PODATKI 2019 – komplet
Kodeks pracy 2019. Praktyczny komentarz z przykładami + e-book „Zmiany w prawie pracy 2018/2019”
Poradnik Gazety Prawnej 11/18 RODO w praktyceRządowy projekt ustawy z dnia 4 czerwca 2018 r. o zmianie ustawy – Ordynacja podatkowa oraz niektórych innych ustaw rozszerza obowiązki informacyjne instytucji obowiązanych na temat swoich klientów. Do zawartego w art. 119zr katalogu danych, jakie banki oraz spółdzielcze kasy oszczędnościowo-kredytowe mają przekazywać fiskusowi, dołączą adresy IP, z których:
reklama
reklama
– następowały logowania do usług bankowości elektronicznej umożliwiających dostęp do rachunku podmiotu kwalifikowanego, wraz ze wskazaniem osoby, która dokonała logowania oraz daty i godziny tych logowań,
– zostały złożone dyspozycje przeprowadzenia transakcji dotyczących rachunku podmiotu kwalifikowanego, wraz ze wskazaniem osoby, która złożyła dyspozycję oraz daty i godziny złożenia tych dyspozycji (www.sejm.gov.pl druk 2626).
Jak wynika z art. 119zg pkt 4 obowiązującej Ordynacji podatkowej, grupę podmiotów kwalifikowanych stanowią głównie przedsiębiorcy. Powyższe informacje będą przesyłane do organów podatkowych za pomocą systemu teleinformatycznego izby rozliczeniowej, w skrócie STIR, powołanego ustawą z dnia 24 listopada 2017 r. o zmianie niektórych ustaw w celu przeciwdziałania wykorzystywaniu sektora finansowego do wyłudzeń skarbowych (Dz.U. 2017 r., poz. 2491).
Rozszerzenie inwigilacji
To nie koniec katalogu instrumentów, w jakie mają zostać wyposażeni urzędnicy skarbowi celem inwigilacji podatników. Banki i SKOK-i będą też przesyłać informacje na temat danych identyfikacyjnych beneficjentów rzeczywistych środków, pełnomocników właściciela rachunku, numeru rachunku VAT oraz rachunku wirtualnego, a także o innych blokadach i zajęciach obciążających rachunek. Od 1 stycznia 2018 r. każdy czynny podatnik VAT musi przesyłać ewidencję VAT zakupów i sprzedaży w postaci jednolitego pliku kontrolnego, który pozwala fiskusowi na bieżąco prześwietlać działalność firm od strony księgowo-rachunkowej. Od 1 lipca 2018 r. obowiązek ten rozciąga się także na pozostałe formy ewidencyjne danych w postaci JPK, które muszą być przez przedsiębiorców gromadzone i dostarczane organom podatkowym na ich żądanie.
Rozporządzenie o ochronie danych osobowych
25 maja 2018 r. zaczęło obowiązywać w Polsce Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE z 04.05.2016 r., L119/1).
Rozporządzenie o ochronie danych osobowych, nazywane w skrócie RODO, zgodnie ze swoją nazwą roztacza szczególną opiekę nad tymi wrażliwymi i istotnymi dla osób fizycznych danymi. Powstaje zatem pytanie, czy adres IP należy zaliczyć do kategorii danych osobowych? Jeśli tak, to dostęp do niego winien być objęty szczególną ochroną rozporządzenia.
Adres IP to dane osobowe
19 października 2016 r. Trybunał Sprawiedliwości UE orzekł, że jeśli istnieją prawne środki, których zastosowanie umożliwi zidentyfikowanie osoby na podstawie danych z jej adresu IP, to adres IP należy uznać za dane osobowe (wyrok TSUE z 19.10.2016 r., w sprawie C‑582/14 Patrick Breyer przeciw Niemcy).
Zgodnie z zawartą w art. 4 pkt 1 RODO definicją oraz tożsamą ujętą w art. 6 ust. 1 ustawy o ochronie danych osobowych: „za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej” (Dz.U. z 2016 r. poz. 922). O tym, że adres IP stanowi dane osobowe przesądził sam Generalny Inspektor Ochrony Danych Osobowych: „Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską (rozdz. III pkt 3 przykład 15) uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania (…) W związku z powyższym należy uznać, że w przypadkach, gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową” (www.giodo.gov.pl).
Zobacz: Serwis Inforlex RODO 3 m-ce + książka RODO dla księgowych i biur rachunkowych
Fiskus wie
Resort finansów nie ukrywa tego, że adres IP stanowi dane osobowe podlegające ochronie RODO. Jednakże jako podstawę prawną legitymującą do pozyskiwania informacji o adresie IP podmiotu kwalifikowanego wskazuje art. 6 ust. 1 lit. e) tego rozporządzenia, uznający „za zgodne z prawem przetwarzanie danych, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi” (uzasadnienie Rządowego projektu ustawy z dnia 4 czerwca 2018 r. o zmianie ustawy – Ordynacja podatkowa, www.sejm.gov.pl).
Pomysłodawcy zmian przyznają również, że prawo do pozyskiwania informacji o adresach IP podatników już przysługuje fiskusowi. Na podstawie art. 114 ust. 1 pkt 3 ustawy z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej funkcjonariusze wykonujący czynności operacyjno-rozpoznawcze mogą uzyskiwać dane generowane w ramach usług świadczonych drogą elektroniczną m.in. w celu zapobiegania przestępstwom skarbowym (Dz.U. z 2016 r., poz. 1047 z późn.zm.).
