?

Ciężko jest na dzień dzisiejszy mówić o zgodności z RODO. Z jednego prostego powodu: ciągle jeszcze nie mamy ustawy wdrażającej RODO. Jedynie ustawa o ochronie danych osobowych, która dotyczy kwestii technicznych, została już uchwalona i opublikowana w Dzienniku Ustaw. „W produkcji” ciągle znajduje się natomiast druga ustawa – Przepisy wprowadzające RODO, nazwijmy to w dużym uproszczeniu. Ta ustawa ma zmienić około 180 innych ustaw, w tym m.in. ustawę o KAS w zakresie gromadzenia i przetwarzania danych osobowych. Na dzień dzisiejszy tej ustawy jeszcze nie ma.

Czy jednak zakres proponowanych zmian będzie wystarczający? Można mieć wątpliwości.

Czy brak tej ustawy rodzi jakieś konsekwencje, np. czy organy powinny powstrzymać się od przetwarzania danych?

Daleki jestem od stwierdzenia, że to powinno powstrzymać przetwarzanie danych osobowych, bo to spowodowałoby paraliż. Problem jednak polega na tym, że organy przetwarzają dane nie posiadając ustawowych wytycznych, jak powinny to robić i do czego tak naprawdę są uprawnione. W tym zakresie nasz ustawodawca trochę się spóźnił. Taki stan rzeczy działa również w drugą stronę. Ponieważ przepisy, które mają być wdrożone w związku z wejściem w życie unijnego rozporządzenia RODO, dotyczą m.in. przetwarzania danych osobowych przez adwokatów, doradców podatkowych, którzy sami nie wiedzą, w jakim zakresie i jak długo mogą dane przechowywać. I to jest taka największa bolączka. RODO wskazuje, że dane osobowe powinniśmy przechowywać przez jakiś czas. Jaki? Niezbędny. Przepisy nie wskazują jednak, jak to należy rozumieć i po jakim czasie podatnik może być pewny, że jego dane zostały przez urząd usunięte realizując jego prawo do bycia zapomnianym.

Dotknął Pan bardzo ważnej kwestii. Mało realnej w przypadku naszej administracji skarbowej, która latami prowadzi postępowania i kontrole. Przysłowiowe młyny mielą długo, a dodatkowo urzędnicy stosują różne sztuczki, żeby tylko nie doszło do przedawnienia...

Wszczynając np. postępowania karnoskarbowe, które ten okres przedawnienia przedłużą…

Ochrona danych osobowych. Przewodnik po ustawie i RODO ze wzorami

Maciej Gawroński

Sprawdź  

No to jak w takim razie być zapomnianym przez fiskusa? Czy Ministerstwo Finansów nie powinno przeszkolić swoich urzędników, by mieli świadomość RODO i nie postępowali już według przyjętych od lat schematów?

Nie można powiedzieć, że jest to problem RODO. Bo RODO mówi wyraźnie: prawo do bycia zapomnianym nakazuje nam usunąć czyjeś dane, gdy nie są nam już niezbędne. Tymczasem organy KAS mogą oczywiście zasadnie twierdzić, że póki postępowanie jest w toku, a zobowiązanie się nie przedawniło – przetwarzanie danych podatnika jest wciąż niezbędne. W efekcie, z przedłużaniem spraw przez administrację skarbową wciąż może być problem i w RODO trudno będzie znaleźć instrument, który pozwoli na szybsze zakończenie postępowania ze względu na konieczność usunięcia danych osobowych wynikającą z RODO.

Zobacz również: Analiza - RODO a doradcy podatkowi >>

Czy podatnik może w dowolnie wybranym przez siebie momencie zapytać administrację skarbową o to, czy przetwarza jego dane osobowe i poprosić o ich usunięcie, jeżeli nie jest to niezbędne?

Tak. Organy publiczne, tak samo podlegają pod RODO i tak samo są zobowiązane realizować podstawowe prawa, jak i inni administratorzy baz danych. W związku z tym każdy z nas ma prawo zapytać urząd skarbowy czy urząd celno-skarbowy, czy przetwarza jego dane osobowe i na jakich zasadach. Jeżeli okaże się, że tych danych ma więcej niż potrzebuje albo jakieś dane przetwarza bez podstawy prawnej, to jak najbardziej możemy zrealizować wobec urzędu wszystkie nasze prawa w tym zakresie.

Ustawa o ochronie danych osobowych i RODO mówią o danych wrażliwych. Tymczasem w postępowaniach podatkowych z nieujawnionych źródeł przychodów czy przychodów nieznajdujących pokrycia w legalnych źródłach, zdarza się, że podatnicy powołują się na dochody z nierządu. Organy nauczyły się już prosić o listę klientów. Ma to być sposób na zweryfikowanie prawdziwości źródła przychodów i próba oszacowania dochodów. Gdyby przyjąć, że nie jest to żaden wybieg ze strony podatnika, tylko wskazanie faktycznego źródła przychodów, to czy organy w ogóle mogą takich informacji żądać?

W tym przypadku mamy do czynienia z dwoma problemami. Pierwszy dotyczy ciężaru dowodu, który – co już wcześniej potwierdziło orzecznictwo sądów administracyjnych w kontekście nieujawnionych źródeł – spoczywa na podatniku. Drugi, braku upoważnienia, by na gruncie RODO i przepisów o ochronie danych osobowych, tak wrażliwe informacje dotyczące innych osób ujawniać i przekazywać, jeżeli nie mamy czyjejś zgody lub innej wyraźnej podstawy prawnej.

Chcę jeszcze wrócić do kwestii przekazywania informacji między organami publicznymi. O ile jestem w stanie zrozumieć wymianę danych między wywiadem skarbowym a ABW czy CBŚ, gdy informacje te mogą być pomocne np. w ściganiu zorganizowanej przestępczości, o tyle nie rozumiem pozyskiwania przez administrację skarbową dokumentów i informacji od takich podmiotów oraz instytucji jak np. Urząd Lotnictwa Cywilnego, Polska Grupa Lotnicza, Polskie Linie Kolejowe S.A., Żegluga Śródlądowa  czy Krajowy Rejestr Karny. A to tylko jedna ze zmian w znowelizowanej niedawno ustawie o KAS. Jak takie żądania mają się do ochrony danych osobowych?

Uważam, że to już jest zbyt daleko posunięta ingerencja państwa w życie obywatela. Mogę jeszcze zrozumieć, do czego służyć może pozyskanie pewnych informacji. Na przykład w przypadku Urzędu Lotnictwa Cywilnego może chodzić o sprawdzenie, czy dana osoba i kiedy przebywała na terytorium Polski, bo to z kolei może być pomocne przy ustalaniu rezydencji podatkowej, czyli miejsca płacenia podatków. Powiedzmy więc, że jestem w stanie zrozumieć, dlaczego urząd chciałby mieć dostęp do tych informacji, ale moim zdaniem, jest to zbyt daleko posunięta ingerencja. Pamiętajmy, że urząd może przecież zwrócić się do samego podatnika, żeby ten udostępnił swoje bilety lotnicze czy pewne informacje. Uprawnianie zaś organów bez ograniczenia do występowania do takich instytucji, moim zdaniem, daleko wykracza poza to, co w państwie prawa powinno być weryfikowane przez urzędy.

Zobacz również: WSA: Dowodem obciążającym podatnika mogą być jego prywatne notatki >>

Skarbówka łamie prawo, choć wie, że przegra w sądzie >>

Od Nowego Roku fiskus będzie miał nową broń >>

A dostęp skarbówki do Krajowego Rejestru Karnego?

Nie zapoznawałem się z przepisami dotyczącymi określenia zakresu dostępu administracji skarbowej do Krajowego Rejestru Karnego, ale powiem szczerze, że nie wiem, dlaczego mieliby tego żądać. Zakres tego dostępu powinien być wyraźnie limitowany. W toku normalnej działalności dla urzędu skarbowego jest to zupełnie niepotrzebna wiedza. Ona mogłaby mieć znaczenie przy postępowaniach karnoskarbowych, ale to też jest bardziej rzecz, którą weryfikuje się na etapie postępowania przygotowawczego albo już przed sądem, a nie w ramach takiej codziennej działalności. Nie znam osobiście żadnego przepisu, który uzależniałby jakikolwiek obowiązek podatkowy od tego, czy byliśmy lub nie byliśmy karani. Przepisy o dostępie administracji skarbowej do danych z Krajowego Rejestru Karnego powinny być zatem ograniczone do minimum.

Ale przecież informacje o skazaniu są danymi wrażliwymi…

Jak najbardziej. Dane dotyczące wyroków skazujących są wprost wymienione jako przykład danych wrażliwych w RODO.

Czy, Pana zdaniem, na przestrzeni ostatnich lat dane osobowe będące w posiadaniu administracji publicznej podlegały w ogóle jakiejś kontroli i ochronie? Pytam, bo nie przypominam sobie przykładów kontroli organów publicznych przez Generalnego Inspektora Ochrony Danych Osobowych, o których by się mówiło...

Nie mam żadnych statystyk, natomiast czuję, że do momentu wejścia w życie RODO ingerencja Generalnego Inspektora Ochrony Danych Osobowych, który wówczas te kwestie weryfikował, w działalność administracji publicznej – z mojego subiektywnego punktu widzenia – nie była zbyt wielka. Mówię to głównie dlatego, że część naszych klientów zgłaszała nam związane z tym problemy czy nieprawidłowości, wskazywała konkretne przypadki, część reagowała – wedle informacji, które pozyskaliśmy – u GIODO, a nigdy nie słyszałem, żeby Generalny Inspektor Ochrony Danych Osobowych karał urzędników za ujawnianie informacji, które stanowiło naruszenie danych osobowych. Natomiast teraz, z perspektywy Prezesa Urzędu Ochrony Danych Osobowych, mam nadzieję, że to się zmieni.

Czy polscy podatnicy mogą pominąć nasz urząd, jeżeli nie wierzą, że jest on w stanie należycie zagwarantować ochronę ich danych, i zwrócić się bezpośrednio ze swoją sprawą do Europejskiego Inspektora Ochrony Danych Osobowych?

Tak, jest taka możliwość. Każdy z nas ma prawo zwrócić się do dowolnego organu nadzorczego, w szczególności miejsca zwykłego pobytu, pracy albo miejsca popełnienia domniemanego naruszenia. Możemy więc napisać do organu nadzorczego w innym kraju lub do Europejskiego Inspektora Ochrony Danych Osobowych, gdyż RODO stawia w zasadzie znak równości pomiędzy zarówno unijnymi, jak i krajowymi i zagranicznymi organami na terenie UE, do tego powołanymi.

Bartosz Kubista, adwokat, doradca podatkowy, partner w firmie GLC i wykładowca w Katedrze Prawa Finansowego na Wydziale Prawa i Administracji Uniwersytetu Śląskiego