Dyrektywa DAC7 – nowe regulacje dotyczące MDR

Dowiedz się, jakie nowe obowiązki w zakresie MDR wprowadza ustawa implementująca unijną dyrektywę DAC-7 do polskich przepisów.

Od 1 lipca 2024 roku oficjalnie zaczęła obowiązywać unijna dyrektywa DAC7, która dotyczy m.in.  raportowania dochodów, które uzyskiwane są za pośrednictwem cyfrowych platform. Ustawa, która implementuje nowe unijne prawo do polskiego, została opublikowana 17 czerwca 2024 roku. Jak się okazuje, wprowadza ona nie tylko obowiązki dla cyfrowych operatorów, ale również dla promotorów oraz wspomagających w obszarze ochrony danych osobowych osób fizycznych.

Artykuł 86da Ordynacji Podatkowej 

Na podstawie nowo wprowadzonego artykułu 86da Ordynacji podatkowej, który dotyczy promotorów i wspomagających przekazujących informację o schemacie podatkowym dotyczących osoby bądź osób fizycznych, promotor i wspomagający przekazujący informację o schemacie podatkowym są obowiązani do udzielania na piśmie osobie fizycznej, której informacje o schemacie podatkowym dotyczą, informacji o:

  • gromadzeniu, przetwarzaniu i przekazywaniu informacji zgodnie z niniejszym rozdziałem oraz
  • przysługującym tej osobie prawie do uzyskania od administratora danych informacji, jakie ma prawo od tego administratora danych uzyskać, w czasie wystarczającym do skorzystania z jej praw do ochrony danych osobowych, zanim informacje zostaną przekazane.

Obowiązki informacyjne w przypadku naruszenia ochrony danych

Natomiast paragraf drugi wspomnianego przepisu określa, że promotor i wspomagający przekazujący informację o schemacie podatkowym zawiadamiają niezwłocznie na piśmie osobę fizyczną, której informacje o schemacie podatkowym dotyczą, o prawdopodobieństwie naruszenia bezpieczeństwa jej danych osobowych gromadzonych i przetwarzanych na potrzeby automatycznej wymiany informacji, w przypadku gdy istnieje prawdopodobieństwo, że naruszenie to wpłynie negatywnie na ochronę danych osobowych tej osoby fizycznej.

Wyjątki od obowiązku informacyjnego

Istnieją jednak przypadki, kiedy opisywany obowiązek nie ma zastosowania. Jest to odpowiednio sytuacja, w której podmiot przekazuje informację o schemacie podatkowym, która nie dotyczy osób fizycznych oraz kiedy podmiot przekazuje informację o schemacie podatkowym wyłącznie w roli korzystającego.

Rola wspomagającego i promotora jako administratora danych

W momencie, w którym wspomagający bądź promotor wystąpi w roli administratora danych osobowych, będzie w obowiązku wskazać następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  •  gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  •  cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o przysługujących prawach, w tym prawa do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Nowa ustawa, a definicja Naruszenia Ochrony Danych 

Należy również zauważyć, że nowa ustawa wprowadza definicję „naruszenia ochrony danych”, która obejmuje wszelkie naruszenia bezpieczeństwa danych wynikające z umyślnego, niezgodnego z prawem działania, zaniedbania lub przypadkowego zdarzenia. Takie naruszenia mogą prowadzić do zniszczenia, utraty lub zmiany danych, a także niewłaściwego lub nieuprawnionego dostępu, ujawnienia lub wykorzystania informacji, zwłaszcza w odniesieniu do danych osobowych, które są przekazywane, przechowywane lub w inny sposób przetwarzane. Naruszenie to może dotyczyć poufności, dostępności lub integralności danych. Warto zaznaczyć, że definicja „naruszenia ochrony danych” w nowej ustawie różni się od tej zawartej w RODO.

Obowiązek dostosowania procedur wewnętrznych 

Podmioty stosujące procedury wewnętrzne powinny dokonywać ich regularnego przeglądu i w razie potrzeby, aktualizacji. W wyniku wprowadzenia opisanych wyżej zmian, na podmiotach tych spoczywa zatem obowiązek odpowiedniego dostosowania procedury dotyczącej raportowania schematów podatkowych (MDR) oraz ochrony danych osobowych, szczególnie w zakresie obowiązku informacyjnego i zarządzania naruszeniami, aby zapewnić ich zgodność z nowymi przepisami. Warto również mieć na uwadze, że zgodnie z art. 86l § 3 Ordynacji podatkowej, wewnętrzna procedura dotycząca MDR musi być zatwierdzona przez wyższą kadrę kierowniczą danego podmiotu, w tym przez członków zarządu lub dyrektorów, którzy posiadają wiedzę w zakresie prawa podatkowego oraz podejmują decyzje wpływające na ryzyko jego nieprzestrzegania przez kontrahentów będących korzystającymi. Należy także mieć na uwadze, że zasadniczo analogiczne reguły akceptacji powinny obejmować wszelkie zmiany w tej procedurze. 

Konsekwencje niewdrożenia i niestosowania procedur 

Niewdrożenie, jak i niestosowanie procedury dotyczącej MDR, mimo wymogu wynikającego z art. 86l Ordynacji podatkowej, może skutkować nałożeniem kary pieniężnej do 2 000 000 zł, a w niektórych przypadkach, gdy obowiązki raportowe nie zostaną spełnione, kara może wynieść do 10 000 000 zł. Kolejnym ryzykiem, o którym należy pamiętać, jest możliwa odpowiedzialność na gruncie RODO. Jeśli okaże się, że dane są przetwarzane niezgodnie z zasadami RODO, podmiotowi może grozić administracyjna kara pieniężna do 20 mln EUR lub 4% rocznego światowego obrotu za poprzedni rok obrotowy. Ustawa z 17 czerwca 2024 roku wprowadza zmiany mające na celu dostosowanie krajowego prawa do wymagań unijnej Dyrektywy DAC7, która obowiązuje od 1 lipca 2024 roku. 

Cel ustawy i nowe obowiązki 

Celem ustawy jest zwalczanie oszustw podatkowych poprzez ujednolicenie raportowania finansowego dla operatorów cyfrowych w Unii Europejskiej. Ustawa wprowadza również nowe obowiązki związane z RODO dla promotorów i wspomagających, zobowiązując ich do informowania osób fizycznych o przetwarzaniu ich danych osobowych w kontekście schematów podatkowych. Te zmiany wpływają na obowiązujące procedury MDR w firmach, które muszą zostać zaktualizowane, aby zapewnić zgodność z nowymi przepisami oraz ochronę danych osobowych.

Zachęcamy do kontaktu! 

Autor
Asystent w Dziale Podatkowym

Zapraszamy do kontaktu

Może Cię zainteresować

We wtorek 23 lipca zapadł wyrok w sprawie raportowania MDR (schematów podatkowych). Sędziowie są zgodni – przepisy o MDR są sprzeczne z Konstytucją.
W jaki sposób Europejski Akt o Dostępności (EAA) wpłynie na funkcjonowanie firm w Polsce? Jakie są cele Europejskiego Aktu o Dostępności i jak wpłyną na codzienne życie obywateli? Zapraszamy do zapoznania się z poniższym artykułem.
Serdecznie zapraszamy na konferencję Santander Bank Polska w Gdańsku, już 9 kwietnia 2024 roku w Gdańsku. Podczas spotkania dowiecie się, jakie są planowane najciekawsze programy unijne w 2024 roku, które będą mogły wspierać Was w finansowaniu wyzwań związanych z rozwojem, automatyzacją oraz inwestycjami środowiskowymi.
W przededniu wyborów do Parlamentu Europejskiego, EFAA stawia na przyszłość księgowości i audytu. Nasz manifest podkreśla kluczową rolę MŚP w budowaniu transparentnego i zrównoważonego społeczeństwa finansowego. Zajrzyj do naszych priorytetów: uproszczenie regulacji, dialog z MŚP, wiedza finansowa, zrównoważony rozwój, oraz AI w księgowości.
Procedura MDR jest często identyfikowaną luką w zakresie wewnętrznej strategii przedsiębiorstwa dotyczącej realizacji obowiązków podatkowych. Sprawdź czy sytuacja ta dotyczy także Twojego przedsiębiorstwa.
Dlaczego termin podany przez Ministerstwo Finansów na raportowanie MDR-3 budzi wiele wątpliwości? Czy faktycznie jest to kontrowersyjna kwestia?

Usługi