Od 1 lipca 2024 roku oficjalnie zaczęła obowiązywać unijna dyrektywa DAC7, która dotyczy m.in. raportowania dochodów, które uzyskiwane są za pośrednictwem cyfrowych platform. Ustawa, która implementuje nowe unijne prawo do polskiego, została opublikowana 17 czerwca 2024 roku. Jak się okazuje, wprowadza ona nie tylko obowiązki dla cyfrowych operatorów, ale również dla promotorów oraz wspomagających w obszarze ochrony danych osobowych osób fizycznych.
Artykuł 86da Ordynacji Podatkowej
Na podstawie nowo wprowadzonego artykułu 86da Ordynacji podatkowej, który dotyczy promotorów i wspomagających przekazujących informację o schemacie podatkowym dotyczących osoby bądź osób fizycznych, promotor i wspomagający przekazujący informację o schemacie podatkowym są obowiązani do udzielania na piśmie osobie fizycznej, której informacje o schemacie podatkowym dotyczą, informacji o:
- gromadzeniu, przetwarzaniu i przekazywaniu informacji zgodnie z niniejszym rozdziałem oraz
- przysługującym tej osobie prawie do uzyskania od administratora danych informacji, jakie ma prawo od tego administratora danych uzyskać, w czasie wystarczającym do skorzystania z jej praw do ochrony danych osobowych, zanim informacje zostaną przekazane.
Obowiązki informacyjne w przypadku naruszenia ochrony danych
Natomiast paragraf drugi wspomnianego przepisu określa, że promotor i wspomagający przekazujący informację o schemacie podatkowym zawiadamiają niezwłocznie na piśmie osobę fizyczną, której informacje o schemacie podatkowym dotyczą, o prawdopodobieństwie naruszenia bezpieczeństwa jej danych osobowych gromadzonych i przetwarzanych na potrzeby automatycznej wymiany informacji, w przypadku gdy istnieje prawdopodobieństwo, że naruszenie to wpłynie negatywnie na ochronę danych osobowych tej osoby fizycznej.
Wyjątki od obowiązku informacyjnego
Istnieją jednak przypadki, kiedy opisywany obowiązek nie ma zastosowania. Jest to odpowiednio sytuacja, w której podmiot przekazuje informację o schemacie podatkowym, która nie dotyczy osób fizycznych oraz kiedy podmiot przekazuje informację o schemacie podatkowym wyłącznie w roli korzystającego.
Rola wspomagającego i promotora jako administratora danych
W momencie, w którym wspomagający bądź promotor wystąpi w roli administratora danych osobowych, będzie w obowiązku wskazać następujące informacje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o przysługujących prawach, w tym prawa do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
Nowa ustawa, a definicja Naruszenia Ochrony Danych
Należy również zauważyć, że nowa ustawa wprowadza definicję „naruszenia ochrony danych”, która obejmuje wszelkie naruszenia bezpieczeństwa danych wynikające z umyślnego, niezgodnego z prawem działania, zaniedbania lub przypadkowego zdarzenia. Takie naruszenia mogą prowadzić do zniszczenia, utraty lub zmiany danych, a także niewłaściwego lub nieuprawnionego dostępu, ujawnienia lub wykorzystania informacji, zwłaszcza w odniesieniu do danych osobowych, które są przekazywane, przechowywane lub w inny sposób przetwarzane. Naruszenie to może dotyczyć poufności, dostępności lub integralności danych. Warto zaznaczyć, że definicja „naruszenia ochrony danych” w nowej ustawie różni się od tej zawartej w RODO.
Obowiązek dostosowania procedur wewnętrznych
Podmioty stosujące procedury wewnętrzne powinny dokonywać ich regularnego przeglądu i w razie potrzeby, aktualizacji. W wyniku wprowadzenia opisanych wyżej zmian, na podmiotach tych spoczywa zatem obowiązek odpowiedniego dostosowania procedury dotyczącej raportowania schematów podatkowych (MDR) oraz ochrony danych osobowych, szczególnie w zakresie obowiązku informacyjnego i zarządzania naruszeniami, aby zapewnić ich zgodność z nowymi przepisami. Warto również mieć na uwadze, że zgodnie z art. 86l § 3 Ordynacji podatkowej, wewnętrzna procedura dotycząca MDR musi być zatwierdzona przez wyższą kadrę kierowniczą danego podmiotu, w tym przez członków zarządu lub dyrektorów, którzy posiadają wiedzę w zakresie prawa podatkowego oraz podejmują decyzje wpływające na ryzyko jego nieprzestrzegania przez kontrahentów będących korzystającymi. Należy także mieć na uwadze, że zasadniczo analogiczne reguły akceptacji powinny obejmować wszelkie zmiany w tej procedurze.
Konsekwencje niewdrożenia i niestosowania procedur
Niewdrożenie, jak i niestosowanie procedury dotyczącej MDR, mimo wymogu wynikającego z art. 86l Ordynacji podatkowej, może skutkować nałożeniem kary pieniężnej do 2 000 000 zł, a w niektórych przypadkach, gdy obowiązki raportowe nie zostaną spełnione, kara może wynieść do 10 000 000 zł. Kolejnym ryzykiem, o którym należy pamiętać, jest możliwa odpowiedzialność na gruncie RODO. Jeśli okaże się, że dane są przetwarzane niezgodnie z zasadami RODO, podmiotowi może grozić administracyjna kara pieniężna do 20 mln EUR lub 4% rocznego światowego obrotu za poprzedni rok obrotowy. Ustawa z 17 czerwca 2024 roku wprowadza zmiany mające na celu dostosowanie krajowego prawa do wymagań unijnej Dyrektywy DAC7, która obowiązuje od 1 lipca 2024 roku.
Cel ustawy i nowe obowiązki
Celem ustawy jest zwalczanie oszustw podatkowych poprzez ujednolicenie raportowania finansowego dla operatorów cyfrowych w Unii Europejskiej. Ustawa wprowadza również nowe obowiązki związane z RODO dla promotorów i wspomagających, zobowiązując ich do informowania osób fizycznych o przetwarzaniu ich danych osobowych w kontekście schematów podatkowych. Te zmiany wpływają na obowiązujące procedury MDR w firmach, które muszą zostać zaktualizowane, aby zapewnić zgodność z nowymi przepisami oraz ochronę danych osobowych.
