Permanentna inwigilacja internetowych zakupów. Dane osobowe pod lupą władz

Dane osobowe z faktur za kupowane przez nas towary i usługi bez naszej zgody i wiedzy będą mogły trafić do KSeF - rejestru dostępnego dla skarbówki czy prokuratora. Dotyczy to przede wszystkim zakupów internetowych.

Dane osobowe i zakupy pod lupą władz
Wątpliwa podstawa przetwarzania - art. 6 ust. 1 lit. c, e RODO
Dane osobowe szczególnych kategorii
Czy zasilanie KSeF to ważny interes publiczny?
Wrzuceni na minę
Sporządzimy opinię z urzędu - komentarz PUODO

rozwiń ›

Przepisy zawarte w nowym projekcie zmian w Krajowym Systemie e-Faktur (KSeF) umożliwią sprzedawcy wystawianie faktur w tym systemie także konsumentom. W konsultacjach społecznych prosili o to sami przedsiębiorcy. Chodziło m.in. o ułatwienie powszechnego stosowania KSeF, bez względu na status nabywcy. Ma to też uwolnić podatników od potencjalnej odpowiedzialności za pominięcie obowiązku e-fakturowania.

Projektowana nowelizacja ustawy o VAT oraz ustawy zmieniającej z 16 czerwca 2023 r. (tj. Dz.U. poz. 1598 ze zm.) przewiduje, że fakturę nadal można będzie wystawić konsumentowi tylko, gdy zgłosi on takie żądanie. Jednak to sprzedawca zdecyduje, czy będzie to zwykła faktura, czy e-faktura w ramach KSeF. Ta druga trafi na rządową platformę, do której dostęp mają m.in. organy skarbowe, sądy i prokuratorzy. W uzasadnieniu projektu czytamy, że wprowadzana zmiana nie wymaga od przedsiębiorcy pozyskiwania zgody konsumenta na przetwarzanie danych osobowych.

Dane osobowe i zakupy pod lupą władz

- Nie przekonuje mnie podejście Ministerstwa Finansów – mówi dr Iga Małobęcka-Szwast, radca prawny i adiunktka z Wydziału Prawa i Administracji UW. - Z perspektywy ochrony prywatności nie czuję się komfortowo z myślą, że jakaś komórka pod egidą Ministerstwa Finansów będzie miała wgląd w to, co kupuję – komentuje.

Zaznacza, że niezależnie od poziomu zaufania do władz, nie należy tworzyć możliwości nadużycia tego zaufania. - Pamiętamy, jak minister zdrowia ujawnił dane z IKP. Wiemy też o udanych atakach hakerskich na różne zbiory danych. Im mniej osób ma dostęp do naszych danych, im mniej danych krąży w przestrzeni cyfrowej, tym bezpieczniej możemy się czuć – stwierdza Iga Małobęcka-Szwast.

Wątpliwa podstawa przetwarzania - art. 6 ust. 1 lit. c, e RODO

Administratorem danych w KSeF jest szef KAS. Według uzasadnienia projektu przetwarzanie danych osobowych jest niezbędne w celu wypełnienia ciążących na nim obowiązków prawnych oraz w celu wykonania zadania realizowanego w interesie publicznym. Jest to art. 6 ust. 1 lit. c oraz lit. e RODO.

- Trudno mówić o obowiązku, skoro dane trafią do KSeF w wyniku fakultatywnej czynności dokonanej przez przedsiębiorcę – uważa Iga Małobęcka-Szwast. - Powołania się na zadanie realizowane w interesie publicznym można by jeszcze próbować bronić, argumentując, że wystawianie e-faktur ułatwia życie przedsiębiorcom i odbywa się w interesie spójności obrotu gospodarczego. Od resortu finansów oczekiwałabym jednak ukształtowania podstawy prawnej przetwarzania danych w sposób niebudzący wątpliwości i niepozostawiający pola do domysłów – stwierdza prawniczka.

Dane osobowe szczególnych kategorii

Przepis w formule fakultatywnej jest wątpliwą podstawą prawną przetwarzania zwykłych danych osobowych, ale w przypadku szczególnych kategorii danych - np. dotyczących zdrowia (faktury od lekarzy) – na pewno nie może nią być. - To istotny problem, zlekceważony przez projektodawcę – podkreśla Iga Małobęcka-Szwast.

Doktor Paweł Litwiński, adwokat z kancelarii Barta Litwiński, wskazuje, że można tu zastosować art. 9 ust. 2 lit. g RODO – tj. przetwarzanie niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

- Pytanie, czy rzeczywiście to przetwarzanie jest niezbędne, a przepisy proporcjonalne – zastanawia się Paweł Litwiński. - Dopuszczam, że z różnych powodów, np. w celu zwalczania nadużyć podatkowych, można włączyć do KSeF także faktury dla osób fizycznych. Tylko że wtedy niezbędne są odpowiednie zabezpieczenia, np. takie, które uniemożliwią nieuprawniony dostęp do danych - np. o tym, że ktoś korzysta z usług wspomaganego macierzyństwa, a ktoś inny kupił sobie coś, co może go kompromitować w oczach innych – mówi. Jak dodaje, pierwszym krokiem powinna być analiza wpływu na ochronę danych (DPIA). Ministerstwo Finansów jej nie wykonało.

Czy zasilanie KSeF to ważny interes publiczny?

Iga Małobęcka-Szwast uważa, że w odniesieniu do KSeF trudno byłoby uznać, iż w grę wchodzi ważny interes publiczny. – W konsekwencji jedyną dopuszczalną przesłanką przetwarzania szczególnych kategorii danych musiałaby być wyraźna zgoda konsumenta, która w tych okolicznościach byłaby jednak niepraktyczna – stwierdza.

Z kolei sprzedawcy, według uzasadnienia projektu, mogą się powołać na przetwarzanie danych niezbędne do wykonania umowy oraz do wypełnienia obowiązku prawnego.

- Tu znowu wszystko rozbija się o fakultatywną formę projektowanego rozwiązania – mówi dr Małobęcka-Szwast. Przekazanie faktury konsumenta do KSeF nie jest bowiem obowiązkiem przedsiębiorcy. Nie jest też niezbędne dla realizacji umowy.

Prawniczka dodaje, że przedsiębiorcy mogą się powołać na swój prawnie uzasadniony interes, bo jednolity format faktur ułatwia prowadzenie działalności. Nie rozwiązuje to jednak problemu danych wrażliwych.

Wrzuceni na minę

Michał Kwieciński, dyrektor ds. technologii i danych w spółce Platforma Detalistów, wskazuje, że w praktyce żądanie faktury często jest wpisane w regulamin sklepu internetowego jako wymóg dla każdego zakupu.

- Faktury dla osób prywatnych są niemal standardem w sprzedaży internetowej – m.in. dlatego, że pozwalają ominąć konieczność wysyłania paragonów fiskalnych, które do niedawna nie miały elektronicznego odpowiednika - oraz dla udokumentowania rozliczeń z pracodawcą czy ubezpieczycielem, często dotyczących usług medycznych – tłumaczy Michał Kwieciński. – Nieświadomy klient nie zauważy różnicy między obecną fakturą a fakturą z KSeF. Wciąż otrzyma PDF lub wydruk, tyle że z kodem QR – dodaje.

W jego ocenie na rządowe serwery trafią informacje o większości zakupów internetowych. - W ten sposób Ministerstwo Finansów, redukując jedne ryzyka, wrzuca chcących upraszczać procesy przedsiębiorców na minę RODO, a samo naraża się na zarzut powszechnej inwigilacji – stwierdza Michał Kwieciński. - Finalnie, jeśli przedsiębiorcy nie zdecydują się zbierać wyraźnej zgody do każdej faktury niewystawianej na firmę, najbardziej poszkodowani będą konsumenci. Może za kilka lat prezes UODO ukarze kilku małych przedsiębiorców za brak pozyskania zgody klienta na przesłanie danych do KSeF. W tym czasie rządowa baza urośnie, a obywatel nie będzie mógł skorzystać np. z prawa do zapomnienia, więc jego wolności gwarantowane przez RODO będą stale ograniczane – podsumowuje Michał Kwieciński.

Sporządzimy opinię z urzędu - komentarz PUODO

Tak projekt komentuje dla DGP prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski:

"Początkowo nie planowano w przepisach dotyczących KSeF wystawiania faktur konsumentom. Obecny projekt jest kolejną nowelizacją ustawy, przygotowaną w czasie, gdy poprzednio przyjęta nowelizacja nie weszła jeszcze w życie. Teraz projektuje się, że jeśli nabywca będący osobą fizyczną zwróci się o wystawienie faktury, to sprzedawca lub usługodawca zdecyduje, czy będzie to zwykła faktura, czy też e-faktura przekazywana do KSeF. W rezultacie to od sprzedawcy będzie zależało, czy dane osobowe konsumenta zostaną udostępnione szefowi KAS. A konsumenci mogą przecież robić różne zakupy – bardziej lub mniej wrażliwe z punktu widzenia prawa do prywatności. Sytuacja, w której o udostępnieniu ich danych będzie decydował podmiot trzeci, nie jest trafnym rozwiązaniem.

Nietrafne jest także wskazanie art. 6 ust. 1 lit. c RODO – o przetwarzaniu niezbędnym do wypełnienia obowiązku prawnego ciążącego na administratorze – jako podstawy przetwarzania danych osobowych z faktur przez szefa KAS bez odpowiedniego uzasadnienia tej podstawy. Art. 6 ust. 3 RODO ustala bowiem wymagania jakościowe względem stosowania tej podstawy przetwarzania. Cel pozyskiwania informacji przez szefa KAS nie jest w tym kontekście wystarczająco umotywowany. Podstawą przetwarzania danych nie może być jakikolwiek przepis prawa, lecz wyłącznie przepis spełniający kryteria art. 6 ust. 3 RODO.

Urząd Ochrony Danych Osobowych nie był konsultowany, jeśli chodzi o te zmiany, a moim zdaniem powinien być, co wynika zarówno z RODO, jak i z ustawy o ochronie danych osobowych. Dlatego też sporządzimy do tego projektu opinię z urzędu".