Fiskus chce znać adres IP klienta banku. Co na to RODO?
W celu zapewnienia sobie jeszcze większych możliwości inwigilacji podatników fiskus chce, aby banki przekazywały mu adresy IP swoich klientów. Problem w tym, że w maju 2018 r. zaczęło obowiązywać w Polsce RODO, a adres IP należy do danych osobowych, które podlegają ochronie.
Rządowy projekt ustawy z dnia 4 czerwca 2018 r. o zmianie ustawy - Ordynacja podatkowa oraz niektórych innych ustaw rozszerza obowiązki informacyjne instytucji obowiązanych na temat swoich klientów. Do zawartego w art. 119zr katalogu danych, jakie banki oraz spółdzielcze kasy oszczędnościowo-kredytowe mają przekazywać fiskusowi, dołączą adresy IP, z których:
- następowały logowania do usług bankowości elektronicznej umożliwiających dostęp do rachunku podmiotu kwalifikowanego, wraz ze wskazaniem osoby, która dokonała logowania oraz daty i godziny tych logowań,
- zostały złożone dyspozycje przeprowadzenia transakcji dotyczących rachunku podmiotu kwalifikowanego, wraz ze wskazaniem osoby, która złożyła dyspozycję oraz daty i godziny złożenia tych dyspozycji (www.sejm.gov.pl druk 2626).
Jak wynika z art. 119zg pkt 4 obowiązującej Ordynacji podatkowej, grupę podmiotów kwalifikowanych stanowią głównie przedsiębiorcy. Powyższe informacje będą przesyłane do organów podatkowych za pomocą systemu teleinformatycznego izby rozliczeniowej, w skrócie STIR, powołanego ustawą z dnia 24 listopada 2017 r. o zmianie niektórych ustaw w celu przeciwdziałania wykorzystywaniu sektora finansowego do wyłudzeń skarbowych (Dz.U. 2017 r., poz. 2491).
To nie koniec katalogu instrumentów, w jakie mają zostać wyposażeni urzędnicy skarbowi celem inwigilacji podatników. Banki i SKOK-i będą też przesyłać informacje na temat danych identyfikacyjnych beneficjentów rzeczywistych środków, pełnomocników właściciela rachunku, numeru rachunku VAT oraz rachunku wirtualnego, a także o innych blokadach i zajęciach obciążających rachunek.
Od 1 stycznia 2018 r. każdy czynny podatnik VAT musi przesyłać ewidencję VAT zakupów i sprzedaży w postaci jednolitego pliku kontrolnego, który pozwala fiskusowi na bieżąco prześwietlać działalność firm od strony księgowo-rachunkowej. Od 1 lipca 2018 r. obowiązek ten rozciąga się także na pozostałe formy ewidencyjne danych w postaci JPK, które muszą być przez przedsiębiorców gromadzone i dostarczane organom podatkowym na ich żądanie.
25 maja 2018 r. zaczęło obowiązywać w Polsce Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE z 04.05.2016 r., L119/1).
Rozporządzenie o ochronie danych osobowych, nazywane w skrócie RODO, zgodnie ze swoją nazwą roztacza szczególną opiekę nad tymi wrażliwymi i istotnymi dla osób fizycznych danymi. Powstaje zatem pytanie, czy adres IP należy zaliczyć do kategorii danych osobowych? Jeśli tak, to dostęp do niego winien być objęty szczególną ochroną rozporządzenia.
19 października 2016 r. Trybunał Sprawiedliwości UE orzekł, że jeśli istnieją prawne środki, których zastosowanie umożliwi zidentyfikowanie osoby na podstawie danych z jej adresu IP, to adres IP należy uznać za dane osobowe (wyrok TSUE z 19.10.2016 r., w sprawie C 582/14 Patrick Breyer przeciw Niemcy).
Zgodnie z zawartą w art. 4 pkt 1 RODO definicją oraz tożsamą ujętą w art. 6 ust. 1 ustawy o ochronie danych osobowych: "za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej" (Dz.U. z 2016 r. poz. 922). O tym, że adres IP stanowi dane osobowe przesądził sam Generalny Inspektor Ochrony Danych Osobowych: "Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską (rozdz. III pkt 3 przykład 15) uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania (...) W związku z powyższym należy uznać, że w przypadkach, gdy adres IP jest na stałe lub na dłuższy okres czasu przypisany do konkretnego urządzenia, które przypisane jest z kolei konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową" (www.giodo.gov.pl).
Resort finansów nie ukrywa tego, że adres IP stanowi dane osobowe podlegające ochronie RODO. Jednakże jako podstawę prawną legitymującą do pozyskiwania informacji o adresie IP podmiotu kwalifikowanego wskazuje art. 6 ust. 1 lit. e) tego rozporządzenia, uznający "za zgodne z prawem przetwarzanie danych, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi" (uzasadnienie Rządowego projektu ustawy z dnia 4 czerwca 2018 r. o zmianie ustawy - Ordynacja podatkowa, www.sejm.gov.pl).
Pomysłodawcy zmian przyznają również, że prawo do pozyskiwania informacji o adresach IP podatników już przysługuje fiskusowi. Na podstawie art. 114 ust. 1 pkt 3 ustawy z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej funkcjonariusze wykonujący czynności operacyjno-rozpoznawcze mogą uzyskiwać dane generowane w ramach usług świadczonych drogą elektroniczną m.in. w celu zapobiegania przestępstwom skarbowym (Dz.U. z 2016 r., poz. 1047 z późn.zm.).
Po co więc fiskus obstaje za wprowadzeniem przepisów zezwalających na pozyskanie informacji o danych adresu IP, skoro - jak sam twierdzi - już takowe istnieją? Najpewniej chce zapewnić sobie jasność i pewność co do możliwości stosowania tego środka inwigilacji podatników. Wskazana regulacja ustawy o KAS nie posługuje się bowiem pojęciem adresu IP, co może służyć podatnikom jako argument w sporze sądowo-administracyjnym z organami fiskusa.
Pozyskiwanie przez organy skarbowe informacji na temat adresów IP w związku z wykonywanymi operacjami na rachunkach bankowych będzie oznaczało konieczność naruszenia instytucji tajemnicy bankowej. Art. 127a ust. 1 ustawy o KAS zezwala jej szefowi oraz naczelnikowi urzędu celno-skarbowego na dostęp do takich informacji.
Jednak w myśl ust. 3 tego artykułu do tego celu organy muszą uzyskać zgodę sądu: "...Szef Krajowej Administracji Skarbowej oraz naczelnik urzędu celno-skarbowego mogą korzystać z przetwarzanych przez banki informacji stanowiących tajemnicę bankową (...) Informacje i dane, o których mowa w ust. 1, udostępnia się nieodpłatnie na podstawie postanowienia wydanego na pisemny wniosek Szefa Krajowej Administracji Skarbowej albo naczelnika urzędu celno-skarbowego przez sąd okręgowy właściwy miejscowo ze względu na siedzibę wnioskującego organu" (Dz.U. z 2016 r., poz. 1047 z późn.zm.).
24 kwietnia 2018 r. Europejski Trybunał Praw Człowieka orzekł, że pozyskanie przez organy ścigania informacji na temat użytkownika adresu IP bez wcześniejszego uzyskania nakazu sądu stanowi naruszenie art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, czyli prawa do poszanowania życia prywatnego (wyrok ETPC w sprawie Benedik v. Slovenia nr 62357/14).
Proponowane zmiany Ordynacji podatkowej mają zalegalizować naruszanie tego prawa. Ponadto fiskus nie będzie musiał występować do instytucji obowiązanych z prośbą o informacje na temat adresów IP, bo za pośrednictwem systemu STIR banki i SKOK-i będą je przesyłać automatycznie. A tu może pojawić się kolejne niekorzystne zjawisko. Wiele firm używa bowiem wirtualnych sieci prywatnych, czyli tzw. VPN-ów, umożliwiających korzystanie z serwerów innej zagranicznej lokalizacji. Nie wiadomo jak na takie "zagraniczne" transakcje bankowe będzie reagował czujny STIR.
Radca prawny Robert Nogacki
Kancelaria Prawna Skarbiec specjalizuje się w ochronie majątku oraz doradztwie strategicznym dla przedsiębiorców