Prezes Urzędu Ochrony Danych Osobowych (PUODO) kontynuuje swoją korespondencję z Ministerstwem Finansów w sprawie przepisów ustawy o Krajowej Administracji Skarbowej (KAS), wskazując na konieczność ich doprecyzowania. PUODO ostrzega, że zbyt szerokie uprawnienia KAS w zakresie przetwarzania danych osobowych mogą stanowić zagrożenie dla ochrony prywatności obywateli.
Zakres działalności KAS a przetwarzanie danych osobowych
KAS jest instytucją odpowiedzialną za pobór podatków, opłat i należności celnych, a także za wykrywanie przestępstw związanych z tymi obszarami. W tym celu wykorzystuje dane zgromadzone w różnorodnych rejestrach, bazach i systemach.
Problem pojawia się w kontekście przetwarzania danych osobowych szczególnych kategorii, takich jak dane dotyczące wyroków skazujących, czynów zabronionych czy środków bezpieczeństwa. Art. 47 ustawy o KAS przyznaje organom KAS prawo do przetwarzania tych danych, również w sposób zautomatyzowany, co – według PUODO – może wiązać się z poważnymi ryzykami dla prywatności.
Ogólność przepisów a potencjalne ryzyko
W najnowszym piśmie do wiceministra finansów i szefa KAS Marcina Łobody, PUODO zwraca uwagę na problematyczne brzmienie art. 46a ustawy o KAS, dotyczącego wymiany informacji między Ministrem Zdrowia a KAS. Przepis teoretycznie wyklucza przetwarzanie danych ujawniających pochodzenie rasowe, poglądy polityczne, przekonania religijne, dane biometryczne czy informacje o zdrowiu. Jednak jego ogólne sformułowanie pozostawia przestrzeń do różnorodnych interpretacji, co może prowadzić do przetwarzania danych, które podlegają szczególnej ochronie na mocy RODO.
PUODO wskazuje, że wzorem dla ustawy o KAS powinny być przepisy regulujące działalność Najwyższej Izby Kontroli (NIK), które wprost zabraniają przetwarzania danych szczególnych kategorii w trakcie czynności kontrolnych.
Anonimizacja jako kluczowy postulat
Zdaniem PUODO, przetwarzanie danych osobowych przez KAS w celach analitycznych powinno odbywać się wyłącznie na danych zanonimizowanych. Taka praktyka powinna zostać jasno określona w przepisach, aby ograniczyć ryzyko naruszeń prywatności obywateli.
Kwestia dostępu do rachunków bankowych
Kolejnym budzącym kontrowersje punktem jest art. 48 ustawy o KAS, który umożliwia KAS pozyskiwanie informacji o rachunkach bankowych obywateli. Co istotne, przepisy nie ograniczają tego uprawnienia jedynie do osób podejrzanych o przestępstwa czy wykroczenia. Mogą obejmować także dane szczególnych kategorii, co rodzi pytania o proporcjonalność i konieczność takich rozwiązań.
Zarówno PUODO, jak i Rzecznik Praw Obywatelskich podnoszą, że zmiany wprowadzone w 2022 roku nie zostały wystarczająco uzasadnione. Rozszerzenie zakresu przetwarzania danych – zarówno pod względem podmiotów, jak i zakresu informacji – wymaga precyzyjnego uzasadnienia oraz odpowiednich zabezpieczeń prawnych.
Podsumowanie
PUODO apeluje o doprecyzowanie przepisów ustawy o KAS w celu zapewnienia pełnej zgodności z zasadami ochrony danych osobowych. Wskazuje na konieczność wprowadzenia wyraźnych zakazów przetwarzania danych szczególnych kategorii oraz stosowania anonimizacji w procesach analitycznych. Prezes UODO podkreśla, że nieprecyzyjne przepisy mogą prowadzić do nadmiernego naruszenia prywatności obywateli, co stoi w sprzeczności z fundamentalnymi zasadami RODO.
Dalsze działania Ministerstwa Finansów w odpowiedzi na uwagi PUODO będą kluczowe dla zapewnienia równowagi między skutecznością działań KAS a ochroną danych osobowych obywateli.