(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD https://edps.europa.eu)W niniejszej opinii, wydanej na podstawie art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 1 , EIOD przedstawia zalecenia odnoszące się do wniosku dotyczącego dyrektywy Rady zmieniającej dyrektywę 2011/16/UE z dnia 15 lutego 2011 r. w sprawie współpracy administracyjnej w dziedzinie opodatkowania 2 , z uwzględnieniem podstawowych praw do prywatności i ochrony danych osobowych ("wniosek").
EIOD z zadowoleniem przyjmuje cele zawarte we wniosku, w szczególności zapewnienie administracjom podatkowym dostępu do informacji, które są niezbędne do skutecznego wykonywania ich obowiązków oraz do zwiększenia ogólnej zgodności z przepisami dyrektywy 2011/16/UE. W tym kontekście EIOD przedstawia szereg zaleceń mających na celu zapewnienie pełnej zgodności wniosku z obowiązującymi ramami prawnymi w zakresie ochrony danych.
Ponowne wykorzystywanie danych osobowych do innego celu przez właściwy organ państwa członkowskiego może być dozwolone tylko wtedy, gdy wynika to z prawa Unii lub prawa państwa członkowskiego, na podstawie którego dalsze przetwarzanie jest zgodnie z prawem dozwolone, stanowiąc w społeczeństwie demokratycznym niezbędny i proporcjonalny środek służący ochronie celów, o których mowa w art. 23 ust. 1 RODO. Aby zapewnić wyższy poziom harmonizacji i pewności prawa, EIOD stoi na stanowisku, że wniosek powinien zawierać (wyczerpującą) listę celów, dla których dane osobowe mogą być dalej przetwarzane.
Jeśli chodzi o dostęp Komisji do informacji zapisanych w centralnej bazie danych, a dotyczących współpracy administracyjnej w dziedzinie opodatkowania, EIOD zaleca wyjaśnienie, które szczególne obowiązki Komisji na mocy dyrektywy uzasadniają dostęp do informacji zapisanych w centralnej bazie danych, oraz jasne określenie celu takiego dostępu.
Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje, co do zasady, że wniosek ma na celu dalsze wyjaśnienie ról i obowiązków państw członkowskich i Komisji w rozumieniu przepisów o ochronie danych. Jednocześnie EIOD zauważa, że art. 25 ust. 3 dyrektywy 2011/16/UE (zarówno w jej obecnej formie, jak i w brzmieniu zmienionym wnioskiem) określa w sposób horyzontalny odpowiednie role państw członkowskich i Komisji w rozumieniu prawa o ochronie danych. Aby uniknąć niepotrzebnego powielania, EIOD zaleca usunięcie dwóch ostatnich zdań art. 8ad ust. 10, jak przewidziano w art. 1 ust. 6 wniosku. W odniesieniu do art. 25 ust. 3 w brzmieniu, w jakim zostałby zmieniony wnioskiem, EIOD zaleca wyraźne wskazanie, w jakich przypadkach podmioty uczestniczące w przetwarzaniu danych uznaje się za (wyłącznie) administratora, a kiedy uznaje się je za współadministratora.
Ponadto EIOD uważa, że wniosek powinien przewidywać nie tylko minimalny, ale również maksymalny okres przechowywania. We wniosku należy również określić, że zapisy informacji otrzymanych w drodze wymiany informacji muszą być usuwane po upływie maksymalnego okresu zatrzymywania danych lub wcześniej, jeżeli nie są już konieczne.
1. WPROWADZENIE
1. 8 grudnia 2022 r. Komisja Europejska wydała wniosek dotyczący dyrektywy Rady (UE) zmieniającej dyrektywę 2011/16/UE w sprawie współpracy administracyjnej w dziedzinie opodatkowania ("wniosek") 3 .
2. Cele wniosku są następujące 4 :
- wprowadzenie przepisów dotyczących sprawozdawczości, należytej staranności i wymiany informacji o niektórych kryptowalutach i pieniądzu elektronicznym;
- wprowadzenie obowiązku wymiany przez właściwe organy państw członkowskich informacji na temat rozstrzygnięć podatkowych o charakterze transgranicznym, dotyczących osób fizycznych o wysokich dochodach netto;
- wprowadzenie przepisów dotyczących kar stosowanych w przypadku naruszenia przepisów krajowych transpo- nujących dyrektywę 2011/16/UE (zwanej dalej "dyrektywą").
3. Niniejszą opinię EIOD wydano w odpowiedzi na konsultacje przeprowadzone przez Komisję Europejską 9 lutego 2023 r. zgodnie z art. 42 ust. 1 rozporządzenia UE o ochronie danych. EIOD z zadowoleniem przyjmuje odniesienie się do tych konsultacji w motywie 43 wniosku. EIOD z zadowoleniem zauważa również, że uprzednio przeprowadzono już z nim nieformalne konsultacje, zgodnie z motywem 60 rozporządzenia UE o ochronie danych.
4. WNIOSKI
32. W świetle powyższego EIOD wydaje następujące zalecenia:
(1) wskazanie, że wniosek zapewnia pełne poszanowanie prawa do ochrony danych osobowych określonego w art. 8 Karty oraz przypomnienie o możliwości zastosowania RODO i rozporządzenia UE o ochronie danych do przetwarzania danych osobowych w kontekście wniosku;
(2) wyjaśnienie, że ponowne wykorzystanie danych osobowych przez właściwy organ każdego państwa członkowskiego może być dozwolone wyłącznie wtedy, gdy wynika to z prawa Unii lub prawa państwa członkowskiego, w którym to prawie określono listę celów, w odniesieniu do których można zgodnie z prawem zezwolić na dalsze przetwarzanie, stanowiącą niezbędny i proporcjonalny środek w demokratycznym społeczeństwie zapewniający ochronę celów, o których mowa w art. 23 ust. 1 RODO, oraz przedstawienie w samym wniosku (wyczerpującą) listę celów, w odniesieniu do których dane osobowe mogą być dalej przetwarzane;
(3) zmianę części normatywnej wniosku w celu wyjaśnienia, które szczególne obowiązki Komisji wynikające z dyrektywy gwarantują dostęp do informacji zapisanych w centralnej bazie danych;
(4) skreślenie dwóch ostatnich zdań art. 8ad ust. 10, jak przewidziano w art. 1 ust. 6 wniosku;
(5) w odniesieniu do art. 25 ust. 3 dyrektywy w brzmieniu, w jakim zostałby zmieniony wnioskiem, wyraźne wskazanie, w jakich przypadkach podmioty uczestniczące w przetwarzaniu danych uznaje się za (wyłącznie) administratora, a kiedy uznaje się je za współadministratorów;
(6) określenie maksymalnego okresu przechowywania i zaznaczenie, że zapisy informacji otrzymanych w drodze wymiany informacji muszą zostać usunięte po upływie maksymalnego okresu zatrzymywania danych lub wcześniej, jeżeli nie są już konieczne.
Bruksela, 3 kwietnia 2023 r.
