W marcu 2025 roku włoski urząd skarbowy wydał decyzje podatkowe wobec Facebooka, X (dawniej Twitter) oraz platformy LinkedIn, domagając się od firm zapłaty 887 milionów euro zaległego podatku VAT. Podstawą wydawanych rozstrzygnięć było ustalenie, że platformy te świadczą odpłatne usługi na rzecz każdego użytkownika, a otrzymywane w zamian dane osobowe stanowią formę wynagrodzenia za dostęp do oferowanych przez nie funkcjonalności.

W ocenie włoskiego fiskusa, dane osobowe posiadają wymierną wartość majątkową i stanowią wynagrodzenie za dostęp do platformy, z uwagi na możliwość ich wykorzystania komercyjnego przez te platformy – w szczególności do profilowania i celów marketingowych. Nadaje im to realną wartość ekonomiczną, wystarczającą do uznania istnienia relacji o charakterze konsumenckim, nawet przy braku świadczenia pieniężnego.

To podejście otwiera nowy rozdział w rozumieniu podatkowych aspektów funkcjonowania usług cyfrowych. Po raz pierwszy organy podatkowe podejmują próbę zakwalifikowania modelu polegającego na udostępnieniu danych osobowych w zamian za usługę dostępu do platformy cyfrowej jako transakcję podlegającą opodatkowaniu VAT.

Omawiana problematyka, poza prawnopodatkowym punktem widzenia, rodzi także istotne pytania o ochronę prywatności i zgodność z podstawowymi zasadami przetwarzania danych osobowych, o których mowa w RODO.

Czytaj także artykuł w LEX: Rzymowski Jakub, Naruszenie ochrony danych osobowych na gruncie RODO>

Dane osobowe jako waluta - "consent or pay"

W ostatnich latach coraz częściej zwraca się uwagę, że użytkownicy platform internetowych i serwisów cyfrowych, pozornie korzystający z nich nieodpłatnie, faktycznie „płacą” za nie swoimi danymi osobowymi, najczęściej poprzez nieświadomą lub nawet wymuszoną zgodę. Pojęcie „consent or pay” zyskuje szczególne znaczenie w kontekście dyskusji o wymianie świadczeń między dostawcami usług a użytkownikami tych platform. Model ten budzi zwłaszcza wątpliwości regulacyjne, gdyż z jednej strony przedsiębiorcy argumentują, że bez analizy, profilowania i przetwarzania danych użytkowników nie byliby w stanie oferować usług za darmo, z drugiej zaś strony organy ochrony danych osobowych wskazują na konieczność zachowania podstawowych zasad RODO, w tym dobrowolności i świadomego wyrażania zgody na przetwarzanie danych.

Prezes Urzędu Ochrony Danych Osobowych (PUODO) wielokrotnie podkreślał, że choć pozornie można rozpatrywać dane osobowe w kategoriach „towaru” czy „waluty”, to z punktu widzenia RODO taki pogląd bywa uproszczony i często sprzeczny z zasadą swobodnego wyrażenia zgody. Zgodnie z oceną PUODO, traktowanie danych osobowych wyłącznie jako przedmiotu transakcji i brak realnej alternatywy – np. w postaci możliwości uzyskania usługi bez przekazania zbyt szerokiego zakresu danych – może prowadzić do wniosku, że zgoda na przetwarzanie danych nie ma charakteru w pełni dobrowolnego i w konsekwencji pozbawiać użytkowników, realnej kontroli nad ich informacjami.

Istotnym elementem, na który również należy zwrócić uwagę jest to, że administratorzy danych (administratorzy platform), decydując się na oferowanie usług w zamian za dane, są zobowiązani do spełnienia wszystkich wymogów RODO. Oznacza to konieczność spełnienia obowiązku informacyjnego (art. 13 i 14 RODO), zapewnienia odpowiedniej podstawy prawnej przetwarzania (najczęściej będzie nią zgoda użytkownika) oraz przestrzegania zasady rozliczalności (art. 5 ust. 2 RODO), czyli wykazywania, że wszelkie operacje na danych są przeprowadzane zgodnie z obowiązującymi regułami. W praktyce polski organ nadzorczy podkreśla, że przedsiębiorca, który nie dopełni tych obowiązków, naraża się na postępowanie administracyjne i ewentualne kary finansowe.

Z drugiej strony PUODO zauważa, że samo oferowanie dostępu do platformy czy aplikacji w zamian za dane osobowe niekoniecznie jest bezwzględnie zakazane, dopóki przestrzegane są zasady wyrażania świadomej i dobrowolnej zgody, a dane są przetwarzane w sposób proporcjonalny i służą ściśle określonym celom, zgodnym z tym, co deklaruje administrator platformy. Problem stanowi najczęściej brak należytej równowagi stron i realnego wyboru co do udostępnianych informacji oraz nieprzestrzeganie opisanych w RODO zasad ograniczenia celu (art. 5 ust. 1 lit. b RODO), minimalizacji danych (art. 5 ust. 1 lit. c RODO) i przejrzystości (art. 5 ust. 1 lit. a RODO). Z perspektywy zgodności z RODO, model „consent or pay” jest zatem dopuszczalny tylko wtedy, gdy przedsiębiorca przestrzega ww. przepisów i zasad. W przeciwnym razie ryzykuje naruszeniem praw i wolności użytkowników, co może skutkować nałożeniem administracyjnej kary pieniężnej, roszczeniami cywilnymi oraz utratą zaufania wśród użytkowników.

Podstawy prawne opodatkowania - "zapłata danymi" w świetle VAT

Zgodnie z polską ustawą o VAT, opodatkowaniu VAT podlegają m.in. odpłatne dostawy towarów i odpłatne świadczenia usług na terytorium kraju, przy czym odpłatność nie musi mieć formy pieniężnej. Zarówno ustawa o VAT (art. 29a), jak i Dyrektywa 2006/112/WE (art. 73) wskazują, że podstawą opodatkowania jest wszystko, co stanowi zapłatę.

Czytaj także komentarz praktyczny w LEX: Matusiakiewicz Łukasz, Łańcuchowe dostawy towarów w VAT>

TSUE wielokrotnie potwierdzał, że dla VAT kluczowy jest bezpośredni związek między świadczeniem a otrzymanym wynagrodzeniem, bez względu na jego formę (np. C-154/80, C-16/93).

Świadczenie usług to każde działanie na rzecz innego podmiotu (art. 8 ust. 1 ustawy o VAT), w tym przeniesienie praw do wartości niematerialnych i prawnych oraz zobowiązanie do powstrzymania się od działania lub tolerowania określonego stanu rzeczy.

W efekcie, niemal każde zachowanie podatnika, które przynosi korzyść drugiej stronie, a nie jest sprzedażą towaru w sensie fizycznym, może zostać uznane za świadczenie usług na gruncie VAT, o ile spełnia kilka warunków: istnieje stosunek prawny między stronami, występuje wynagrodzenie będące ekwiwalentem świadczenia a między świadczeniem a zapłatą zachodzi bezpośredni związek. Co więcej, świadczenie musi być skierowane do konkretnego, możliwego do zidentyfikowania odbiorcy.

Czytaj także komentarz praktyczny w LEX: Melezini Andrzej, Przedmiot podatku>

Czy dane osobowe mogą być uznane za zapłatę

Skoro świadczenie usług w rozumieniu VAT może przybrać niemal każdą formę, o ile nie stanowi dostawy towarów, a wynagrodzenie nie musi mieć postaci pieniężnej, powstaje pytanie: czy dane osobowe mogą zostać uznane za formę zapłaty za usługę? Innymi słowy, czy użytkownik, który udostępnia swoje dane osobowe w zamian za dostęp do serwisu internetowego, rzeczywiście „płaci” za świadczoną mu usługę?

Z ekonomicznego punktu widzenia, odpowiedź na to pytanie wydaje się twierdząca. Użytkownik, rejestrując konto na platformie, wyraża zgodę na przetwarzanie danych osobowych, które mogą zostać wykorzystane w celach marketingowych czy analitycznych.

Na gruncie VAT sama ekonomiczna użyteczność danych nie wystarcza. Kluczowe znaczenie ma określenie, czy dane stanowią świadczenie wzajemne w relacji prawnej między stronami, a więc czy istnieje bezpośredni związek między udostępnieniem danych a uzyskaniem dostępu do usługi. Jeżeli użytkownik, chcąc skorzystać z platformy, musi obowiązkowo podać dane osobowe, a bez ich przekazania dostęp do funkcjonalności serwisu jest niemożliwy, relacja ta może spełniać przesłanki odpłatnego świadczenia usług. Odmiennie jest, gdy użytkownik ma możliwość pełnego korzystania z usługi bez konieczności udostępniania danych, trudno mówić tu o świadczeniu wzajemnym, a tym samym o transakcji podlegającej opodatkowaniu VAT.

Pojawia się również możliwość potraktowania usługi jako transakcji barterowej, w której dane osobowe stanowią wynagrodzenie za dostęp do usług cyfrowych, powstaje tu jednak zasadniczy problem: jak określić wartość takiego świadczenia na potrzeby VAT? Trudność wynika z faktu, że dane osobowe nie mają jednej, ustalonej ceny rynkowej. Ich wartość zależy od wielu czynników – aktualności, zakresu, możliwości komercyjnego wykorzystania czy charakterystyki profilu użytkowania.

Dodatkowo, sposób wyceny może różnić się, w zależności od modelu biznesowego danego podmiotu i sposobu, w jaki dane są monetyzowane. W efekcie ustalenie wartości danych jako ekwiwalentu za usługę wymagałoby zastosowania jasnej, dającej się uzasadnić metody, która umożliwiałaby określenie podstawy opodatkowania.

Czytaj także komentarz w LEX: Bujalski Rafał, Nowe zwolnienia i niższe stawki VAT od UE>

Wykorzystanie danych zgodne z RODO

Przechodząc z kolei do tematu danych osobowych, świadczenie usługi w zamian za dane osobowe może być zgodne z RODO, o ile zostaną spełnione określone warunki dotyczące dobrowolności, przejrzystości i bezpieczeństwa przetwarzania. Kluczowe znaczenie ma tutaj rzeczywista możliwość wyboru dla użytkownika – zarówno co do tego, jakie dane chce ujawniać, jak i co do alternatywy nieskładania tak szerokiej zgody.

Pierwszym krokiem pozwalającym zachować dobrowolność jest jasne przedstawienie użytkownikowi, dlaczego gromadzone są określone informacje i do jakich celów będą wykorzystywane. Takie działanie wynika z samego brzmienia art. 13 RODO, który zobowiązuje administratora do poinformowania osoby, której dane dotyczą, o tożsamości administratora, zakresie przetwarzanych danych, celach przetwarzania i podstawie prawnej. Należy przy tym zadbać, aby zgoda na przetwarzanie danych nie była „wymuszona” – przykładowo, aby oferować realną alternatywę w postaci innego wariantu usługi. Dzięki temu osoba, która nie chce bądź nie może udostępnić danych, nie będzie wykluczona z możliwości korzystania z podstawowych funkcjonalności.

Dobrą praktyką w zakresie spełnienia obowiązku informacyjnego jest również jego warstwowość. Polega to na przedstawieniu użytkownikowi w pierwszej kolejności krótkiego, zrozumiałego wyjaśnienia na temat najważniejszych celów przetwarzania danych oraz skutków ich udostępnienia, a następnie zapewnieniu dostępu do bardziej rozbudowanego opisu (na przykład na osobnej podstronie z polityką prywatności). Dzięki temu osoba zainteresowana szczegółami może je łatwo odnaleźć, nie czując się jednocześnie przytłoczona zbyt dużą ilością informacji w momencie podejmowania decyzji o wyrażeniu zgody.

Czytaj także artykuł w LEX: Zimna Małgorzata, Odpowiedzialność karna za naruszenie ochrony danych osobowych>

Drugim fundamentem jest swoboda w wycofaniu zgody i ograniczenie okresu przetwarzania danych do czasu trwania świadczenia usługi lub do celów, które zostały wyraźnie określone. Zgodnie z art. 7 ust. 3 RODO zgoda musi być możliwa do wycofania w dowolnym momencie i równie łatwo, jak została wyrażona. Jeśli administrator platformy nie zapewnia takiej opcji, to trudno mówić o dobrowolności zgody.

Kolejnym ważnym elementem jest zasada minimalizacji danych, wynikająca z art. 5 ust. 1 lit. c RODO, zgodnie z którą przetwarzane dane powinny być proporcjonalne do celu i ograniczone do tego, co faktycznie niezbędne. Jeśli usługodawca wymaga znacznie szerszego zestawu informacji, niż to konieczne do faktycznego wykonania usługi, można powziąć wątpliwość, czy dochowane są ww. zasady RODO. Konieczne jest więc wyjaśnienie każdemu użytkownikowi, dlaczego pewne pola wymagają wypełnienia, a przede wszystkim – dlaczego nie można ograniczyć się do węższego zakresu danych.

Istotne jest też odpowiednie zabezpieczenie gromadzonych i przechowywanych danych. Administrator powinien stosować adekwatne zabezpieczenia techniczne i organizacyjne, tak aby zapewnić poufność i ochronę przed nieuprawnionym dostępem. Jeżeli bowiem dochodzi do sytuacji, w której dane traktowane jako rodzaj „zapłaty” wyciekną lub zostaną nielegalnie wykorzystane, administrator będzie narażał się nie tylko na utratę zaufania klientów, ale też na kary finansowe.

Prognoza i przygotowanie się dostawców oraz użytkowników

Dyskusja wokół koncepcji „consent or pay” zapewne się nasili, zwłaszcza jeżeli kolejne państwa członkowskie zaczną naśladować włoski model podejścia do opodatkowania usług wykorzystujących dane osobowe w sposób opisany powyżej. W najbliższym czasie można zatem spodziewać się dwóch równolegle rozwijających się nurtów regulacyjnych. Pierwszy z nich dotyczyć będzie opodatkowania świadczeń w ramach gospodarki cyfrowej, w którym UE dąży do ujednolicenia przepisów, tak aby uniknąć sytuacji, w której identyczne usługi są różnie traktowane w poszczególnych krajach. Drugi nurt dotyczyć będzie wzmocnienia ochrony prywatności i jeszcze ściślejszej egzekucji zasady dobrowolności zgody na przetwarzanie danych osobowych.

Czytaj komentarz praktyczny w LEX: Chomiczewski Witold i in., Wybrane podstawy prawne przetwarzania danych osobowych: zgoda osoby, której dane dotyczą, wykonanie umowy lub podjęcie działań przed jej zawarciem, wypełnienie obowiązku prawnego ciążącego na administratorze>

Wnioski i rekomendacje

Sprawa rozstrzygnięta przez włoskie organy podatkowe przeciwko platformom cyfrowym, wskazuje, że możliwe jest uznanie na gruncie VAT danych osobowych przekazywanych przez użytkowników w zamian za dostęp do platform za wynagrodzenie za odpłatne świadczenie usług przez tę platformę. Choć na gruncie polskich przepisów brak jest obecnie bezpośrednich rozstrzygnięć w tej materii, analiza obowiązujących regulacji podatkowych oraz orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej sugeruje, że także na naszym polskim gruncie, w określonych okolicznościach udostępnianie danych osobowych może być traktowane jako forma zapłaty za usługę, co wypełni przesłanki uznania transakcji za odpłatne świadczenie usług w rozumieniu przepisów o VAT, a w konsekwencji umożliwi ich opodatkowanie. Nie można wykluczyć, że w przyszłości Komisja Europejska podejmie działania zmierzające do ujednolicenia podejścia do modeli opartych na wymianie danych osobowych za dostęp do usług, w tym tzw. modelu „consent or pay”, w skali całej Unii Europejskiej. Potencjalnym impulsem do takiej harmonizacji może być dalszy rozwój unijnego ustawodawstwa w obszarze jednolitego rynku cyfrowego, zwłaszcza w kontekście planowanych zmian w przepisach dotyczących ePrivacy oraz rosnących wymogów przejrzystości wynikających z Digital Services Act.

Obserwowane zmiany w podejściu organów podatkowych sugerują, że udostępnianie danych osobowych w zamian za dostęp do usług może w przyszłości zostać jednoznacznie zakwalifikowane jako element transakcji podlegającej opodatkowaniu VAT. Przedsiębiorcy muszą zatem odpowiednio wcześniej analizować zarówno potencjalne zobowiązania podatkowe, jak i wymogi wynikające z przepisów RODO, aby uniknąć sytuacji, w której przyjęty model biznesowy zostanie uznany za nielegalny lub niezgodny z przepisami. W związku z tym pojawia się potrzeba zachowania szczególnej ostrożności: z jednej strony należy uwzględniać obowiązki wynikające z RODO i konieczność oferowania użytkownikom przejrzystego wyboru („consent or pay” nie może być w istocie wymuszoną zgodą), z drugiej zaś należy śledzić ewolucję interpretacji i wytycznych organów podatkowych. Możliwe jest, że polskie organy podatkowe będą wzorowały się na sprawach prowadzonych przez włoski organ w sprawie powołania na podstawę opodatkowania, włoskich rozstrzygnięć. W tym kontekście decyzja włoskiego organu podatkowego stanowi istotne ostrzeżenie oraz sygnał, że organy publiczne mogą wzmóc kontrolę nad wykorzystywaniem danych osobowych w celach stricte gospodarczych a ponadto rozbudowywać reżim odpowiedzialności za naruszenia zasad prywatności.

Autorzy: Joanna Wierzejska, Partner w kancelarii Domański Zakrzewski Palinka, Współzarządzająca Praktyką Podatkową

Mateusz Jankowski, Senior Associate w kancelarii Domański Zakrzewski Palinka, członek Praktyki Prawa Spółek, Fuzji i Przejęć

Czytaj także komentarz praktyczny w LEX: Bujalski Rafał, Zmiany w VAT mają dostosować podatek do ery cyfrowej [projekt UE]>