Wszystkie dane o użytkownikach Allegro do dyspozycji dyrektora izby skarbowej
Oferowane narzędzie informatyczne ma umożliwiać dyrektorowi izby skarbowej internetowy dostęp on-line po pierwsze do archiwalnych danych dotyczących wszystkich użytkowników Allegro oraz aukcji, w których uczestniczą (treść, przebieg i finalny wynik, dane dot. finalizacji transakcji, jak sposób płatności czy wysyłki towaru). Po drugie, do wszystkich informacji z serwisów ogłoszeniowych (jak np. Otomoto), według danych: data, numer ogłoszenia, tytuł, cena. Zamawiane narzędzie, w odniesieniu do informacji z serwisu Allegro, ma umożliwiać import danych archiwalnych (od roku 2007). Jedną z oczekiwanych funkcjonalności ma być możliwość uzyskania danych na temat powiązań konkretnego użytkownika z innymi userami portalu Allegro (nickami) i serwisami ogłoszeniowymi (w powiązaniu z takimi danymi jak nr telefonu, adres poczty elektronicznej czy loginach komunikatorów internetowych). De facto zamawiane narzędzie ma udostępniać wszystkie dane na temat wszystkich użytkowników Allegro i wszystkich podejmowanych przez nich w tym serwisie działań i powiązań z innymi użytkownikami.
Niezależne od pobudek, jakie przyświecają takiemu działaniu, jego legalność budzi poważne wątpliwości. Ściganie podatników handlujących w sieci nie należy bowiem do kompetencji dyrektora izby skarbowej, jako organu podatkowego.
Kontrola podatnika
Zbieranie i przetwarzanie informacji dotyczących podatnika w celu oceny prawidłowości wywiązywania się z ciążących na nim obowiązków podatkowych, jest działaniem o charakterze kontrolnym. Takie działania należą do przedmiotowego zakresu kontroli skarbowej (por. art. 2 ust. 1 pkt 1-3 ustawy o kontroli skarbowej), bądź kontroli podatkowej (por. art. 281 §2 Ordynacji podatkowej). Problem jednak w tym, że ani w zakresie kontroli skarbowej, ani w ramach kontroli podatkowej dyrektorowi izby skarbowej jako organowi podatkowemu nie przysługują żadne kompetencje.
Kontrolę skarbową sprawują organy kontroli skarbowej, do których należą: dyrektorzy urzędów kontroli skarbowej, Generalny Inspektor Kontroli Skarbowej jako organ wyższego stopnia nad dyrektorami urzędów kontroli skarbowej oraz Minister Finansów jako naczelny organ kontroli skarbowej (art. 6 ust. 1 i art. 8 ust. 1 ustawy o kontroli skarbowej).
Organy te mogą podejmować szereg czynności kontrolnych wobec podatników, między innymi zbierać i wykorzystywać informacje (w tym dane osobowe podatników) od osób prawnych, jednostek organizacyjnych niemających osobowości prawnej oraz osób fizycznych prowadzących działalność gospodarczą, o zdarzeniach mających bezpośredni wpływ na powstanie lub wysokość zobowiązania podatkowego. Dane te mogą przetwarzać w rozumieniu przepisów o ochronie danych osobowych, także bez wiedzy i zgody osoby, której dotyczą. Ponadto są uprawione do zbierania informacji na temat np. ogłoszeń zamieszczanych w Internecie oraz danych osób zlecających publikację tych ogłoszeń (zob. art. 7c ust. 1 i art. 7d ust. 2 ustawy o kontroli skarbowej).
Jednak dyrektor izby skarbowej, jako organ nie należący do struktury aparatu kontroli skarbowej, nie ma żadnych kompetencji do podejmowania jakichkolwiek działań należących do zakresu przedmiotowego kontroli skarbowej, w tym również wskazanych powyżej uprawnień do zbierania informacji o podatnikach czy ich działaniach w sieci.
Również przepisy Ordynacji podatkowej nie mogą stanowić podstawy prawnej dla podejmowania przez dyrektora izby skarbowej rozważanych działań o charakterze kontrolnym. Celem kontroli podatkowej, uregulowanej w dziale VI Ordynacji podatkowej jest sprawdzenie, czy kontrolowani wywiązują się z obowiązków wynikających z przepisów prawa podatkowego (art. 281 §2 Ordynacji podatkowej). Tyle tylko, że zgodnie z art. 281§§1 i 3 kontrolę podatkową przeprowadzają:
- organy podatkowe pierwszej instancji, w zakresie kontroli podatkowej u podatników, płatników, inkasentów oraz następców prawnych,
- Minister Finansów w ramach kontroli stosowania uznanej przez ten organ metody ustalania ceny transakcyjnej między podmiotami powiązanymi (tzw. uprzednie porozumienia cenowe – nie dotyczące niniejszej materii).
Dyrektor izby skarbowej nie może kontrolować
Dyrektor izby skarbowej będąc organem odwoławczym od decyzji naczelnika urzędu skarbowego jest organem podatkowym wyższego stopnia (art. 13 §1 pkt 2 lit. „a” oraz §3 Ordynacji podatkowej). A zatem, w świetle przywołanego art. 281§1, nie jest uprawniony do przeprowadzania kontroli podatkowej i tym samym nie ma żadnych kompetencji do podejmowania działań kontrolnych.
Dla porządku jedynie należy zauważyć również, że takie działania nie mogą być podejmowane przez dyrektora izby skarbowej w ramach czynności sprawdzających, uregulowanych w dziale V Ordynacji podatkowej. Czynności sprawdzające swym zakresem obejmują:
- sprawdzenie terminowości:
a. składania deklaracji,
b. wpłacania zadeklarowanych podatków, w tym również pobieranych przez płatników oraz inkasentów;
- stwierdzenie formalnej poprawności deklaracji, ;
- ustalenie stanu faktycznego w zakresie niezbędnym do stwierdzenia zgodności z przedstawionymi dokumentami (art. 272 Ordynacji podatkowej).
Zbieranie i przetwarzanie informacji o użytkownikach Internetu nie mieści się w powyższym zakresie czynności sprawdzających, Ponadto organem właściwym do podejmowania czynności sprawdzających jest wyłącznie organ podatkowy pierwszej instancji (art. 272 Ordynacji podatkowej), a jak już wskazano powyżej, dyrektor izby skarbowej takim organem nie jest.
Działania dyrektora izby skarbowej naruszają art. 15 §1 Ordynacji podatkowej, zgodnie z którym to przepisem organy podatkowe z urzędu przestrzegają swojej właściwości rzeczowej i miejscowej. Podejmowanie przez dyrektora izby skarbowej czynności nie należących do jego właściwości, narusza ww. przepis co do właściwości rzeczowej. Poza tym prowadzenie czynności kontrolnych i zbieranie materiałów na temat podatników nie podlegających właściwości miejscowej tego organu również jest także niezgodne z art. 15 §1 Ordynacji podatkowej co do właściwości miejscowej.
Z treści art. 5 ust. 1 i ust. 7 ustawy z dnia 21 czerwca 1996r. o urzędach i izbach skarbowych wynika jasny zakres kompetencji dyrektora izby skarbowej. Zgodnie z tymi przepisami, dyrektor izby skarbowej jest organem administracji rządowej niezespolonej, do którego zakresu działania (kompetencji) należy:
- nadzór nad urzędami skarbowymi;
- rozstrzyganie w drugiej instancji w sprawach należących w pierwszej instancji do urzędów skarbowych;
- ustalanie i udzielanie oraz analizowanie prawidłowości wykorzystywania dotacji przedmiotowych dla przedsiębiorców w zakresie określonym przez Ministra Finansów (aktualnie Ministra Właściwego do spraw finansów publicznych);
- wykonywanie innych zadań określonych w odrębnych przepisach.
Szpiegowanie podatników w sieci nie należy do żadnego z powyżej opisanych zadań.
Wniosek z tego płynie jeden – zbieranie i przetwarzanie przez dyrektora izby skarbowej wszystkich danych na temat wszystkich użytkowników Allegro i podejmowanych przez te osoby działań w celu doprowadzenia do wyegzekwowania zobowiązań podatkowych, nie ma żadnej podstawy prawnej.
Działania izby skarbowej niezgodne z prawem
Jak wskazuje z art. 7 Konstytucji Rzeczypospolitej Polskiej, organy władzy publicznej działają na podstawie i w granicach prawa. Na gruncie podatkowym ta zasada została powtórzona w art. 120 Ordynacji podatkowej (do którego przepisy odsyłają również art. 31 ust. 1 ustawy o kontroli skarbowej oraz art. 280 i art. 292 Ordynacji). Ten przepis również stanowi, że organy podatkowe działają na podstawie przepisów prawa. Ze wskazanych uregulowań (zwłaszcza w najszerszym zakresie z Konstytucji Rzeczypospolitej Polskiej) wynika jasno że organy działają wyłącznie na podstawie i w granicach przyznanego im prawa. Tym samym, wszelkie działanie danego organu powinno być legitymizowane przyznanymi temu organowi kompetencjami (co do zasady na podstawie stosownych ustaw), przy czym ustawowa podstawa prawna przyznająca danemu organowi określone kompetencje, wyznacza również granice działania tego organu, poza które nie mogą wychodzić czynności podejmowane przez ten organ.
Organowi podatkowemu dozwolone jest tylko takie działanie, które wynika z przyznanych w drodze stosownych przepisów kompetencji (Por. wyrok Trybunału Konstytucyjnego z dnia 27 maja 2002 r., K 20/01, OTK-A 2002, nr 3, poz. 34), a nie to co nie jest zabronione. Analogiczne unormowania dotyczą postępowań podatkowych przewidzianych przepisami Ordynacji podatkowej (wyrok NSA z dnia 26 lutego 2001 r., III SA 167/00, LEX nr 47930). Kompetencji organu nie można domniemywać nawet w przypadku, gdyby konkretne działanie było wskazane ze względu na ochronę wartości konstytucyjnych (uchw. TK z dnia 10.05.1994r. W 7/94, OTK 1994, Nr 1 poz. 23, s. 204 i nast.). A zatem rozważane działania dyrektora izby skarbowej jako organu podatkowego należy zatem uznać za nielegalne. A to niesie za sobą dalsze wymierne konsekwencje.
Przykre konsekwencje inicjatywy izby skarbowej
Ewentualne materiały zebrane przez organ podatkowy z naruszeniem jego kompetencji nie będą mogły stanowić dowodów w postępowaniu podatkowym. Zgodnie bowiem z art. 180§1 Ordynacji podatkowej jako dowód należy dopuścić wszystko, co może przyczynić się do wyjaśnienia sprawy, a nie jest sprzeczne z prawem. Tymczasem zebranie materiałów i informacji przez nieuprawniony do tego organ jest sprzeczne z prawem, co dyskwalifikuje takie materiały jako materiał dowodowy (Por. wyrok WSA w Warszawie z dnia 10.12.2008r. III SA/Wa 1264/08, publ. www.orzeczenia.nsa.gov.pl).
Sytuacja, w której organy podatkowe działają z przekroczeniem przyznanych im ustawowo kompetencji, rzutować może także w istotny sposób na dopuszczalność przetwarzania przez te organy danych osobowych obywateli. Albowiem aby móc przetwarzać dane osobowe, należy posiadać stosowne uprawnienia.
Według art. 51 ust. 2 Konstytucji Rzeczypospolitej Polskiej władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Z całą pewnością nie można uznać za „niezbędne w demokratycznym państwie prawnym” zbierania i późniejsze posługiwanie się danymi osobowymi obywateli w przypadku, gdy po stronie organu wykorzystującego te dane brak jest podstawy prawnej do ich przetwarzania.
Podstawa prawna przetwarzania danych osobowych przez organy
Biorąc pod uwagę przepisy Konstytucji, a w szczególności art. 51 ust. 5 Konstytucji RP, zgodnie z którym zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa, należy zauważyć, że ustawa z dnia 21 czerwca 1996 r. o urzędach i izbach skarbowych nie zawiera przepisów wskazujących zasady, cele i zakres przetwarzania przez izby skarbowe danych osobowych obywateli RP. Izba skarbowa, posługująca się w swej działalności danymi osobowymi użytkowników serwisów internetowych, zebranymi przez ten organ podatkowy samodzielnie lub otrzymanymi od podmiotu zewnętrznego, mogłaby zatem przetwarzać te dane w oparciu o przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwanej dalej „UODO”), w tym na podstawie ogólnych przesłanek dopuszczalności ujętych w art. 23 UODO.
skarbowa dyrektor Izby Skarbowej , zgodnie z przytoczonymi przepisami, mógłby przetwarzać dane osobowe, gdy:
a) jest ono niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 UODO),
b) jest ono niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4 UODO), lub
c) jest ono niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 UODO).
Analizując pierwszą z przesłanek, uznać trzeba, że organ przesłanki tej nie spełni, gdy gromadzenie i posługiwanie się danymi osobowymi użytkowników serwisów internetowych nie będzie służyć realizacji przyznanych ustawowych kompetencji. Jeśli dojdzie do przetwarzania danych osobowych przez organ podatkowy w celach wykraczających poza ustawowy zakres jego działania, nie będą spełnione także pozostałe dwie przesłanki, gdyż takie przetwarzanie nie będzie także niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 4 UODO) ani niezbędne dla wypełnienia prawnie usprawiedliwionych celów administratora danych osobowych czy też odbiorcy danych (art. 23 ust. 1 pkt 5 UODO).
Zasada działania organu administracji publicznej na podstawie przepisów prawa i w granicach przyznanych ustawowo kompetencji jest zasadą nadrzędną także wobec przesłanek dopuszczalności przetwarzania danych osobowych. Nie sposób bowiem zaakceptować tezy, iż przesłanki zawarte w UODO mogą być stosowane w przypadku działań organu podatkowego podejmowanych z przekroczeniem jego kompetencji. Tym samym, zgoda osoby, której dane dotyczą, na przetwarzanie jej danych przez organ lub umowne ustalenia pomiędzy organem a podmiotem zewnętrznym w przedmiocie udostępnienia organowi danych, nie mogą sanować wykorzystywania przez organ uzyskanych danych dla wykonywania czynności nie mieszczących się w zakresie przyznanych organowi uprawnień.
Użytkownicy nie są bezbronni
W konsekwencji, wykorzystywanie przez organ podatkowy danych osobowych użytkowników serwisów internetowych (w tym np. serwisów aukcyjnych) do działań wykraczających poza ustawowe uprawnienia organu, naruszy bez wątpienia prawa i wolności tych osób. W takiej sytuacji będą oni mogli skorzystać z uprawnień kontrolnych przewidzianych w rozdziale 4 UODO. W szczególności jednak, wskutek stwierdzenia przez użytkownika, że jego dane zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego je zebrano, użytkownik będzie mógł żądać od dyrektora izby skarbowej usunięcia jego danych. W razie niezastosowania się przez organ do treści żądania, użytkownik może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o nakazanie organowi usunięcia danych.
Dane dotyczące użytkowników serwisów internetowych, w przypadku gdy są pozyskiwane przez organ podatkowy z ogólnie dostępnych stron internetowych (np. serwisów internetowych), mogą stanowić składnik bazy danych utworzonej przez podmiot prowadzący konkretny serwis. Samo upublicznienie będących w centrum zainteresowania organów podatkowych informacji o użytkownikach serwisów, nie oznacza automatycznego przyzwolenia na wykorzystywanie tych danych. Korzystanie z takich informacji przez dyrektora izby skarbowej może więc także naruszyć prawo twórcy bazy danych, z której dane pochodzą.
Zgodnie z ustawą z dnia 27 lipca 2001 o ochronie baz danych, ich twórcy przysługuje m.in. uprawnienie do wyłącznego pobierania danych (przejęcia lub przeniesienia zawartości bazy danych na inny nośnik, bez względu na sposób lub formę tego przejęcia lub przeniesienia) w istotnej części, co do jakości lub ilości. Za naruszenie tego prawa można będzie uznać kopiowanie lub korzystanie przez organ podatkowy ze znacznej ilości danych dotyczących użytkowników konkretnego serwisu internetowego i stanowiących istotną część bazy danych, z której pochodzą, bez uprzedniego zezwolenia na takie kopiowanie lub korzystanie z nich, udzielonego przez operatora serwisu internetowego.
Jak wskazuje art. 8 ust. 2 przywołanej ustawy o ochronie baz danych, nie jest dozwolone powtarzające się i systematyczne pobieranie, które jest sprzeczne z normalnym korzystaniem i powodujące nieusprawiedliwione naruszenie słusznych interesów producenta bazy danych. Korzystanie przez organ podatkowy z opisanych danych, uwzględniając znaczną ich ilość oraz wykorzystywanie ich w ramach działań organu wykraczających poza przyznane ustawą kompetencje, nie pozwala na uznanie takiego korzystania za tzw. dozwolony użytek danych w rozumieniu art. 8 ust. 1 ustawy o ochronie baz danych. W szczególności, korzystanie ze wspomnianych danych nie będzie mogło zostać zakwalifikowane jako dozwolone korzystanie do celów postępowania administracyjnego (art. 8 ust. 1 pkt 3 ww. ustawy). Czynności prowadzone z naruszeniem konstytucyjnej zasady legalizmu nie są bowiem postępowaniem administracyjnym w rozumieniu art. 8 ust. 1 pkt 3 ustawy o ochronie baz danych.
Kontrola podatników służy interesom ogółu: państwa i jego obywateli. Chodzi tu zarówno o egzekucję konstytucyjnego obowiązku uiszczania podatków, z których finansowane są działania państwa, jak i chociażby ochrona zachowania uczciwych zasad konkurencji rynkowej, które są łamane w przypadku unikania opodatkowania przez niektórych przedsiębiorców. Jednak narzędziem ochrony tego uniwersalnego interesu są już przecież przyznane stosowne uprawnienia organom kontroli skarbowej w ramach kontroli skarbowej prowadzonej na podstawie przepisów ustawy o kontroli skarbowej. Temu samemu celowi służą organom podatkowym pierwszego stopnia przyznane kompetencje kontrolne na podstawie przepisów Ordynacji podatkowej o kontroli podatkowej. Organy te w mogą legalnie zbierać i przetwarzać dane użytkowników Internetu i jak wynika z dotychczasowej praktyki, z tych uprawnień korzystają.
W tej sytuacji rozważane działania dyrektora izby skarbowej wydają się zwyczajnie niepotrzebne.
Łukasz Wojtkowiak
Doradca podatkowy,
Wspólnik w Kancelarii Prawniczej
Włodzimierz Głowacki i Wspólnicy sp.k. z siedzibą w Poznaniu
Marcin Berlak
Radca prawny
w Kancelarii Prawniczej
Włodzimierz Głowacki i Wspólnicy sp.k. z siedzibą w Poznaniu
***
Kancelaria Prawnicza Włodzimierz Głowacki i Wspólnicy sp.k. to poznańska kancelaria, która od kilku lat działa również na terenie Warszawy. Kancelaria posiada wieloletnie doświadczenie w obsłudze przedsiębiorców. Jako jedna z nielicznych kancelarii specjalizuje się także w kompleksowej obsłudze prawnej podmiotów działających w Internecie.
Łukasz Wojtkowiak – doradca podatkowy, absolwent Wydziału Prawa Uniwersytetu im. Adama Mickiewicza w Poznaniu. W latach 2000-2001 słuchacz Podyplomowego Studium Podatków i Finansów w Szkole Głównej Handlowej w Warszawie. Wpis na listę doradców podatkowych Krajowej Izby Doradców Podatkowych uzyskał w 2003 r. Współpracował z Nadzwyczajną Komisją Sejmową „Przyjazne Państwo”. Posiada wieloletnie doświadczenie w zakresie współpracy z poznańskimi kancelariami prawniczymi skoncentrowanymi na obsłudze przedsiębiorców. Przez kilka lat pracował w jednym z poznańskich urzędów skarbowych. Z Kancelarią związany od 2004 r. Jego zainteresowania zawodowe koncentrują się wokół cywilnoprawnych i podatkowych zagadnieniach przekształceń, fuzji i przejęć podmiotów gospodarczych, transakcji na przedsiębiorstwach oraz podatkowych zagadnieniach prowadzenia działalności gospodarczej z wykorzystaniem Internetu oraz nowych technologii.
Marcin Berlak – radca prawny, absolwent Uniwersytetu im. Adama Mickiewicza w Poznaniu, od roku 2007 aplikant radcowski, z Kancelarią związany od września 2006 r. Absolwent Podyplomowego Studium Prawa Własności Intelektualnej na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego. Specjalizuje się w zagadnieniach z zakresu ochrony danych osobowych oraz prawie własności intelektualnej, ze szczególnym uwzględnieniem tworzenia i obrotu produktami informatycznymi.