Ochrona danych a podatki w Unii Europejskiej – jak uniknąć naruszenia przepisów podatkowych i GDPR?

Przedsiębiorstwa działające obecnie na terenie Unii Europejskiej muszą się skupiać na nieustannym balansowaniu pomiędzy wymogami ochrony danych osobowych (RODO) a przepisami podatkowymi. Te dwie dziedziny prawa, choć pozornie odległe, coraz częściej się przenikają, tworząc potencjalne pułapki dla przedsiębiorców. Nieznajomość tych niuansów może skutkować poważnymi konsekwencjami. Sprawdź, jak uniknąć naruszenia przepisów podatkowych i GDPR.

Ogólne rozporządzenie o ochronie danych (RODO, GDPR) a przepisy podatkowe

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) stanowi podstawę ochrony danych osobowych w Unii Europejskiej. Określa, że:

• przetwarzanie danych osobowych musi się odbywać zgodnie z prawem, w sposób uczciwy i przejrzysty dla osoby, której danych dotyczy;
• informacje mogą być gromadzone wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach;
• przetwarzane dane osobowe muszą być stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
• dane osobowe muszą być poprawne i w razie potrzeby uaktualniane;
• dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane;
• informacje muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo – w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

Ogólne rozporządzenie o ochronie danych (ang. General Data Protection Regulation, w skrócie GDPR) przyznaje osobom, których dane są przetwarzane, szereg praw, takich jak prawo dostępu do danych, prawo do sprostowania, prawo do usunięcia (tzw. prawo do bycia zapomnianym), prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu oraz prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu – w tym profilowaniu.

Przepisy podatkowe w Unii Europejskiej

System podatkowy Unii Europejskiej opiera się na zasadzie swobodnego przepływu towarów, usług, kapitału i osób. W zakresie podatków bezpośrednich (na przykład podatku dochodowego od osób fizycznych i prawnych) każde państwo członkowskie ma własne przepisy, które muszą być zgodne z prawem unijnym. Wspólne zasady dotyczą natomiast podatków pośrednich (na przykład VAT-u, akcyzy), dla których obowiązują dyrektywy unijne. Obowiązki podatników obejmują między innymi rejestrację dla celów podatkowych, składanie deklaracji podatkowych, prowadzenie dokumentacji podatkowej oraz terminowe regulowanie zobowiązań podatkowych. Wymiana informacji podatkowych między państwami członkowskimi odbywa się na podstawie dyrektyw unijnych, takich jak DAC (Dyrektywa w sprawie współpracy administracyjnej) oraz CRS (Common Reporting Standard).

Faktury, deklaracje podatkowe czy informacje o beneficjentach rzeczywistych zawierają dane identyfikacyjne podatników – w tym imię i nazwisko, adres, numer identyfikacji podatkowej czy numer rachunku bankowego. Przetwarzanie tych informacji jest niezbędne do celów podatkowych. W ramach kontroli podatkowej organy podatkowe mają prawo żądać od podatników udostępnienia danych osobowych – zarówno własnych, jak i osób trzecich. Dotyczy to na przykład danych kontrahentów, pracowników czy członków rodziny. Udostępnianie tych danych musi się odbywać zgodnie z RODO.

Co grozi za nieprzestrzeganie RODO i przepisów podatkowych?

Nieprzestrzeganie przepisów RODO i podatkowych niesie za sobą poważne konsekwencje zarówno dla przedsiębiorców, jak i osób fizycznych. Chodzi głównie o różnego rodzaju sankcje. Naruszenie przepisów RODO może skutkować nałożeniem wysokich kar finansowych przez organy nadzorcze. W przypadku przedsiębiorstw kary mogą sięgać nawet 20 milionów euro lub do 2–4% całkowitego rocznego obrotu z poprzedniego roku obrotowego w zależności od tego, która kwota jest wyższa. Oprócz kar finansowych, naruszenie RODO może prowadzić do utraty dobrej reputacji firmy, a w efekcie – wpłynąć negatywnie na jej relacje z klientami i kontrahentami. Osoby, których dane zostały naruszone, mogą również dochodzić roszczeń odszkodowawczych od przedsiębiorstwa.

Nieprzestrzeganie przepisów podatkowych może natomiast skutkować nałożeniem kar finansowych przez organy podatkowe. W zależności od rodzaju naruszenia kary te mogą przybrać formę dodatkowego zobowiązania podatkowego, odsetek za zwłokę lub grzywny. W przypadku poważnych naruszeń, takich jak oszustwa podatkowe, może zostać wszczęte postępowanie karne skarbowe, które kończy się czasem wyrokiem skazującym i karą pozbawienia wolności. Przedsiębiorcy, którzy naruszają przepisy podatkowe, mogą również utracić prawo do ulg podatkowych. Udostępnianie danych osobowych organom podatkowym wiąże się, chociaż bardzo rzadko, z ryzykiem wycieku lub niewłaściwego wykorzystania tych danych. Informacje tego typu najczęściej dostają się w niepowołane ręce w wyniku błędu ludzkiego, awarii systemu informatycznego lub cyberataku.

Dobre praktyki w zakresie ochrony danych i zgodności z przepisami podatkowymi

Wdrożenie skutecznej polityki ochrony danych osobowych oraz przestrzeganie przepisów podatkowych to najważniejsze elementy budowania zaufania klientów i kontrahentów. Dobre praktyki obejmują między innymi przeprowadzanie regularnych audytów bezpieczeństwa, szkolenie pracowników, stosowanie odpowiednich zabezpieczeń technicznych i organizacyjnych, a także bieżące monitorowanie zmian w przepisach prawa. Warto również zadbać o przejrzystą komunikację z osobami, których dane są przetwarzane, informując je o celach i sposobach przetwarzania ich danych, a także o przysługujących im prawach. Współpraca z ekspertami w dziedzinie ochrony danych osobowych i prawa podatkowego może się również przyczynić do minimalizacji ryzyka związanego z niezgodnością z przepisami.