Jak podkreśla w swoim wystąpieniu prezes Urzędu Ochrony Danych Osobowych, ustawa o Krajowej Administracji Skarbowej wymaga kompleksowego przeglądu pod kątem rozwiązań mających zapewnić ochronę przetwarzanych na podstawie jej przepisów danych osobowych, a także mających stanowić regulację zapewniającą stosowanie RODO.

KAS realizuje zadania związane z poborem podatków, opłat i należności celnych. Zajmuje się wykrywaniem przestępstw w tym obszarze, prowadzi czynności analityczne, prognostyczne i badawcze. Do tych celów wykorzystuje dane zgromadzone przez organy KAS w rejestrach, bazach, ewidencjach, zbiorach i systemach.

Zgodnie z przepisem art. 47 ustawy o KAS organy Krajowej Administracji Skarbowej mają prawo przetwarzać dane osobowe szczególnych kategorii w tym dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.

- Tak szeroki zakres kompetencji i ich realizacja z użyciem danych osobowych, również w sposób zautomatyzowany, w tym poprzez profilowanie, wiąże się z możliwością powstania wielu ryzyk dla prywatności i ochrony danych osobowych - zauważa prezes UODO.

Według prezesa UODO, dane osobowe zebrane przez KAS w konkretnych celach nie powinny być łączone z innymi danymi i wykorzystywane do celów nieprzewidzianych w prawie (np. analitycznych), gdyż stoi to w sprzeczności z przepisami RODO.

Co do zasady nie można też struktury KAS jako całość uznawać za służbę specjalną, a jej szerokich kompetencji w sferze przetwarzania danych osobowych i prowadzenia czynności operacyjnych w stosunku do obywateli uzasadniać bezpieczeństwem narodowym.

Kompetencje organów skarbowych przewidziane przez ustawę o KAS budzą wątpliwości w kontekście art. 51 Konstytucji RP, który zapewnia prawo ochrony danych osobowych. W szczególności chodzi o równowagę między działaniami organów państwowych a prawami obywateli. W świetle art. 52 ust 2 Konstytucji RP, władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.

Szczególne zastrzeżenia prezesa UODO budzą przepisy art. 46a i 48 wskazanej ustawy, gdyż zawierają mechanizmy ingerujące w sposób nieproporcjonalny w prywatność jednostki i w prawo ochrony danych osobowych. Z tego względu niezwykle istotne jest też rozpoczęcie dyskusji nad obecnym modelem przetwarzania danych osobowych przez organy Krajowej Administracji Skarbowej.

Zdaniem PUODO należy doprecyzować treść art. 46a ustawy o KAS z uwagi na brak zasady przejrzystości i rzetelności RODO tak, by jednoznacznie wykluczyć przekazywanie na jego podstawie danych osobowych mogących ujawniać stan zdrowia zindywidualizowanych osób fizycznych. Natomiast art. 48 ustawy o KAS wymaga pilnej i gruntownej zmiany, ponieważ narusza zasadę legalizmu i jest niezgodny z zasadami proporcjonalności i celowości RODO. Przepis ten daje KAS uprawnienia w zakresie pozyskiwania szczegółowych informacji dotyczących konkretnych rachunków bankowych.