Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie dwóch wniosków ustawodawczych dotyczących zwalczania oszustw związanych z VAT.

Dzienniki UE

Dz.U.UE.C.2019.140.4

Akt nienormatywny
Wersja od: 16 kwietnia 2019 r.

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie dwóch wniosków ustawodawczych dotyczących zwalczania oszustw związanych z VAT

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)

(2019/C 140/04)

(Dz.U.UE C z dnia 16 kwietnia 2019 r.)

Streszczenie

W niniejszej opinii wydanej na podstawie art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 1  EIOD przedstawia zalecenia służące ograniczeniu do minimum skutków dwóch wniosków Komisji dotyczących zwalczania oszustw związanych z VAT w kontekście handlu elektronicznego dla podstawowego prawa do prywatności oraz dla ochrony danych osobowych, a przez to zapewnieniu zgodności z obowiązującymi ramami prawnymi ochrony danych.

W ten sposób EIOD podkreśla konieczność ścisłego ograniczenia operacji przetwarzania przewidzianych we wnioskach mających na celu zwalczanie oszustwa podatkowego oraz ograniczenia zbierania i wykorzystywania danych osobowych wyłącznie do tych niezbędnych i proporcjonalnych dla tego celu. W szczególności zwracamy uwagę, że w kontekście omawianych wniosków przetwarzane dane nie powinny dotyczyć konsumentów (dokonujących płatności), ale przedsiębiorstw internetowych (odbiorców płatności). Ograniczyłoby to ryzyko wykorzystywania informacji w innych celach takich jak kontrolowanie zachowań zakupowych konsumentów. Doceniamy fakt, iż Komisja kierowała się tym podejściem i zdecydowanie zalecamy jego utrzymanie podczas negocjacji ze współustawodawcami, które mają doprowadzić do ostatecznego zatwierdzenia wniosków.

Ponadto EIOD pragnie podkreślić, że na podstawie art. 42 ust. 1 rozporządzenia (UE) 2018/1725 oczekuje konsultacji w sprawie aktu wykonawczego, który w przyszłości określi standardowy format przesyłania informacji płynących od dostawców usług płatniczych do krajowych organów podatkowych, przed przyjęciem tego aktu przez Komisję.

Ponieważ wnioski przewidywałyby stworzenie poza krajowymi bazami danych centralnej elektronicznej bazy danych (CESOP) rozwijanej, utrzymywanej, hostowanej i zarządzanej przez Komisję, EIOD przypomina o swoich wytycznych dotyczących administrowania i zarządzania informatycznego. Europejski Inspektor Ochrony Danych będzie śledził tworzenie takiego systemu informacyjnego jako właściwy organ nadzorczy na podstawie rozporządzenia (UE) 2018/1725.

Wreszcie niniejsza opinia zawiera wytyczne dotyczące warunków i ograniczeń dotyczących zgodnego z prawem i właściwego ograniczania praw osób, których dane dotyczą, zgodnie z RODO oraz rozporządzeniem (UE) 2018/1725.

I. 

WPROWADZENIE I KONTEKST

1.1.
Kontekst wniosków
1.
W dniu 10 września 2018 r. Komisja Europejska nieformalnie konsultowała się z EIOD w sprawie następujących projektów wniosków: projekt wniosku dotyczącego dyrektywy Rady zmieniającej dyrektywę 2006/112/WE w odniesieniu do wprowadzenia pewnych wymogów dla dostawców usług płatniczych; projekt wniosku dotyczącego rozporządzenia w wykonawczego Rady zmieniającego rozporządzenie (UE) nr 282/2011 w odniesieniu do pewnych zobowiązań z tytułu podatku od wartości dodanej dla określonych podatników; projekt wniosku dotyczącego rozporządzenia Rady zmieniającego rozporządzenie (UE) nr 904/2010 w odniesieniu do środków zwiększających współpracę administracyjną w celu zwalczania oszustw związanych z VAT w dziedzinie handlu elektronicznego. EIOD wystosował nieformalne uwagi w dniu 18 września 2018 r. W tym względzie EIOD potwierdza, że z zadowoleniem przyjmuje możliwość wymiany opinii z Komisją na wczesnym etapie procesu kształtowania polityki, co ma ograniczyć do minimum skutki wniosków dla prawa do prywatności oraz prawa do ochrony danych 2 .
2.
W dniu 12 grudnia 2018 r. Komisja Europejska opublikowała wniosek dotyczący dyrektywy Rady zmieniającej dyrektywę 2006/112/WE w odniesieniu do wprowadzenia pewnych wymogów dla dostawców usług płatniczych (zwany dalej "wnioskiem dotyczącym dyrektywy Rady") 3  oraz wniosek dotyczący rozporządzenia Rady zmieniającego rozporządzenie (UE) nr 904/2010 w odniesieniu do środków zwiększających współpracę administracyjną w celu zwalczania oszustw związanych z VAT (zwany dalej "wnioskiem w sprawie rozporządzenia Rady") 4 , łącznie zwane dalej "wnioskami".
3.
W dniu 14 stycznia 2019 r. Komisja konsultowała się z EIOD na podstawie art. 42 ust. 1 rozporządzenia (UE) 2018/1725.
4.
EIOD zauważa również, że wnioski dotyczące rozporządzenia i dyrektywy, jak podkreślono w dalszej części niniejszej opinii, przewidują operacje przetwarzania danych, w których Komisja pełniłaby rolę administratora danych dla celów rozporządzenia (UE) 2018/1725. Z tego względu przypominamy, że EIOD jest właściwym organem nadzoru w odniesieniu do takiego przetwarzania danych.
1.2.
Treść wniosków
5.
EIOD zauważa, że wnioski, którym towarzyszy ocena skutków 5 , mają stanowić odpowiedź na problem oszustw związanych z VAT w związku z handlem elektronicznym poprzez wzmocnienie współpracy między organami podatkowymi a dostawcami usług płatniczych.
6.
W szczególności zgodnie z wnioskiem dotyczącym dyrektywy Rady państwa członkowskie powinny uchwalić przepisy, które zapewniają, by dostawcy usług płatniczych przechowywali dokumentację transakcji płatności transgranicznych w celu umożliwienia organom podatkowym wykrycia oszustw związanych z VAT.

Wniosek dotyczący rozporządzenia Rady uzupełnia zestaw środków przeciwko oszustwom:

a)
wymóg, by właściwe organy państw zbierały, wymieniały i analizowały informacje dotyczące transakcji płatności wymienione we wniosku dotyczącym dyrektywy Rady; oraz
b)
utworzenie centralnego elektronicznego systemu informacyjnego ("CESOP"), poprzez który państwa członkowskie przekazywałyby informacje przechowywane na szczeblu krajowym. Urzędnicy łącznikowi Eurofisc mieliby dostęp do systemu na potrzeby analizy informacji przechowywanych w systemie w celu badania oszustw podatkowych.
7.
EIOD uznaje cele wniosków, a w szczególności potrzebę uregulowania tego zagadnienia poprzez przyjęcie środków na rzecz przeciwdziałania oszustwom odnoszącym się do operacji handlu elektronicznego. Niniejsza opinia ma zapewnić pragmatyczną poradę dotyczącą sposobu ograniczenia do minimum skutku przetwarzania danych osobowych wywołanego wnioskami przy jednoczesnym zapewnieniu zgodności z odpowiednimi przepisami prawa o ochronie danych.

IV. 

WNIOSKI

17.
W świetle powyższego EIOD wydaje następujące zalecenia:
-
motyw 11 wniosku dotyczącego dyrektywy Rady i motyw 17 wniosku dotyczącego rozporządzenia Rady w sprawie obowiązującym prawem o ochronie danych należy zmienić zgodnie z treścią sekcji 2.1 niniejszej opinii,
-
dotyczy to również określenia celu, wskazanego w motywie 11 dyrektywy Rady i motywie 17 rozporządzenia Rady, w części normatywnej aktu prawnego zarówno w odniesieniu do dyrektywy Rady i rozporządzenia Rady,
-
w kwestii centralnej bazy danych CESOP Komisja musi zapewnić zgodność z przepisami dotyczącymi bezpieczeństwa przetwarzania danych przewidzianymi rozporządzeniem (UE) 2018/1725, w szczególności przestrzeganie opracowanych przez EIOD "Wytycznych dotyczących ochrony danych osobowych w administrowaniu i zarządzaniu informatycznym w instytucjach unijnych",
-
w kwestii ewentualnych ograniczeń praw osób, których dane dotyczą:
(i)
zaleca się zmianę brzmienia rozporządzenia (UE) nr 904/2010 zmienionego rozporządzeniem Rady (UE) 2018/1541 zgodnie z art. 23 RODO w taki sposób, by pozostawić państwom członkowskim możliwość uchwalania ograniczeń (poprzez zastąpienie trybu oznajmującego sformułowaniem "mogą ograniczyć"); lub - w zakresie, w jakim ograniczenia takie są konieczne - przewidzieć je bezpośrednio w rozporządzeniu (UE) nr 904/2010;
(ii)
zaleca się wstawienie w art. 24e rozporządzenia Rady - wśród elementów do doprecyzowania przez Komisję w przyszłym akcie wykonawczym - możliwych ograniczeń praw osób, których dane dotyczą, zgodnie z art. 25 rozporządzenia Rady (UE) 2018/1725 oraz wytycznymi opracowanymi przez EIOD w tej materii ("Wytyczne w sprawie art. 25 nowego rozporządzenia i zasad wewnętrznych"),
-
Komisja musi zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultować się z EIOD w kwestii aktu wykonawczego w sprawie elektronicznego standardowego formatu przekazywania informacji przez dostawcę usług płatniczych do właściwego organu podatkowego państwa członkowskiego, w którym dostawca usług płatniczych ma siedzibę, przed przyjęciem takiego aktu przez Komisję.

Bruksela, dnia 14 marca 2019 r.

Wojciech Rafał WIEWIÓROWSKI

Europejski Inspektor Ochrony Danych

1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Zobacz motyw 60 rozporządzenia (UE) 2018/1725: "Aby zapewnić zgodność przepisów o ochronie danych w całej Unii, Komisja powinna dążyć do konsultacji z Europejskim Inspektorem Ochrony Danych podczas opracowywania wniosków lub zaleceń. Komisja powinna mieć obowiązek przeprowadzania konsultacji po przyjęciu aktów ustawodawczych lub podczas opracowywania aktów delegowanych i aktów wykonawczych, o których mowa w art. 289, 290 i 291 TFUE, oraz po przyjęciu zaleceń i wniosków odnoszących się do umów z państwami trzecimi i organizacjami międzynarodowymi, o których mowa w art. 218 TFUE i które mają wpływ na prawo do ochrony danych osobowych. W takich przypadkach Komisja powinna mieć obowiązek skonsultowania się z Europejskim Inspektorem Ochrony Danych, z wyjątkiem przypadków, w odniesieniu do których w rozporządzeniu (UE) 2016/679 przewidziano obowiązek konsultacji z Europejską Radą Ochrony Danych, na przykład w przypadku decyzji stwierdzających odpowiedni stopień ochrony lub aktów delegowanych w sprawie standardowych znaków graficznych i wymogów dotyczących mechanizmów certyfikacji".
3 Wniosek dotyczący dyrektywy Rady zmieniającej dyrektywę 2006/112/WE w odniesieniu do wprowadzenia pewnych wymogów dla dostawców usług płatniczych, COM(2018)812 final, proc. 2018/0412 (CNS).
4 Wniosek dotyczący rozporządzenia Rady zmieniającego rozporządzenie (UE) nr 904/2010 w odniesieniu do środków zwiększających współpracę administracyjną w celu zwalczania oszustw związanych z VAT, COM(2018) 813 final, proc. 2018/0413 (CNS).
5 Dokument roboczy służb Komisji - Ocena skutków towarzysząca wnioskowi dotyczącemu dyrektywy Rady, rozporządzeniu wykonawczemu Rady oraz rozporządzeniu Rady w sprawie obowiązkowej transmisji i wymiany danych o płatności w związku z VAT.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .