„Na podstawie projektowanych przepisów bardzo duża ilość danych osobowych zawartych w fakturach – w tym też szczególne kategorie danych – ma być przetwarzana przez organy Krajowej Administracji Skarbowej i inne podmioty dla szerokich i niedoprecyzowanych ustawowych celów” – stwierdza prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski w uwagach do projektowanych przez Ministerstwo Finansów zmian w Krajowym Systemie e-Faktur (KSeF). Umożliwią one sprzedawcom wystawianie faktur w KSeF także dla konsumentów. Dane te będą trafiać do KAS.
Profilowanie z faktur
Prezes UODO nie został uwzględniony w opiniowaniu projektu. Jednak po publikacji DGP, w której opisaliśmy zastrzeżenia ekspertów, postanowił przedstawić swoją opinię. Podkreśla w niej, że faktury w KSeF będą zawierały nie tylko zwykłe dane osobowe nabywcy, „ale także w indywidualnych przypadkach również dane pozwalające ustalić wiele dodatkowych informacji o tej osobie”. Np. faktura za leki może ujawniać stan zdrowia, a za papierosy – nałóg. „Informacja w fakturze o usługach może w niektórych przypadkach wskazywać też np. na poglądy polityczne czy światopoglądowe osoby, dla której wystawiono fakturę” – stwierdza prezes UODO. Stwarza to „możliwość profilowania osoby pod kątem jej wydatków, zwyczajów, poglądów, nałogów czy stanu zdrowia, w dowolnych zestawieniach takich wrażliwych informacji” – alarmuje Mirosław Wróblewski.
- Dobrze, że prezes UODO tak się w tę sprawę zaangażował. Wygląda jednak na to, że nie rozwiąże to problemu, bo MF zdaje się go nie dostrzegać. Nie rozróżnia też danych wrażliwych i nie docenia ryzyk z tym związanych – komentuje dr Iga Małobęcka-Szwast, radca prawny i prezeska fundacji Blue Dragon Institute.
Przede wszystkim resort nie odniósł się do kwestii wątpliwych podstaw prawnych przetwarzania danych z faktur konsumenckich. W obu odpowiedziach na uwagi UODO podano argumenty znane z uzasadnienia projektu: przetwarzanie danych osobowych w KSeF jest niezbędne, aby umożliwić korzystanie z tego systemu „w celu wykonywania ustawowych zadań” administratora (jest nim szef KAS) oraz „do realizowania zadania w interesie publicznym lub w ramach sprawowania władzy publicznej”.
- Ministerstwo obstaje przy swoim, chociaż te podstawy nie spełniają wymogów RODO. Nie można się tu powoływać na ustawowe zadania, bo wystawienie faktury konsumenckiej w KSeF to wybór sprzedawcy. Ponadto nawet gdy podstawą przetwarzania jest obowiązek prawny, to RODO wymaga, żeby cel przetwarzania był precyzyjnie określony i ograniczony – wskazuje Iga Małobęcka-Szwast.
Prezes UODO stwierdził, że w jego ocenie projektowane przepisy powinny zostać zmienione, aby „przetwarzanie danych osobowych w KSeF w przypadku konsumentów zostało ograniczone jedynie do celu, dla którego mają być one pozyskiwane dla wystawienia faktury”. Powinny też „wprost wyłączać możliwość profilowania” na podstawie tak pozyskanych danych.
Projektodawca odparł, że wprowadzenie takiej regulacji „miałoby charakter wyłącznie informacyjno-potwierdzający w stosunku do opracowanych rozwiązań”, więc „byłoby nadmiarowe”.
Zdaniem Michała Kwiecińskiego, dyrektora ds. technologii i danych w spółce Platforma Detalistów, wymiana korespondencji między UODO a MF wskazuje, że celem tego ostatniego jest jak najszybsze zakończenie prac rządowych nad projektem.
- Ustawa jest potrzebna, terminy wdrożenia KSeF nieuchronnie się zbliżają, więc ministerstwo stawia własne cele ponad prawa i potrzeby indywidualnych obywateli - mówi Michał Kwieciński. - I myślę, że to dlatego odpowiedzi na uwagi UODO są właśnie takie: i śmieszne, gdy na siłę odnajdują się rzekome potrzeby konsumentów, i straszne, gdy oceniając, że dostęp będzie ograniczony, wprost przyznają, że to także dostęp dla prokuratora. Przy takim nastawieniu merytoryczna dyskusja jest trudna - dodaje.
Faktury dostępne dla zbyt wielu
Prezes UODO zwraca uwagę, że liczne podmioty będą uprawnione do korzystania z danych na ogólnikowych, niejasnych zasadach. Oprócz organów KAS będzie to m.in. Generalny Inspektor Informacji Finansowej, sądy, prokurator, prezes Urzędu Ochrony Konkurencji i Konsumentów oraz organy Państwowej Inspekcji Ochrony Roślin i Nasiennictwa. UODO uważa, że należy zakazać przekazywania danych „innym organom mającym dostęp do KSeF”.
Do tej kwestii MF się nie odniosło. Stwierdziło zaś, że „organy KAS działają tylko zgodnie z prawem i w jego granicach”, więc nie można przyjąć, że „mogą starać się wykorzystywać dane z naruszeniem zasady legalizmu i zasady praworządności”.
- Chciałabym wierzyć, że wszyscy będą przestrzegać legalizmu i praworządności, ale bezpieczniej jest zaprojektować na tyle precyzyjne przepisy, by ograniczyć możliwość nadużyć – uważa Iga Małobęcka-Szwast. - Tym bardziej, że dostęp do danych w pełnym zakresie wcale nie musi być konieczny. Prezesowi UOKiK nie będzie chyba potrzebna informacja, że Jan Kowalski kupił takie leki za taką kwotę – dodaje.
Jednym z argumentów resortu jest także to, że „samo wystawienie faktury na rzecz konsumenta będzie wymagało uprzedniego zgłoszenia żądania” takiego dokumentu.
- W praktyce w sprzedaży internetowej wystawienie faktury elektronicznej przewidują regulaminy e-sklepów, a każdy kupujący potwierdza, że z regulaminem się zapoznał i go akceptuje. Nie jest to jednak zgoda w rozumieniu RODO – podkreśla Michał Kwieciński.
MF uważa jednak, że konsumenckich e-faktur nie będzie wiele. - To twierdzenie wydaje się chybione. W przypadku zakupów internetowych bardzo często otrzymujemy przecież faktury elektroniczne – mówi Iga Małobęcka-Szwast.
Dane osobowe to odpowiedzialność
UODO zaproponował, by dokonywać w KSeF pseudonimizacji danych konsumentów. MF odpiera, że e-faktury jako źródłowe dowody księgowe „nie mogą podlegać modyfikacji”.
- Dane źródłowe można przechowywać w systemie bez zmian, ale udostępniać je uprawnionym organom po pseudonimizacji. Zapewne wiązałoby się to z problemami technicznymi, ale posiadanie szerokiego zakresu danych oznacza odpowiedzialność za ich bezpieczeństwo i poufność – mówi Iga Małobęcka-Szwast.
Dodaje, że projektodawca nie odniósł się też do faktu, że obowiązek zapewnienia zgodności z RODO (w tym legitymowania się odpowiednią podstawą prawną przetwarzania) przerzuca na przedsiębiorców, którzy będą wystawiać faktury w KSeF.
- Teoretycznie przedsiębiorcy będą mogli z własnej inicjatywy pytać konsumentów o zgodę na przetwarzanie danych – wskazuje Michał Kwieciński. - To byłaby jednak dodatkowa komplikacja, a system KSeF ma ułatwić przedsiębiorcom życie. Nie sądzę więc, żeby chcieli je sobie utrudniać. Myślę więc, że oprą się na rozwiązaniach MF – stwierdza.
Jak przyznaje prezes UODO, jego uwagi „mają charakter eksperckich wskazówek dla projektodawcy”. Ten zaś informuje o przygotowaniu „Sprawozdania z oceny skutków przetwarzania danych dla celów czynności systemu” oraz, że ocena ta zostanie „ponownie zweryfikowana o wskazówki” UODO, co ma objąć analizę „w zakresie minimalizacji ryzyk przetwarzania danych wrażliwych”.
- Myślę, że zapowiedź weryfikacji sprawozdania i dodatkowej analizy oznacza, że jakiś problem ministerstwo jednak dostrzega – mówi prezes UODO Mirosław Wróblewski. - Moje stanowisko się nie zmienia. Projekt stwarza ryzyka dla ochrony prywatności i brak w nim gwarancji ochrony danych osobowych. Pragnę jednocześnie docenić, że ministerstwo chce dalej analizować problem, a uwagi dotyczące obowiązków informacyjnych już uwzględniono (klauzule o przetwarzaniu danych znajdą się na fakturze w kodzie QR – red.) – podkreśla. Zapowiada też replikę na odpowiedź MF.