Wpływ Dyrektywy DAC7 na polskie regulacje dotyczące RODO i MDR

Nowy obowiązek dotyczący RODO wprowadzony do Ordynacji podatkowej

Polska ustawa implementująca unijną dyrektywę oprócz regulacji dotyczących operatorów cyfrowych wprowadza także dodatkowy obowiązek dla wspomagających i promotorów w zakresie ochrony danych osobowych osób fizycznych.

Zgodnie z art. 86da § 1 Ordynacji podatkowej promotor i wspomagający przekazujący informację o schemacie podatkowym są obowiązani do udzielania na piśmie osobie fizycznej, której informacje o schemacie podatkowym dotyczą, informacji o:

1. gromadzeniu, przetwarzaniu i przekazywaniu informacji zgodnie z niniejszym rozdziałem oraz
2. przysługującym tej osobie prawie do uzyskania od administratora danych informacji, jakie ma prawo od tego administratora danych uzyskać, w czasie wystarczającym do skorzystania z jej praw do ochrony danych osobowych, zanim informacje zostaną przekazane.

Zgodnie z § 2 ww. przepisu promotor i wspomagający przekazujący informację o schemacie podatkowym zawiadamiają niezwłocznie na piśmie osobę fizyczną, której informacje o schemacie podatkowym dotyczą, o prawdopodobieństwie naruszenia bezpieczeństwa jej danych osobowych gromadzonych i przetwarzanych na potrzeby automatycznej wymiany informacji, w przypadku gdy istnieje prawdopodobieństwo, że naruszenie to wpłynie negatywnie na ochronę danych osobowych tej osoby fizycznej.

Ustawa nowelizująca, w tym nowo dodany art. 86da Ordynacji podatkowej, wszedł w życie 1 lipca 2024 r.

Na czym polega ochrona danych osobowych RODO można przeczytać w artykule pt. „Na czym polega ochrona danych osobowych RODO? Rozporządzenie RODO w pigułce".

Cel wprowadzenia nowej regulacji oraz kogo dotyczy

Zgodnie z uzasadnieniem projektu ustawy wprowadzenie ww. przepisu stanowi implementację art. 25 ust. 3 i 4 dyrektywy 2011/16/UE, zgodnie z którą:

„3. ‘Raportujące instytucje finansowe’, pośredników, ‘raportujących operatorów platform’ oraz właściwe organy państw członkowskich uznaje się za administratorów danych, gdy – działając samodzielnie lub wspólnie – określają cele i sposoby przetwarzania danych osobowych w rozumieniu rozporządzenia (UE) 2016/679.

4. Niezależnie od ust. 1 każde państwo członkowskie zapewnia, aby, w zależności od przypadku, każda ‘raportująca instytucja finansowa’, pośrednik lub ‘raportujący operator platformy’, które podlegają jego jurysdykcji: a) informowali każdą zainteresowaną osobę fizyczną o tym, że dotyczące jej informacje zostaną zgromadzone i przekazane zgodnie z niniejszą dyrektywą; oraz b) udzielali każdej zainteresowanej osobie fizycznej wszelkich informacji, które dana osoba ma prawo uzyskać od administratora danych, w czasie wystarczającym do skorzystania z jej praw ochrony danych osobowych, w każdym przypadku, zanim informacje zostaną przekazane […]”.

Należy zwrócić uwagę, że przy implementacji przepisów MDR polski ustawodawca zamiast pojęcia „pośrednika” (o którym mowa w ww. przepisie) wprowadził do polskiego systemu prawnego pojęcia „wspomagającego” oraz „promotora”, obecnie zdefiniowanych odpowiednio w art. 86a § 1 pkt 18 i 8 Ordynacji podatkowej[1].

Jak wskazano w uzasadnieniu projektu ustawy: „W związku z wystąpieniem w dyrektywie 2011/16/UE normy prawnej odnoszącej się do pośredników, konieczne stało się implementowanie tej normy prawnej do Ordynacji podatkowej, która zawiera przepisy krajowe dotyczące obowiązków spoczywających na tego rodzaju podmiotach. Należy zwrócić jednak uwagę, że co do zasady, to pośrednicy są podmiotami dysponującymi danymi osobowymi innych podmiotów z tego względu, że to na nich w pierwszej kolejności spoczywają obowiązki sprawozdawcze”.

Nowo wprowadzony art. 86da Ordynacji podatkowej dotyczy promotorów i wspomagających przekazujących informację o schemacie podatkowym dotyczącym osoby(-ób) fizycznej(-ych).

W szczególności obowiązek ten nie powinien dotyczyć przypadków, kiedy:

• podmiot przekazuje informację o schemacie podatkowym, która nie dotyczy osób fizycznych (przykładowo dotyczy wyłącznie spółek, np. dokonujących połączenia lub wypłaty dywidendy etc.) ;
• podmiot przekazuje informację o schemacie podatkowym wyłącznie w roli korzystającego (regulacja nakłada obowiązek wyłącznie na promotorów oraz wspomagających).

Zakres informacji, którą promotor lub wspomagający powinien przekazać osobie fizycznej, której schemat podatkowy dotyczy

Promotor lub wspomagający objęty obowiązkiem, o którym mowa w art. 86da § 1 Ordynacji podatkowej, będzie musiał przyjrzeć się swoim obowiązkom na gruncie RODO[2]. Występując w roli administratora danych osobowych, zgodnie z art. 13 RODO (jeśli pozyskuje dane o osobie bezpośrednio) lub art. 14 RODO (gdy pozyskuje je od podmiotu trzeciego) zobowiązany będzie wskazać w szczególności:

•  swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
•  gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
•  cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
• informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
• okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
• informacje o przysługujących prawach, w tym prawa do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;
• informacje o prawie wniesienia skargi do organu nadzorczego;
• informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Obowiązek poinformowania o prawdopodobieństwie naruszenia bezpieczeństwa danych osobowych

Zgodnie z uzasadnieniem projektu ustawy „Wprowadzane regulację mają umożliwić tym osobom podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

Dodatkowo należy zwrócić uwagę, że ustawa nowelizująca wprowadza również definicję „naruszenia ochrony danych”[3], zgodnie z którą rozumie się przez to naruszenie bezpieczeństwa danych na skutek umyślnego działania niezgodnego z prawem, zaniedbania lub zdarzenia losowego, prowadzące do zniszczenia, utraty lub zmiany informacji lub innego zdarzenia polegającego na niewłaściwym lub nieuprawnionym dostępie do informacji, ujawnieniu lub wykorzystaniu informacji, w szczególności w odniesieniu do danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych, przy czym naruszenie to może dotyczyć poufności, dostępności lub integralności danych. Warto zauważyć, że pojęcie „naruszenia ochrony danych” przyjęte w nowelizacji różni się od definicji uwzględnionej w RODO[4].

Wpływ nowej regulacji na obowiązujące w spółce procedury MDR

Na skutek wprowadzenia powyższych zmian podmioty powinny sprawdzić i dokonać ewentualnych zmian w obowiązujących procedurach zarówno dotyczących raportowania schematów podatkowych (MDR), jak i dotyczących ochrony danych osobowych (w szczególności w zakresie obowiązku informacyjnego oraz zarządzania naruszeniami), w taki sposób, aby były one zgodne z nowo obowiązującymi przepisami.

Warto dodatkowo pamiętać, że zgodnie z art. 86l § 3 Ordynacji podatkowej wewnętrzna procedura (MDR) podlega akceptacji przez członków kadry kierowniczej wyższego szczebla danego podmiotu, w tym członków zarządu lub dyrektorów posiadających wiedzę z zakresu prawa podatkowego oraz podejmujących decyzje mające wpływ na ryzyko jego nieprzestrzegania przez kontrahentów będących korzystającymi. Ponadto w naszej ocenie co do zasady analogicznym regułom akceptacji powinny zatem również podlegać ew. zmiany ww. procedury.

Ze względu na wprowadzony obowiązek informacyjny „w czasie wystarczającym do skorzystania z praw do ochrony danych osobowych”, może się okazać, że podmioty zobowiązane do raportowania schematów podatkowych będą miały de facto nawet mniej czasu (niż ustawowe 30 dni) na dokonanie analizy uzgodnienia i zebranie wymaganych danych do dokonania prawidłowego raportowania. Stąd – oprócz aktualizacji samych procedur – istotne jest, by osoby odpowiedzialne za raportowanie schematów w spółkach posiadały aktualną wiedzę lub profesjonalne wsparcie pozwalające na szybką reakcję. Wprowadzenie zmian w przepisach może być także dobrym pretekstem w organizacjach do weryfikacji prawidłowości ochrony danych osobowych po 6 latach od wprowadzenia przepisów RODO.