Kolejne uwagi PUODO do ustawy o Krajowej Administracji Skarbowej

KAS dostała zbyt szerokie i za bardzo ogólnie określone prawo dostępu do danych obywateli. Prezes UODO dalej prowadzi korespondencję z Ministerstwem Finansów wskazując na potrzebę zmiany i doprecyzowania przepisów.

KAS realizuje zadania związane z poborem podatków, opłat i należności celnych. Zajmuje się wykrywaniem przestępstw w tym obszarze, prowadzi czynności analityczne, prognostyczne i badawcze. Do tych celów wykorzystuje dane zgromadzone przez organy KAS w rejestrach, bazach, ewidencjach, zbiorach i systemach.

W lipcu PUODO zwracał uwagę, że zgodnie z przepisem art. 47 ustawy o KAS organy Krajowej Administracji Skarbowej mają prawo przetwarzać dane osobowe szczególnych kategorii w tym dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa. Tak szeroki zakres kompetencji i ich realizacja z użyciem danych osobowych, również w sposób zautomatyzowany, w tym poprzez profilowanie, wiąże się z możliwością powstania wielu ryzyk dla prywatności i ochrony danych osobowych - zauważył wtedy Prezes UODO.

Teraz, w piśmie do wiceministra finansów i szefa KAS Marcina Łobody, wskazuje na problem art. 46a ustawy o KAS, który dotyczy wymiany informacji między Ministrem Zdrowia a organami KAS. Zdaniem KAS przepis ten wyklucza pozyskiwania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Informacje te stanowią szczególne kategorie danych osobowych w rozumieniu RODO i podlegają wyższemu reżimowi ochrony.

PUODO zauważa jednak, że brzmienie tego przepisu jest na tyle ogólne, że można z niego wywieść również przetwarzanie takich danych osobowych. Żeby tak nie było, przepisy powinny jasno to stwierdzić - tak jak w przypadku przepisów o NIK, które wprost zabraniają kontrolerom NIK przetwarzania danych osobowych szczególnych kategorii podczas czynności kontrolnych.

Przetwarzanie danych osobowych przez organy KAS w celach analitycznych - w ocenie organu do spraw ochrony danych osobowych - powinno być dokonywane wyłącznie na danych zanonimizowanych. To też winno znaleźć odzwierciedlenie w przepisach prawa.

Podobnie doprecyzowania wymaga art. 48 ustawy o KAS, który daje KAS prawo do pozyskiwania informacji o rachunkach bankowych. Ma ono związek z podejrzeniem przestępstwa lub wykroczenia i dotyczy również tych obywateli, którzy nie mają statusu osoby podejrzanej o przestępstwo lub wykroczenie. Należy też dodać, że informacje te mogą także obejmować dane szczególnych kategorii.

KAS w korespondencji z PUODO tłumaczyła, że „celem znowelizowanego przepisu jest ujednolicenie oraz doprecyzowanie uprawnień KAS w zakresie dostępu do informacji bankowych w przypadku, gdy organy KAS prowadzą postępowanie przygotowawcze”. Jednak poszerzenie w 2022 r. przetwarzania danych osobowych pozyskiwanych na podstawie art. 48 ustawy o KAS, zarówno w aspekcie podmiotowym jak i przedmiotowym, nie wiązało się z uzasadnieniem przez projektodawcę niezbędności takiego rozwiązania. Zwracał na to również uwagę Rzecznik Praw Obywatelskich.

DOL.413.5.2024