Przetwarzanie danych osobowych podatników podatku dochodowego od osób fizycznych

Podatek dochodowy od osób fizycznych stanowi istotne źródło dochodów budżetowych. Pod względem fiskalnym ustępuje tylko podatkowi od towarów i usług oraz akcyzie.
Podstawą prawną omawianego podatku jest ustawa z dnia 26 lipca 1991 r. o podatku od osób fizycznych (tekst jednolity: Dz. U. 2010 r. Nr 51 poz. 307). Głównym zadaniem omawianej daniny państwowej jest funkcja redystrybucyjna jaki i stymulacyjna. Poprzez odpowiednią wielkość obciążenia oraz specjalnie dobrany zakres podmiotowy, prawodawca chce promować jedne zachowania podatników, starając się równocześnie ograniczyć takie, które wydają się nieodpowiednie. Dzięki takiej konstrukcji „doktryna zalicza ogólny podatek dochodowy do najbardziej idealnych podatków państw nowożytnych w finansowo zdrowych i ekonomicznie dojrzałych społeczeństwach.”1
Obowiązki organów podatkowych związane z przetwarzaniem danych osobowych podatników wynikają wprost z konkretnych przepisów prawa. Przepisy te można podzielić na dwie grupy. Pierwszą z nich są akty prawne związane z podatkami (np. ustawa o podatku dochodowym od osób fizycznych) zaś drugą grupę stanowią przepisy dotyczące ochrony danych osobowych (a więc ustawa o ochronie danych osobowych, dalej uodo,oraz akty prawne wydane na jej podstawie).
Dane podatników są w zdecydowanej większości przetwarzane przez odpowiednie organy na mocy przepisów prawa. „W przypadku gdy przepis prawa zezwala na przetwarzanie danych to takie działanie na danych jest obowiązkiem organów administracji podatkowej”2. Nie jest wykluczona sytuacja w której przepisy nie nakładają wprost obowiązku przetwarzania danych przez organ, „lecz jedynie przyznają podmiotowi uprawnienie, do którego realizacji niezbędne jest przetwarzanie danych, to podmiot ten ma prawo przetwarzać dane w oparciu o art. 23 ust. 1pkt 4 uodo.”3
Główną przesłanką legalizującą przetwarzanie danych osobowych podatników podatku dochodowego od osób fizycznych jest art. 23 ust 1 pkt 2 ustawy o ochronie danych osobowych. Doktryna podkreśla, iż omawianą przesłankę należy stosować przed innymi przesłankami.4 W świetle przytoczonego artykułu przetwarzanie danych jest dopuszczalne jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Takim przepisem prawa są oczywiście przepisy prawa podatkowego . „Jedną z najbardziej rozbudowanych regulacji tego typu jest ustawa z dnia 29 sierpnia 1997 roku – Ordynacja podatkowa (Dz. U. Nr 137, poz. 926 z późń. zm.).5” , zwana dalej Ordynacją. Przytoczony akt prawny zawiera wiele przepisów pozwalających na przetwarzanie danych osobowych podatników. Głównym obowiązkiem, który nakłada Ordynacja na podatników, jest konieczność informowania odpowiednich organów podatkowych o wymienionych w Ordynacji zdarzeniach.
Ordynacja jest bardzo istotnym aktem prawnym dla wszystkich szczegółowych uregulowań poszczególnych podatków i nie sposób było o niej nie wspomnieć przed przystąpieniem do rozważań nad aktami szczególnymi.
Aktem prawnym mającym szczególny wpływ na możliwość, zakres i cel przetwarzania danych podatników jest ustawa o podatku dochodowym od osób fizycznych.
„Ustawa nie ma charakteru regulacji wyczerpującej. Prawa i obowiązki podatnika tego podatku wynikają z szeregu postanowień Konstytucji RP, wielu ustaw i ratyfikowanych umów międzynarodowych oraz rozporządzeń wykonawczych wydanych na jej podstawie, a przede wszystkim tych wydanych przez Ministra Finansów”6
Kluczową kwestią, jeżeli chodzi zakres pozyskiwanych danych, jest art. 45 updof, który został poświęcony zagadnieniom związanym z deklaracjami podatkowymi. Deklaracje podatkowe za pomocą których są zbierane dane, regulują odpowiednie rozporządzenia. 7
Wymienione rozporządzenia określają zakres danych jaki podatnik powinien podać na formularzu. Co do zasady zakres danych na każdym formularzu jest bardzo zbliżony i obejmuje: imię i nazwisko, datę urodzenia, PESEL, NIP, kraj, województwo, powiat, gminę, ulicę, nr domu, nr lokalu, miejscowość, kod pocztowy ,właściwą pocztę, nr telefonu, nr konta bankowego. Wszystkie te informacje są wymagane przez przepisy prawa w celu złożenia odpowiedniej deklaracji podatkowej.
W art. 23 uodo są zawarte również inne przesłanki legalizujące przetwarzanie danych osobowych z których każda ma charakter autonomiczny i niezależny. Jednak w przypadku danych osobowych podatników zastosowanie znajduje prawie wyłącznie ust. 1 pkt 2 omawianego przepisu. Inne przesłanki legalizujące z art. 23 uodo są używane bardzo rzadko z uwagi na charakter podatków będących świadczeniem realizowanym na rzecz podmiotów państwowych.
Jednym z najważniejszych pytań związanych z przetwarzaniem danych podatników jest pytanie dotyczące tego, kto jest administratorem danych.
Administratorem może być zarówno podmiot publiczny jak i prywatny. Administratorem danych podatników są wyłącznie podmioty publiczne. Zgodnie z definicją zawartą w uodo administrator danych to podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. Administratorem danych pozyskanych na mocy przepisów prawa za pomocą deklaracji podatkowych określonych na podstawie art. 45 ustawy o podatku dochodowym od osób fizycznych są: naczelnicy urzędów skarbowych, dyrektorzy urzędów kontroli skarbowej oraz dyrektorzy izb skarbowych, a nie Minister Finansów.
Warto zwrócić uwagę, iż kwestia związana z faktycznym przetwarzaniem danych nie ma wpływu na wyznaczenia administratora danych. Nie wykluczona jest sytuacja w której administrator nie będzie miał dostępu do danych, gdyż powierzy ich przetwarzanie innym podmiotom.
Cel zbierania danych może być narzucony odpowiednimi przepisami – jak ma to miejsce w zdecydowanej większości przypadków przetwarzania danych podatników. „Stąd też możliwość decydowania przez podmioty publiczne o celu i środkach przetwarzania danych jest stosunkowo niewielka.”8 W kontekście celu należy rozpatrywać zakres danych jaki jest przetwarzany. Zasadę adekwatności przetwarzania danych osobowych, ujętą w art. 26 ust. 1 pkt 3 uodo, stosuje się do wszystkich administratorów danych, w tym również do organów administracji państwowej, z uwzględnieniem specyfiki danego podmiotu. Zasada adekwatności jest bardzo istotna z praktycznego punktu widzenia, chociaż przepis jej dotyczący jest w pewnym stopniu ukryty, a więc przez to czasem niezauważalny, wręcz niedoceniany przez administratorów danych. Zakres danych nie zawsze jest wyznaczony przez poszczególne przepisy dlatego też organ administracji dla realizacji celu może skonkretyzować zakres danych koniecznych9 (np. podanie informacji w celu przyznania ulgi). Organy administracji w tej kwestii mają ułatwione zadanie, bowiem przepisy dają dużą swobodę w pozyskiwaniu danych w celach podatkowych. Żaden z petentów nie może zwrócić się do organu administracji z żądaniem usunięcia jego danych jako nieadekwatnych do celu przetwarzania danych – jeżeli określony przepis prawny jasno określa zakres danych jakie urząd podatkowy może przetwarzać (np. rozporządzenia Ministra Finansów dotyczące deklaracji podatkowych). Wyznaczenie administratora danych w administracji jest czasami problematyczne z uwagi na dużą ilość podmiotów pretendujących do tego miana.
Mówiąc o obowiązkach organów podatkowych nałożonych ustawą o ochronie danych osobowych nie możemy nie wspomnieć o konieczności wyznaczenia Administratora Bezpieczeństwa Informacji (ABI). Taki obowiązek wynika z art. 36 ust. 3 uodo. Wyznaczenie ABI-ego nie jest wymagane jedynie w przypadku gdy administrator danych sam pełni jego funkcję. W przypadku organów podatkowych z uwagi na ich wielkość i funkcję administrator danych powinien wyznaczyć w strukturze organizacyjnej odpowiednią osobę, która by pełniła funkcję ABI. Osoba wyznaczona na stanowisko ABI może być zatrudniona zarówno na podstawie umowy o pracę, cywilnoprawnej jak i administracyjno – prawnej. ABI powinien być niezależny w wykonywaniu swoich obowiązków – zwłaszcza, jak podkreśla się w doktrynie, w stosunku do działu informatyki. „W przypadku gdy u administratora danych stosowany jest regulamin organizacyjny, to zgodnie z nim ABI powinien podlegać np. bezpośrednio dyrektorowi, a nie kierownikowi działu informatyki.”10 ABI musi podlegać wyłącznie kierownikowi jednostki organizacyjnej, a także spełniać wymagania kwalifikacyjne określone w art. 18 ust. 3 przytoczonej ustawy. Pożądane jest także, choć uodo nie nakłada takiego obowiązku wprost, wyznaczenie osoby, która może zastępować ABI w razie jego nieobecności, np. w czasie choroby. W przypadku urzędów podatkowych uprawnienia do wyznaczenia ABI-ego ma Naczelnik Urzędu Skarbowego. Wyznaczenie ABI-go jest jednym ze sposobów mających za zadanie zwiększyć poziom bezpieczeństwa przetwarzanych danych osobowych. Pozostałe uregulowania dotyczące bezpieczeństwa przetwarzania danych znajdują się w rozdziale 5 uodo (art. 36-39a).

Autor: Łukasz Onysyk


1. A. Gomułowicz, J. Małecki, Podatki i prawo podatkowe s. 608.
2. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych Komentarz s. 320.
3. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona… op. cit. s. 344.
4. W. Zimny, Przesłanki legalizujące przetwarzanie danych osobowych s. 89.
5. A. Mednis, Ustawa o ochronie danych osobowych. Komentarz s. 112.
6. A. Gomułowicz, J. Małecki, Podatki… op. cit. s.621.
7. Rozporządzenie Ministra Finansów z dnia 31 maja 2006 r. w sprawie wzoru sprawozdania o realizacji uznanej metody ustalania ceny transakcyjnej dla celów podatku dochodowego od osób fizycznych, Rozporządzenie Ministra Finansów z dnia 25 stycznia 2011 r. w sprawie określenia niektórych wzorów oświadczeń, deklaracji i informacji podatkowych obowiązujących w zakresie podatku dochodowego od osób fizycznych, Rozporządzenie Ministra Finansów z dnia 28 listopada 2008 r. w sprawie określenia wzorów rocznego obliczenia podatku oraz zeznań podatkowych obowiązujących w zakresie podatku dochodowego od osób fizycznych, Rozporządzenie Ministra Finansów z dnia 10 września 2009 r. w sprawie określenia wzoru rocznego obliczenia podatku wraz z informacją o wysokości dochodu, do sporządzenia których obowiązane są organy rentowe, Rozporządzenie Ministra Finansów z dnia 28 listopada 2008 r. w sprawie określenia wzorów rocznego obliczenia podatku oraz zeznań podatkowych obowiązujących w zakresie podatku dochodowego od osób fizycznych oraz Rozporządzenie Ministra Finansów z dnia 25 stycznia 2011 r. w sprawie określenia niektórych wzorów oświadczeń, deklaracji i informacji podatkowych obowiązujących w zakresie podatku dochodowego od osób fizycznych.
8. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona… op. cit. s. 406.
9. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona… op. cit. s. 406.
10. A. Drozd, Komentarz do ustawy o ochronie danych osobowych s. 167.

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.