GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Wdrożenie dyrektywy DAC7 ma również wpływ na przetwarzanie danych osobowych

Wdrożenie dyrektywy DAC7 ma również wpływ na przetwarzanie danych osobowych

Wdrożenie dyrektywy DAC7 ma również wpływ na przetwarzanie danych osobowych

1 lipca br. weszła w życie ustawa wdrażająca Dyrektywę Rady (UE) 2021/514 w sprawie współpracy administracyjnej w dziedzinie opodatkowania (tzw. Dyrektywa DAC7). Nowe przepisy co do zasady nakładają na platformy internetowe obowiązek przekazywania informacji dotyczących wybranych sprzedawców do organów podatkowych. Informacje te obejmują również dane osobowe.

Dyrektywa DAC7 w skrócie

Zgodnie z nowymi przepisami, operatorzy platform sprzedażowych muszą wdrożyć odpowiednie procedury należytej staranności dotyczące gromadzenia i weryfikacji danych sprzedawców. Procedury te służyć mają m.in. ustaleniu, czy sprzedawca na platformie internetowej podlega obowiązkowi raportowania, czy też jest z tego obowiązku wyłączony. Jeśli sprzedawca nie będzie wyłączony, operator platformy będzie zobowiązany, najpóźniej w dniu sprzedaży pierwszego przedmiotu lub wypłaty pierwszego wynagrodzenia, zgromadzić określone „wstępne” informacje umożliwiające ustalenie tożsamości sprzedawcy.

Obowiązek raportowania obejmie sprzedawców, którzy osiągnęli określony pułap sprzedażowy. W myśl przepisów implementujących Dyrektywę DAC7, raportowaniu nie podlegają użytkownicy, którzy w roku kalendarzowym (będącym okresem sprawozdawczym) dokonali mniej niż 30 transakcji sprzedaży towarów, o ile łączne wynagrodzenie wypłacone lub uznane w tym okresie nie przekroczyło równowartości 2000 euro (po uwzględnieniu zwrotów towarów).

Niedopuszczalne przetwarzanie danych – odpowiedzialność karna

Dyrektywa DAC7 dotyczy przede wszystkim operatorów platform typu marketplace, w tym aplikacji łączących sprzedawców z klientami, gdzie transakcje mogą odbywać się zarówno na platformie, jak i poza nią. Wydaje się, że duże podmioty, które pośredniczą przy znacznej ilości transakcji, w większości będą zobowiązane do cyklicznego przekazywania danych do organów podatkowych.

Gromadzone dane

Przepisy wdrażające Dyrektywę DAC7 nakładają na platformę obowiązek grodzenia danych sprzedawców, które następnie mogą zostać udostępnione organom podatkowym (Krajowa Administracja Skarbowa), w ramach raportowania. W przypadku, gdy sprzedawcą jest osoba fizyczna, dane mogą obejmować: imię, nazwisko, główny adres, TIN (numer identyfikacyjny podatnika, w tym NIP lub PESEL), numer VAT, jeżeli jest dostępny, datę urodzenia, czy też numer rachunku bankowego sprzedawcy wraz ze wskazaniem imienia i nazwiska posiadacza rachunku.

Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu

Platforma ma obowiązek zbierać dane od sprzedawców

W myśl nowych przepisów, operator platformy ma obowiązek wystąpić do sprzedawcy o przekazanie informacji, w tym danych, najpóźniej w dniu spełnienia przez niego warunków uznania go za aktywnego sprzedawcę. Jeżeli nie otrzyma od niego informacji w ciągu 20 dni, zobowiązany jest ponownie wystąpić o te informacje. W przypadku, gdy sprzedawca nie przekaże operatorowi platformy wymaganych informacji w terminie 60 dni od dnia pierwotnego wystąpienia, operator będzie zobowiązany wstrzymać wypłatę wynagrodzenia na rzecz sprzedawcy do momentu przekazania tych informacji przez sprzedawcę. Prawodawca pozwala operatorowi na korzystanie z wiedzy zewnętrznego usługodawcy, jednak nie zwalnia to go z odpowiedzialności za niewłaściwe wykonanie obowiązków ustawowych, nawet jeśli skorzystał on z usług profesjonalisty.

Trzeba pamiętać o RODO

Przepisy wdrażające Dyrektywę DAC7 nakładają na operatorów platform internetowych szereg obowiązków związanych ze zbieraniem i przechowywaniem informacji o sprzedawcach i dokonywanych przez nich transakcjach. Trzeba pamiętać, że operacje te w większości przypadków wiążą się również z przetwarzaniem danych osobowych osób fizycznych. Operatorzy platform internetowych będą zatem musieli zadbać o to, aby dane osobowe były przetwarzane zgodnie z przepisami RODO, w tym np. w zakresie określenia podstawy prawnej przetwarzania danych, realizacji obowiązków informacyjnych, czy też ustalenia okresów przechowywania danych.

Naruszenie przepisów wdrażających Dyrektywę DAC7 może skutkować nie tylko odpowiedzialnością przewidzianą w tych przepisach (kary nałożone przez KAS mogą sięgać miliona złotych), czy odpowiedzialnością karno-skarbową, ale – w przypadku naruszenia przepisów o ochronie danych osobowych – również odpowiedzialnością przewidzianą w przepisach RODO.

 

Źródło:

https://dziennikustaw.gov.pl/D2024000087901.pdf