RODO wkracza do MDR-ów, czyli omówienie implementacji dyrektywy DAC7

1 lipca 2024 roku weszła w życie ustawa implementująca do polskiego porządku prawnego unijną dyrektywę Rady (UE) 2021/514 z 22 marca 2021 r. zmieniająca dyrektywę 2011/16/UE w sprawie współpracy administracyjnej w dziedzinie opodatkowania, czyli dyrektywę DAC7. Pośród kwestii, które dotyczą przede wszystkim wymiany informacji podatkowych pomiędzy państwami unijnymi, polska implementacja ma także istotny wpływ na procedury związane z raportowaniem schematów podatkowych (MDR) oraz ochronę danych osobowych w organizacji (RODO).

Nowe obowiązki informacyjne

Ustawa z 23 maja 2024 roku o zmianie ustawy o wymianie informacji podatkowych z innymi państwami oraz niektórych innych ustaw (dalej jako Ustawa) dodaje m. in. art. 86da do Ordynacji podatkowe, wprowadzając nowe obowiązki informacyjne względem osób fizycznych, których dotyczy schemat podatkowy. Nowy przepis nakazuje promotorowi oraz wspomagającemu, przekazywać osobie fizycznej informacje o gromadzeniu, przetwarzaniu i przekazywaniu informacji dotyczących schematu podatkowego, jeśli informacje o schemacie podatkowym dotyczą tej osoby fizycznej.

Zgodnie z Ordynacją podatkową, poprzez Promotora rozumie się osobę fizyczną, osobę prawną lub jednostkę organizacyjną niemającą osobowości prawnej, doradzającą klientom, również w przypadku gdy podmiot ten nie posiada miejsca zamieszkania, siedziby ani zarządu na terytorium kraju, która opracowuje, oferuje, udostępnia lub wdraża uzgodnienie lub zarządza wdrażaniem uzgodnienia. Natomiast, poprzez Wspomagającego rozumie się osobę fizyczną, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, w szczególności biegłego rewidenta, notariusza, osobę świadczącą usługi prowadzenia ksiąg rachunkowych, księgowego lub dyrektora finansowego, bank lub inną instytucję finansową, a także ich pracownika, która przy zachowaniu staranności ogólnie wymaganej w dokonywanych czynnościach, przy uwzględnieniu zawodowego charakteru działalności, obszaru specjalizacji oraz przedmiotu wykonywanych czynności, podjęła się udzielić, bezpośrednio lub za pośrednictwem innych osób, pomocy, wsparcia lub porad dotyczących opracowania, wprowadzenia do obrotu, organizowania, udostępnienia do wdrożenia lub nadzorowania wdrożenia uzgodnienia.

Jakie informacje trzeba przekazać?

Promotor lub Wspomagający będzie zobowiązany do realizacji obowiązków informacyjnych, wynikających z art. 13 lub 14 RODO, względem osoby fizycznej zidentyfikowanej jako Korzystający. W szczególności konieczne będzie przekazanie:

  • swojej tożsamości i danych kontaktowych, a także gdy ma to zastosowanie tożsamości i danych kontaktowych swojego przedstawiciela;
  • danych kontaktowych inspektora ochrony danych osobowych, jeżeli ma to zastosowanie;
  • informacji o celach przetwarzania danych osobowych, oraz czy przetwarzanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy, a jeżeli podstawa opiera się o prawnie uzasadnione interesy administratora, to opis realizowanych interesów;
  • informacji o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie – informacji o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
  • informacji o okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;
  • informacji o przysługującym prawie dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, do cofnięcia zgody w dowolnym momencie o prawie wniesienia skargi do organu nadzorczego;
  • informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Dodatkowo, zgodnie z par. 2 art. 86da Ordynacji podatkowej, konieczne jest poinformowanie o prawdopodobieństwie naruszenia bezpieczeństwa danych osobowych osoby fizycznej na piśmie, jeśli może ono negatywnie wpłynąć na ochronę danych osobowych, niezależnie od tego jaki podmiot jest odpowiedzialny za np. wyciek danych osobowych.

Co szczególnie istotne, Ustawa wprowadza nową definicję „naruszenia ochrony danych”, różniącą się od tej wynikającej z RODO z uwagi na szerszy zakres przedmiotowy. Na podstawie nowo prowadzonej definicji naruszenie ochrony danych rozumie się jako naruszenie bezpieczeństwa danych na skutek umyślnego działania niezgodnego z prawem, zaniedbania lub zdarzenia losowego, prowadzące do zniszczenia, utraty lub zmiany informacji lub innego zdarzenia polegającego na niewłaściwym lub nieuprawnionym dostępie do informacji, ujawnieniu lub wykorzystaniu informacji, w szczególności w odniesieniu do danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych, przy czym naruszenie to może dotyczyć poufności, dostępności lub integralności danych.

Działania realizujące nowe obowiązki informacyjne

Praktyczny wymiar nowych obowiązków przewidzianych w Ordynacji podatkowej to przede wszystkim:

  • Aktualizacja procedury MDR;
  • Przygotowanie klauzuli informacyjnej;
  • Realizacja praw osoby fizycznej dotyczących ochrony jej danych osobowych (ale nie wszystkich – nie można np. żądać usunięcia danych).

Zachęcamy do kontaktu z ekspertami Andersen, którzy udzielą Państwu wsparcia w procesie aktualizacji procedury MDR oraz przygotowywania odpowiednich klauzul informacyjnych.

Współautorką wpisu jest Weronika Głodek, praktykantka w zespole ds. ochrony danych osobowych i cyberbezpieczeństwa.

AUTOR WPISU

Kamil Kozioł Senior Manager, Katowice

E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891

ZOSTAW SWÓJ KOMENTARZ

Your email address will not be published. Required fields are marked *

Aktualności