STRONE PROWADZI
SIEĆ OBYWATELSKA
WATCHDOG POLSKA

biuro@siecobywatelska.pl
UL. URSYNOWSKA 22/2
02-605 WARSZAWA
DESIGN: RZECZYOBRAZKOWE.PL

Panoptykon: czemu ma służyć masowa i prewencyjna kontrola transakcji finansowych?

10 pytań Fundacji Panoptykon do Ministerstwa Rozwoju i Finansów w sprawie prewencyjnej kontroli transakcji finansowych.

Rząd od miesięcy zapowiada uszczelnienie systemu podatkowego i skuteczniejszą walkę z przestępczością skarbową, szczególnie z tzw. karuzelami VAT-owskimi. W ubiegłym tygodniu na stronach Rządowego Centrum Legislacji pojawiły się dwa projekty,  oba opracowane przez Ministerstwo Rozwoju i Finansów i dotyczące tej samej materii, choć wprowadzające odrębne mechanizmy kontroli:

  1. projekt ustawy o zmianie niektórych ustaw w celu przeciwdziałania wykorzystywania sektora finansowego dla wyłudzeń skarbowych (dalej „ustawa o przeciwdziałaniu wyłudzeniom”);
  2. projekt ustawy o zmianie ustawy – Ordynacja podatkowa.

Pierwszy z nich nakłada na banki obowiązek przekazywania skarbówce na bieżąco informacji o wszystkich transakcjach realizowanych przez przedsiębiorców. Drugi dokłada obowiązek przekazywania dziennych wyciągów z kont przedsiębiorców (z wyłączeniem tych najmniejszych, tzw. mikroprzedsiębiorców).

Fundacja Panoptykon publikuje listę swoich wątpliwości, licząc na to, że przedstawiciele rządu odniosą się do nich publicznie.

1. Co uzasadnia potrzebę gromadzenia danych o wszystkich transakcjach (także drobnych)?

Według projektu ustawy o przeciwdziałaniu wyłudzeniom, banki mają przekazywać do Centralnego Rejestru Danych Podatkowych prowadzonego przez Krajową Administrację Skarbową m.in. dane o zleceniach płatniczych uznających lub obciążających rachunki przedsiębiorców. Dane te obejmują m.in.

  • dane nadawcy i odbiorcy zlecenia płatniczego,
  • kwotę i walutę,
  • tytuł i opis zlecenia.

(Por. projektowany art. 119zm par. 1-2 Ordynacji podatkowej).

Informacje te będą przesyłane do Centralnego rejestru nie później niż do momentu przekazania izbie rozliczeniowej zleceń płatniczych rozliczanych za pośrednictwem izby (por. projektowany art. 119zm par. 6 Ordynacji podatkowej).

Z kolei zgodnie z propozycjami zawartymi w drugim projekcie, banki przekazywać będą do Krajowej Administracji Skarbowej wyciągi zawierające m.in.

  • dane identyfikacyjne nadawcy i odbiorcy zlecenia płatniczego,
  • kwotę i walutę,
  • tytuł i opis zlecenia (por. projektowany art. 82 par. 1e Ordynacji podatkowej).

Dane przekazywane będą dobowo (por. projektowany art. 82 par. 1f Ordynacji podatkowej).

W efekcie powstanie gigantyczna baza danych, mapująca wszystkie finansowe ruchy przedsiębiorców – od dużych i małych transakcji zawieranych z klientami, przez wypłacane wynagrodzenia, po bieżące i drobne wydatki, jeśli tylko trafią na firmowe konto.

[…]

Czemu zatem ma służyć powszechny, prewencyjny system kontroli, dotyczący wszystkich przedsiębiorców, a pośrednio także ich klientów i pracowników?

2. Czy na gruncie obu projektów ustaw nie dojdzie do dublowania zakresu przekazywanych danych?

Oba opublikowane przez Ministerstwo Rozwoju i Finansów projekty zakładają wprowadzenie zmian w Ordynacji podatkowej. Jeden zakłada przekazywanie na bieżąco danych o transakcjach wszystkich przedsiębiorców, drugi – wyciągów z rachunków przedsiębiorców (z wyłączeniem mikroprzedsiębiorców). Przy czym wyciąg został zdefiniowany jako pełne zestawienie transakcji zaksięgowanych w danym dniu. Lektura tych przepisów prowadzi do wniosku, że na banki zostaną nałożone dwa niezależne obowiązki przekazywania KAS danych, których zakres w dużej mierze się pokrywa. Czy taka jest intencja projektodawcy?  Jakie względy uzasadniają dublowanie zakresu przekazywanych danych?

3. Czy system kontroli, nie obejmujący osób fizycznych i zagranicznych transakcji, może być szczelny?

Ustawa o przeciwdziałaniu wyłudzeniom zakłada, że do KAS będą trafiać na bieżąco transakcje wszystkich przedsiębiorców, a więc m.in. osób fizycznych prowadzących działalność gospodarczą (por. projektowany art. 119zg pkt 5 Ordynacji podatkowej). Z kolei zmiany w Ordynacji podatkowej zakładają, że do KAS trafiać będą co dobę wyciągi bankowe przedsiębiorców, ale z wyłączeniem mikroprzedsiębiorców, czyli podmiotów, które zatrudniają mniej niż 10 pracowników i mają roczne obroty poniżej 2 mln euro (por. art. 104 ustawy o swobodzie działalności gospodarczej).

Z jednej strony mamy zatem do czynienia z logiką gromadzenia wszystkiego na wszelki wypadek, z drugiej – z wyłączeniem podmiotowym, obejmującym (w przypadku dobowego przekazywania wyciągów bankowych) mikroprzedsiębiorców oraz (również w przypadku bieżącego rejestrowania transakcji) osoby fizyczne i wszystkie podmioty, które korzystają z usług zagranicznych banków. Czy osoba fizyczna nie może wystąpić w roli „słupa”? Czy, z perspektywy przestępców, nie wystarczy spółka-krzak z kontem na Malcie lub Cyprze, by uniknąć kontroli? Czy system, który nie obejmuje tych przypadków, może być szczelny i dobrze spełniać swoją funkcję?

4. Dlaczego dane o transakcjach finansowych mają być przechowywane od 4 miesięcy do 15 lat?

Zgodnie z ustawą o przeciwdziałaniu wyłudzeniom, dane o transakcjach, które trafią do KAS, będą usuwane w terminie do 4 miesięcy od dnia ich uzyskania przez KAS, z wyłączeniem danych dotyczących przedsiębiorców, których „wynik analizy ryzyka wskazuje na uzasadnione podejrzenie wykorzystywania działalności banków i SKOK do celów mających związek z wyłudzeniami skarbowymi” (analiza ryzyka). Te, które nie zostaną usunięte, mogą być przechowywane przez okres 15 lat, chyba że nie upłynął termin przedawnienia zobowiązania podatkowego, zwrotu podatku lub wyłudzenia skarbowego, w związku z którym dane te mogłyby stanowić dowód w postępowaniu. Czyli 15 lat albo dłużej (por. projektowany art. 119zm par. 13-14 Ordynacji podatkowej). Z kolei projekt zmian w Ordynacji podatkowej nie precyzuje, jak długo KAS przechowywać będzie przekazywane mu wyciągi.

Jednocześnie z uzasadnień obu projektów wynika, że skuteczne zwalczanie przestępczości skarbowej to wyścig z czasem. Wykrycie karuzeli VAT-owskiej po trzech miesiącach od dokonania wyłudzenia to żadna filozofia, wręcz trudno jej nie zauważyć. Skuteczny system kontroli musi działać dużo szybciej, najlepiej w czasie rzeczywistym. Dlatego banki mają niezwłocznie przekazywać skarbówce informacje o realizowanych transakcjach (nie później niż do rozpoczęcia następnej sesji rozliczeniowej), a specjalna komórka w KAS ma je analizować 24 godziny na dobę. W przypadku wykrycia podejrzanej transakcji KAS może zażądać od banku natychmiastowego zamrożenia konta na max. 72 godziny. W tym kontekście nawet najkrótszy z przewidzianych okresów retencji danych (4 miesiące) musi budzić zdziwienie. Co będzie się działo z danymi przedsiębiorców i ich klientów przez ten czas? Jakie cele uzasadniają tak długie okresy przechowywania danych?

5. Czy kryteria analizy ryzyka stosowane przez KAS pozostaną tajne?

Projekt ustawy o przeciwdziałaniu wyłudzeniom nie określa kryteriów, w oparciu o które przeprowadzana będzie analiza ryzyka, na ile dana transakcja wydaje się podejrzana. A na podstawie wyników tej analizy pracownicy KAS będą decydować o tym, czy należy na 72 godziny zablokować przedsiębiorcy konto. Pierwsza wersja projektu tej ustawy zawierała ogólne, mało precyzyjne, wskazanie takich kryteriów (np. geograficzne czy behawioralne…). Z obecnej, drugiej wersji, zniknęły nawet te ogólnikowe przepisy.

Brak przejrzystości już na poziomie przepisów prawa źle wróży przejrzystości projektowanego systemu analizy ryzyka. Czy rozbicie jednej transakcji na mniejsze kwoty może spowodować zamrożenie środków? Czy podejrzana może się okazać „nagła” zaliczka w obcej walucie od nowego kontrahenta? Nie ulega wątpliwości, że – z perspektywy przedsiębiorców – konsekwencje nieoczekiwanego zamrożenia konta mogą być poważne (łatwo wyobrazić sobie brak środków na opłacenie wadium w przetargu, zrealizowanie pilnej dostawy czy spłatę raty kredytu).

W jaki sposób uczciwie działający przedsiębiorca może się zabezpieczyć przed arbitralnym zamrożeniem środków na jego koncie? Jeśli w ostatecznie przyjętych przepisach nie pojawi się przybliżenie kryteriów, zgodnie z którymi KAS wytypuje podejrzane transakcje, będzie to bardzo trudne. Na szczęście projekt przepisów dopuszcza (w przypadku zamrożenia konta) poproszenie Szefa KAS o zgodę na zapłacenie należności podatkowych…

6. Czy i w jakim celu KAS będzie przetwarzał dane osobowe klientów i pracowników przedsiębiorstw?

Uzasadnienia obu projektów koncentrują się na przetwarzaniu i analizie danych przedsiębiorców (jako potencjalnych oszustów podatkowych). Jednak realny zakres nowego systemu kontroli będzie o wiele szerszy. Z obowiązku przekazywania danych KAS nie zostały wyłączone żadne transakcje (ze względu na kwotę czy rodzaj), a to oznacza, że obejmie on także dane osób fizycznych, występujących w charakterze klientów lub pracowników przedsiębiorstw. Na Centralny Rejestr Danych Podatkowych można zatem spojrzeć jak na listę płac sektora prywatnego i (na bieżąco aktualizowaną) historię naszych zakupów. Na podstawie takich danych można z powodzeniem profilować i kontrolować również podatników niebędących przedsiębiorcami (ustalać ich stan majątkowy, powiązania zawodowe, realne dochody i wydatki).

Ustawa o przeciwdziałaniu wyłudzeniom wskazuje (por. projektowany art. 119zm par. 12 Ordynacji podatkowej), że do przetwarzania danych stosuje się przepisy ustawy o ochronie danych osobowych, z tym że dane te mogą być przetwarzane bez wiedzy i zgody osoby, której dane te dotyczą. W kontekście szerokiego zakresu i bliżej niesprecyzowanych celów przetwarzania danych osób fizycznych, nasuwa się jednak wątpliwość, czy Ministerstwo Rozwoju i Finansów przeanalizowało zgodność obu projektów z Generalnym Rozporządzeniem o Ochronie Danych Osobowych (od maja 2018 r. będzie bezpośrednio stosowane).

Czy przetwarzanie danych osobowych w Centralnym Rejestrze Danych Podatkowych to zamierzony efekt? Jeśli tak, jakie cele uzasadniają przetwarzanie tych danych? Jeśli nie, w jaki sposób dane o transakcjach z udziałem osób fizycznych będą usuwane z systemu?

7. Czy Ministerstwo analizowało wpływ nowych regulacji na ustawowo chronione tajemnice, np. adwokacką i lekarską?

Projektowane przepisy nie wyłączają żadnego typu transakcji spod ścisłej kontroli Krajowej Administracji Skarbowej. Oznacza to, że do Centralnego Rejestru Danych Podatkowych trafiać będą również informacje o płatnościach realizowanych przez kancelarie adwokackie czy zakłady opieki zdrowotnej (także poradnie psychiatryczne, epidemiologiczne czy seksuologiczne).

Czy do realizacji zamierzonych celów Ministerstwo potrzebuje informacji o tym, że konkretna osoba skorzystała z usług adwokata, odwiedziła klinikę leczenia niepłodności lub dentystę?

8. Czy dzięki Centralnemu Rejestrowi Danych Podatkowych inne służby zyskają dostęp do danych chronionych tajemnicą bankową bez kontroli sądu?

Ustawa o przeciwdziałaniu wyłudzeniom wskazuje, że Szef KAS przekazuje dane o transakcjach, w szczególności wyniki analizy ryzyka (a więc nie tylko!), organom KAS „w związku z wykonywaniem ich ustawowych zadań”, a także „podmiotom wymienionym w art. 297-299 Ordynacji podatkowej na zasadach określonych w tych przepisach” (por. projektowany art. 119zl par. 6 Ordynacji podatkowej).

Do ustawowych zadań KAS należy m.in. prowadzenie działalności informacyjnej i edukacyjnej w zakresie przepisów prawa podatkowego i celnego, wykonywanie audytu, czynności audytowych i urzędowego sprawdzenia, a także prowadzenie działalności analitycznej, prognostycznej i badawczej dotyczącej zjawisk występujących we właściwości KAS oraz analizy ryzyka (por. art. 2 ust. 1 pkt 7-10 ustawy o KAS). A więc zostały one przez ustawodawcę zdefiniowane bardzo szeroko. Z kolei w art. 297-299 Ordynacji podatkowej kryje się cały szereg podmiotów: wszystkie służby specjalne (m.in. ABW, CBA, SKW), ale też m.in Rzecznik Praw Obywatelskich, Najwyższa Izba Kontroli, sądy i prokuratura czy nawet organ nadzoru górniczego, powiatowy urząd pracy i jednostki organizacyjne ZUS i KRUS. Przy czym przepisy wskazują, do jakich działań mogą być wykorzystane dane, np. w przypadku RPO – „w związku z jego udziałem w postępowaniu przed sądem administracyjnym”.

Taka konstrukcja przepisów otwiera możliwość pobierania i przetwarzania danych chronionych tajemnicą bankową przez wszystkie uprawnione podmioty – szczególnie służby specjalne – poza kontrolą sądu. To radykalne i niepokojące odstępstwo od obecnie obowiązującego standardu, zgodnie z którym uchylenie tajemnicy bankowej wymaga zgody sądu, odpowiednio umotywowanej i podjętej w konkretnej sprawie. Czy intencją rządu jest stworzenie służbom specjalnym szerokiego i niekontrolowanego dostępu do danych bankowych?

9. Czy w tym gigantycznym „stogu siana” nie zginą podejrzane transakcje?

Według szacunków opartych na danych GUS, w Polsce jest aktywnych około 2 mln przedsiębiorców. Wszystkie dokonywane przez nich transakcje będą trafiać do Centralnego Rejestru Danych Podatkowych i mają być poddawane analizie ryzyka. Nietrudno wyobrazić sobie tempo przyrostu danych w takiej bazie, szczególnie mając na uwadze długie okresy ich przechowywania. Z pewnością trudniej będzie zaprojektować algorytm, który w tej masie będzie w stanie wyłapać nietypowe schematy i zidentyfikować podejrzane transakcje. Czy nie prościej byłoby ograniczyć gromadzone przez KAS dane do większych transakcji (np. o wartości powyżej 15 tys. złotych)? A przede wszystkim, jaki sens ma tworzenie równoległego systemu informatycznego, skoro wszystkie dane niezbędne do analizy ryzyka i tak są przetwarzane w systemie bankowym (vide kolejne pytanie)?

10. Jakie względy uzasadniają tworzenie odrębnej bazy danych i niezależnego systemu oceny ryzyka, poza systemem bankowym?

Zgodnie z obowiązującym prawem, w ramach przeciwdziałania praniu brudnych pieniędzy, banki są zobowiązane do wykrywania i zgłaszania podejrzanych transakcji. Niezależnie od realizacji tych obowiązków, banki rozwijają własne, bardzo wyrafinowane systemy analizy ryzyka. Dzięki nim są w stanie zidentyfikować podejrzane transakcje i przeciwdziałać oszustwom czy wyłudzeniom. Utrzymanie i odpowiednie zabezpieczenie bankowych baz danych i systemów informatycznych pochłania poważne środki finansowe. Ostatecznie ten koszt jest przerzucany na klientów banków – obywateli i przedsiębiorców. Jakie względy uzasadniają tworzenie równoległego systemu o podobnej funkcji, który będzie finansowany ze środków publicznych? Czy dostępna jest ocena skutków regulacji, zawierająca oszacowanie kosztów stworzenia i utrzymania tego systemu (w szczególności stałych kosztów zabezpieczenia danych)?

Źródło: https://panoptykon.org/wiadomosc/10-pytan-do-ministerstwa-rozwoju-i-finansow-czemu-ma-sluzyc-masowa-i-prewencyjna-kontrola

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Strażnicze kursy online:
  • otwarty kurs internetowy “Na straży”
  • praktyczna edukacja prawna w szkole
  • System Analizy Orzeczeń Sądowych
Poznaj przedmioty inspirowane watchdogami!

Wesprzyj kampanię “Dbamy o lepszą codzienność”.

Monitoruj, kontroluj, działaj!

Sprawdź naszą ofertę edukacyjną.

Baza Inicjatyw Strażniczych

Poznaj polskie projekty, osoby i organizacje watchdogowe.

Strona używa ciasteczek. Polityka prywatności