Projekt, który zakłada budowę bazy podatników VAT na podstawie m.in. rejestru CEIDG, nie spełnia wymagań RODO - wskazał Urząd Ochrony Danych Osobowych w środę. Zasady ochrony danych i prywatności powinny zostać doprecyzowane; należy też wziąć pod uwagę ryzyka i przeprowadzić test prywatności - dodał.
Chodzi o projekt nowelizacji ustawy o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy oraz ustawy o podatku od towarów i usług. Prace nad nowelą prowadzi Ministerstwo Rozwoju i Technologii (MRiT), w ramach tzw. Pakietu Deregulacyjnego.
Projekt opublikowany na początku czerwca zakłada, że na podstawie kilku rejestrów (m.in. KRS, CEIDG, wykaz VAT), powstanie jedna baza, która zostanie udostępniona w ramach wyszukiwarki firm dostępnej na portalu biznes.gov.pl. Według ministerstwa dzięki zmianie możliwe będzie sprawdzenie, czy przedsiębiorca został zarejestrowany w wykazie podatników VAT. Wykaz obejmuje podatników zarejestrowanych, w tym przywróconych do rejestru VAT; niezarejestrowanych, tj. w odniesieniu do których naczelnik urzędu skarbowego nie dokonał rejestracji oraz wykreślonych z rejestru VAT.
Jak wskazał Prezes UODO Mirosław Wróblewski, projektowane przepisy są niejasne m.in. pod względem zasad dostępu do danych w zawartych w CEIDG, wykazie VAT i Punkcie Informacji dla Przedsiębiorcy (PIP). Jest to sprzeczne z przepisami ws. przejrzystości i rozliczalności zawartymi w RODO - zaznaczono w komunikacie.
MRiT powinno wskazać role podmiotów, tryb przekazywania danych, czy informacje kto ma publikować dane w ramach nowego systemu - wskazał UODO. Zaznaczył, że przy tworzeniu bazy ważne jest uwzględnienie zasad przetwarzania, w tym ochrony danych osobowych i prywatności na każdym etapie powstania i funkcjonowania systemu. Ponadto należy wskazać w projekcie cel i sposób używania danych osobowych zawartych w rejestrze CEIDG - wskazano.
UODO przypomniało, że RODO zakazuje łącznia baz danych. "Chociaż z samego uzasadnienia projektu wynika, że nie będzie dochodziło do ich łączenia i projektodawca wskazuje na ich odrębność, to sama treść projektowanych przepisów tego nie potwierdza" - zauważył prezes Urzędu. Dodał, że przy projektowaniu przepisów konieczne jest przeprowadzenie testu prywatności, w tym oceny skutków dla ochrony danych.
Według prezesa UODO fundamenty modelu powszechnej dostępności i jawności bazy CEIDG powinny być poddane ponownej analizie. MRIT powinno wziąć przy tym pod uwagę powstanie nowych ryzyk dla danych osobowych osób fizycznych prowadzących i nieprowadzących już działalności gospodarczej oraz tych, którzy zawiesili jej prowadzenie - wskazał Wróblewski. Należą do nich m.in. profilowanie, łączenie baz danych, wykorzystywanie w różnych celach przez podmioty trzecie danych osób nieprowadzących już działalności gospodarczej, czy dostępność do prywatnych danych adresowych osób prowadzących działalność gospodarczą w ich miejscu zamieszkania.
Wprowadzając nowe rozwiązania w istniejących systemach teleinformatycznych konieczne jest zarówno zapewnienie wysokich standardów bezpieczeństwa, jak również poszanowania prywatności osób, których dane dotyczą - zaznaczył urząd w komunikacie.
9 czerwca projekt nowelizacji ustawy o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy oraz ustawy o podatku od towarów i usług został opublikowany na stronie Rządowego Centrum Legislacji. Jak uzasadniło zgłaszające projekt Ministerstwo Rozwoju i Technologii, zmiana będzie polegać na prezentowaniu danych z wykazu podatników VAT w ramach istniejącej wyszukiwarki firm dostępnej na portalu biznes.gov.pl. MRiT zaznaczyło, że portal ten obecnie stanowi podstawowe źródło informacji dla podmiotów wykonujących działalność gospodarczą. Aktywnych na nim jest prawie 3 mln kont użytkowników, a w 2024 r. odnotowano prawie 17,5 mln odsłon oraz zrealizowano za jego pomocą ponad 2 mln usług elektronicznych. (PAP)
mbl/ drag/
