Opinia w sprawie wniosku dotyczącego rozporządzenia Rady w sprawie współpracy administracyjnej w obszarze podatków akcyzowych.

Dzienniki UE

Dz.U.UE.C.2012.74.1

Akt nienormatywny
Wersja od: 13 marca 2012 r.

Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego rozporządzenia Rady w sprawie współpracy administracyjnej w obszarze podatków akcyzowych

(2012/C 74/01)

(Dz.U.UE C z dnia 13 marca 2012 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2), w szczególności jego art. 28 ust. 2,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

1. WPROWADZENIE

1.1. Konsultacje z EIOD

1.
W dniu 14 listopada 2011 r. Komisja przyjęła wniosek dotyczący rozporządzenia Rady w sprawie współpracy administracyjnej w obszarze podatków akcyzowych(3) (zwany dalej "wnioskiem").
2.
Tego samego dnia Komisja przesłała wniosek EIOD. EIOD interpretuje fakt jego przekazania jako wniosek o konsultację dla instytucji i organów wspólnotowych zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001.
3.
Przed przyjęciem wniosku Komisja umożliwiła EIOD przedstawienie nieformalnych uwag. EIOD z zadowoleniem przyjmuje ten proces, który pomógł poprawić dokument na wczesnym etapie z punktu widzenia ochrony danych. Niektóre ze wspomnianych uwag zostały uwzględnione we wniosku. EIOD z zadowoleniem przyjmuje odniesienie do obecnych konsultacji w preambule wniosku.
4.
EIOD pragnie niemniej wskazać pewne elementy dokumentu, które można byłoby dodatkowo poprawić z punktu widzenia ochrony danych.

1.2. Informacje ogólne

5.
Celem wniosku jest aktualizacja przepisów rozporządzenia (WE) nr 2073/2004, w którym ustanowiono ramy prawne współpracy administracyjnej między krajowymi organami podatkowymi w dziedzinie podatków akcyzowych (od alkoholu, tytoniu i nośników energii) w celu zwalczania nadużyć związanych z akcyzą. W rozporządzeniu ustanowiono wiążące zasady współpracy między państwami członkowskimi, wprowadzono automatyczną oraz spontaniczną wymianę informacji (poza wymianą informacji na wniosek), jak również umożliwiono właściwym organom krajowym wzajemną wymianę informacji, w szczególności drogą elektroniczną. W rozporządzeniu określono też warunki współpracy z Komisją.
6.
Przepisy te wymagają rewizji w celu uwzględnienia modyfikacji skomputeryzowanego systemu przemieszczania wyrobów akcyzowych (ang. Excise Movement and Control System, zwanego dalej "EMCS"), którego celem jest skomputeryzowanie przemieszczania wyrobów akcyzowych i nadzoru nad nimi. Celem wniosku jest także: (i) aktualizacja brzmienia rozporządzenia; (ii) usunięcie przepisów, które stały się nieistotne, oraz ulepszenie struktury logicznej tekstu; jak również (iii) uproszczenie, a przez to usprawnienie ram regulacyjnych.
7.
W tym kontekście dochodzi do przetwarzania danych osobowych na różne sposoby. Państwa członkowskie wymieniają między sobą, z Komisją oraz z państwami trzecimi(4) informacje o podmiotach handlujących wyrobami akcyzowymi, które mogą być osobami fizycznymi lub prawnymi, jak też inne informacje handlowe wraz z informacjami o podejrzewanych lub potwierdzonych przestępstwach związanych z naruszeniem przepisów dotyczących podatków akcyzowych.
8.
Obecna opinia skupia się na tych aspektach wniosku, które mają wpływ na ochronę danych.

2. ANALIZA WNIOSKU

2.1. Odniesienie do dyrektywy 95/46/WE

9.
EIOD z zadowoleniem przyjmuje fakt, że w motywie 18 wniosku wyraźnie stwierdza się, iż przetwarzanie danych osobowych przez Komisję podlega przepisom rozporządzenia (WE) nr 45/2001, a przetwarzanie przez właściwe organy państw członkowskich podlega przepisom dyrektywy 95/46/WE.
10.
EIOD z zadowoleniem przyjmuje również zamieszczenie w art. 28 ust. 4 wniosku odniesienia do zastosowania krajowych przepisów dotyczących ochrony danych. Przepis ten powinien jednak bardziej precyzyjnie odnosić się do "przetwarzania danych osobowych", nie zaś do "wszystkich kwestii dotyczących przechowywania lub wymiany informacji". Takie odniesienie byłoby lepsze, gdyż termin "przetwarzanie" odnosi się do każdej operacji dotyczącej informacji, obejmując zatem również wszystkie etapy ich wykorzystania od gromadzenia po wszelkie dalsze wykorzystanie zgodnie z ust. 2 i 3. Jest to ważne, gdyż wykorzystanie danych osobowych do celów innych niż te, do których pierwotnie je zgromadzono, podlega surowym warunkom na mocy art. 6 i 7 dyrektywy 95/46/WE.

2.2. Definicja kategorii danych podlegających wymianie

11.
We wniosku rozróżnia się dwa rodzaje wymiany informacji: "współpracę na wniosek" (Rozdział II) oraz "wymianę informacji bez uprzedniego wniosku" (Rozdział III). EIOD zauważa jednak, że w tekście rozporządzenia nie określono kategorii danych podlegających wymianie. W obydwu przypadkach (na wniosek i bez uprzedniego wniosku) stwierdza się, że treść dokumentów wzajemnej pomocy administracyjnej określa Komisja w drodze aktów wykonawczych (art. 9 ust. 2 i art. 16 ust. 3).
12.
EIOD zaleca zamieszczenie w samym wniosku ogólnego opisu kategorii danych, które mogą być wymieniane przez właściwe organy, gdyż determinuje to zakres zastosowania podstawowych elementów rozporządzenia. Tej kwestii nie można określić w drodze aktu wykonawczego.
13.
Ponadto przed przyjęciem środków wykonawczych, które mogłyby mieć wpływ na ochronę danych osobowych, należy skonsultować się z EIOD. Obowiązek taki należy zamieścić w treści wniosku.

2.3. Przetwarzanie danych szczególnie chronionych

14.
Biorąc pod uwagę cel wniosku, prawdopodobne jest, że będą przetwarzane dane związane z podejrzewanymi przypadkami nadużyć. EIOD podkreśla, że dane dotyczące podejrzewanych nadużyć mogą być przetwarzane jedynie pod kontrolą władz publicznych(5) lub z zastrzeżeniem szczegółowych zabezpieczeń określonych prawem(6), gdyż są one uważane za dane szczególnie chronione, które wymagają szczególnej ochrony. W tekście rozporządzenia należy uwzględnić zabezpieczenia dotyczące dopuszczalnego wykorzystania takich informacji (np. bardziej ograniczone prawa dostępu, ściślejsze środki bezpieczeństwa, w tym ocena wpływu na prywatność, plan bezpieczeństwa i regularne audyty).
15.
Ponadto EIOD pragnie zwrócić uwagę na fakt, że przetwarzanie takich danych szczególnie chronionych może podlegać kontroli wstępnej ze strony EIOD lub krajowych organów ochrony danych.

2.4. Jakość danych i prawa osób, których dane dotyczą

16.
We wniosku nakłada się na państwa członkowskie obowiązek utrzymywania w elektronicznej bazie danych rejestru wszystkich przedsiębiorców będących uprawnionymi prowadzącymi skład lub zarejestrowanymi odbiorcami lub wysyłającymi. Informacje zawarte w rejestrach podlegałyby automatycznej wymianie między państwami członkowskimi za pośrednictwem rejestru centralnego zarządzanego przez Komisję (zob. art. 19 ust. 4).
17.
W art. 19 ust. 3 zawarto wymóg, aby centralne biuro łącznikowe ds. akcyzy lub wydział łącznikowy każdego państwa członkowskiego zapewniały kompletność, dokładność i aktualność informacji zawartych w rejestrach krajowych. EIOD z zadowoleniem przyjmuje ten przepis, który jest zgodny z zasadą jakości danych zapisaną zarówno w dyrektywie 95/46/WE(7), jak i w rozporządzeniu (WE) nr 45/2001(8).
18.
W art. 20 wniosku wyjaśnia się, że przedsiębiorcy mają prawo sprawdzenia powszechnie dostępnych informacji w zarządzanej przez Komisję centralnej bazie danych (SEED-o-nEuropa) dotyczących szczegółów ich zezwoleń, wpisując numer zezwolenia akcyzowego. Wyraźnie przyznaje im się również prawo zwrócenia się do państwa członkowskiego, które wydało zezwolenie, o poprawienie wszelkich błędów w powszechnie dostępnych danych. Komisja zobowiązuje się do przesyłania takich wniosków o sprostowanie do odpowiedniego właściwego organu. O dostęp do nieupublicznionych informacji dotyczących przedsiębiorców, do których Komisja nie ma dostępu, oraz o sprostowanie takich informacji przedsiębiorca w dalszym ciągu musi zwracać się do odpowiedniego właściwego organu. EIOD z zadowoleniem przyjmuje fakt, że we wniosku wyraźnie przyznaje się osobom, których dane dotyczą, prawo dostępu do danych osobowych ich dotyczących oraz korekty tych danych, jak też reguluje się to prawo.
19.
W art. 28 ust. 4 akapit drugi stwierdza się jednak, że państwa członkowskie ograniczają prawa do informacji i dostępu oraz podawanie do wiadomości publicznej operacji przetwarzania danych(9) w zakresie, w jakim jest to konieczne do zabezpieczenia "ważnego interesu ekonomicznego lub finansowego" państw członkowskich i Unii Europejskiej, łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi(10). Stanowi to ograniczenie niektórych ważnych elementów prawa do ochrony danych określonych w art. 8 Karty praw podstawowych Unii Europejskiej. Prawodawca musi jednoznacznie wykazać konieczność i proporcjonalność tych ograniczeń. Ponadto w tekście wniosku (lub w motywie) trzeba określić konkretne sytuacje, w których takie ograniczenia są niezbędne.

2.5 Zatrzymywanie danych

20.
W art. 21 ust. 1 wniosku wprowadza się obowiązek przechowywania informacji dotyczących przemieszczeń wewnątrzwspólnotowych przez co najmniej trzy lata w zależności od polityki zatrzymywania danych właściwego organu, tak aby informacje te mogły być wykorzystywane do celów procedur przewidzianych w rozporządzeniu.
21.
EIOD z zadowoleniem przyjmuje obowiązek usuwania lub anonimizacji wszelkich danych osobowych po upływie tego okresu (zob. art. 21 ust. 2). We wniosku należy jednak określić nie tylko minimalny okres zatrzymywania, ale również maksymalny okres, przez który dane te mogą być przechowywane. Ponadto należy (przynajmniej w motywach wniosku) uzasadnić i wykazać konieczność zatrzymywania danych osobowych przez ten okres.

2.5. Przekazywanie międzynarodowe

22.
W art. 32 ust. 1 wniosku stwierdza się, że w przypadku transakcji wydających się naruszać przepisy akcyzowe informacje uzyskane na mocy wniosku mogą zostać przekazane państwu trzeciemu, jeżeli spełnione są wszystkie następujące warunki:
dane państwo trzecie podjęło prawne zobowiązanie, że udzieli pomocy wymaganej do zebrania dowodów potwierdzających nielegalny charakter transakcji,
właściwe organy, które dostarczyły te informacje, udzieliły zgody zgodnie z ich przepisami krajowymi,
jest to zgodne z dyrektywą 95/46/WE i krajowymi przepisami ją wdrażającymi,
dane są przekazywane w tym samym celu, w jakim je zgromadzono.
23.
EIOD z zadowoleniem przyjmuje odniesienie do zastosowania prawodawstwa dotyczącego ochrony danych oraz ograniczenie zakresu przekazywania do danych na temat konkretnych transakcji, co do których zachodzi podejrzenie, że naruszają one przepisy akcyzowe. Ponieważ jednak przekazywanie wiąże się z przetwarzaniem danych szczególnie chronionych, musi ono także być zgodne z krajowymi przepisami wdrażającymi art. 8 dyrektywy 95/46/WE (zob. pkt 2.3).
24.
EIOD z zadowoleniem przyjmuje również fakt, że dane mogą być przekazywane jedynie w tych samych celach, w jakich je zgromadzono. We wniosku należy jednak wyraźnie określić konkretne cele, w jakich dane mogą być przekazywane państwom trzecim, oraz kategorie danych podlegających przekazaniu; powinny one z zasady służyć jedynie zwalczaniu naruszeń przepisów akcyzowych. Należy również wskazać, że dane osobowe mogą przekazywać państwom trzecim jedynie krajowe organy podatkowe.
25.
EIOD przypomina też, że zgodnie z dyrektywą 95/46/WE przekazywanie danych do państw trzecich jest z zasady dopuszczalne jedynie, jeżeli państwo otrzymujące zapewnia odpowiedni poziom ochrony. Przekazywanie danych do państw, które nie zapewniają odpowiedniej ochrony, może być uzasadnione tylko, jeżeli ma zastosowanie którykolwiek z wyjątków określonych w art. 26 dyrektywy 95/46/WE, na przykład jeżeli przekazywanie jest konieczne lub wymagane przez prawo z ważnych względów publicznych(11). Wyjątek ten może jednak mieć zastosowanie wyłącznie wówczas, gdy przekazywanie danych leży w interesie organów państwa członkowskiego UE, a nie tylko w interesie organów państwa otrzymującego(12). W każdym razie wyjątki powinny mieć zastosowanie jedynie w indywidualnych przypadkach, co oznacza, że zwolnienie związane z ważnymi względami publicznymi nie powinno stanowić podstawy dla masowego lub systematycznego przekazywania danych.
26.
Ponadto stosowne zobowiązania prawne państwa trzeciego powinny zawierać konkretne zabezpieczenia dotyczące ochrony prywatności i danych osobowych oraz wykonywania tych praw przez osoby, których dane dotyczą.

3. WNIOSKI

27.
EIOD z zadowoleniem przyjmuje zamieszczenie we wniosku odniesienia do zastosowania dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 do czynności przetwarzania danych osobowych, których dotyczy rozporządzenie. Proponuje sprecyzowanie tego odniesienia.
28.
EIOD przedstawia następujące zalecenia mające na celu ulepszenie dokumentu z punktu widzenia ochrony danych:
we wniosku należy określić kategorie danych podlegających wymianie między właściwymi organami,
EIOD oczekuje, że zostaną z nim przeprowadzone konsultacje na temat środków wykonawczych związanych z ochroną danych osobowych,
w tekście rozporządzenia należy zawrzeć zabezpieczenia dotyczące dozwolonych sposobów wykorzystania informacji związanych z podejrzeniami nadużyć,
prawodawca musi jednoznacznie wykazać konieczność oraz proporcjonalność ograniczeń praw do informacji i dostępu. Ponadto w tekście wniosku (lub w motywie) trzeba określić konkretne sytuacje, w których takie ograniczenia są niezbędne,
w rozporządzeniu należy określić maksymalny okres zatrzymywania informacji dotyczących przemieszczeń wewnątrzwspólnotowych,
w preambule należy uzasadnić okres zatrzymywania danych,
międzynarodowe przekazywanie danych na temat podejrzanych transakcji powinno być zgodne z art. 8 i 26 dyrektywy 95/46/WE, należy też określić jego zakres, tożsamość nadawcy i cel.

Sporządzono w Brukseli dnia 27 stycznia 2012 r.

Giovanni BUTTARELLI
Zastępca Europejskiego Inspektora Ochrony Danych
______

(1) Dz.U. L 281 z 23.11.1995, s. 31.

(2) Dz.U. L 8 z 12.1.2001, s. 1.

(3) COM(2011) 730 wersja ostateczna.

(4) W przypadkach dopuszczonych dyrektywą 95/46/WE, jak stwierdza się w art. 32 ust. 1 wniosku.

(5) Zob. art. 8 ust. 5 dyrektywy 95/46/WE.

(6) Zob. art. 8 ust. 5 dyrektywy 95/46/WE i art. 10 ust. 5 rozporządzenia (WE) nr 45/2001.

(7) Zob. art. 6 ust. 1 lit. d).

(8) Zob. art. 4 ust. 1 lit. d).

(9) Zob. art. 10, art. 11 ust. 1, art. 12 i art. 21 dyrektywy 95/46/WE.

(10) Zob. art. 13 ust. 1 lit. e) dyrektywy 95/46/WE.

(11) Zgodnie z motywem 58 dyrektywy 95/46/WE wyjątek ten obejmuje przekazywanie danych między władzami podatkowymi lub administracją celną.

(12) Zob. też dokument roboczy Grupy Roboczej na podstawie art. 29 z dnia 25 listopada 2005 r. w sprawie wspólnej wykładni art. 26 ust. 1 dyrektywy 95/46/WE z dnia 24 października 1995 r. (WP114) dostępny pod adresem http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_pl.pdf

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .