10 pytań o masową i prewencyjną kontrolę transakcji finansowych

Rząd od miesięcy zapowiada uszczelnienie systemu podatkowego i skuteczniejszą walkę z przestępczością skarbową, szczególnie z tzw. karuzelami VAT-owskimi. Trudno dyskutować z tak postawionym celem: na unikaniu lub wyłudzaniu tego podatku tracimy wszyscy. Co więcej: mechanizm działania karuzel jest od dawna rozpoznany i dobrze widoczny, zarówno na poziomie sektora bankowego, jak i administracji skarbowej. Dlaczego zatem rząd chce budować system permanentnie i prewencyjnie kontrolujący wszystkie przepływy finansowe oraz wszystkich przedsiębiorców? Przedstawiamy nasze wątpliwości i szukamy odpowiedzi.

W ubiegłym tygodniu na stronach Rządowego Centrum Legislacji pojawiły się dwa projekty, oba opracowane przez Ministerstwo Rozwoju i Finansów i dotyczące tej samej materii, choć wprowadzające odrębne mechanizmy kontroli:

1. projekt ustawy o zmianie niektórych ustaw w celu przeciwdziałania wykorzystywania sektora finansowego dla wyłudzeń skarbowych (dalej „ustawa o przeciwdziałaniu wyłudzeniom”);
2. projekt ustawy o zmianie ustawy – ordynacja podatkowa.

Pierwszy z nich nakłada na banki obowiązek przekazywania skarbówce na bieżąco informacji o wszystkich transakcjach realizowanych przez przedsiębiorców. Drugi dokłada obowiązek przekazywania dziennych wyciągów z kont przedsiębiorców (z wyłączeniem tych najmniejszych, tzw. mikroprzedsiębiorców).

Konsultacje publiczne (z wybranymi organizacjami branżowymi, m.in. Związkiem Banków Polskich) i uzgodnienia międzyresortowe projektu ustawy o przeciwdziałaniu wyłudzeniom trwały zaledwie 3 dni robocze i skończyły się 24 maja. Uzgodnienia projektu ustawy zmieniającej ordynację podatkową potrwają niewiele dłużej, do 31 maja. Ministerstwo Rozwoju i Finansów w obu przypadkach nie zdecydowało się na przeprowadzenie konsultacji społecznych.

W związku z tym nie mamy szansy zgłosić naszych wątpliwości w formie standardowej opinii. Nie możemy też liczyć na rozmowę z autorami obu projektów w ramach konferencji uzgodnieniowej. Sprawa jest jednak zbyt poważna i budzi zbyt wiele wątpliwości, by pominąć ją milczeniem lub poprzestać na domysłach. Dlatego zdecydowaliśmy się opublikować listę naszych wątpliwości, licząc na to, że przedstawiciele rządu odniosą się do nich publicznie.

1. Co uzasadnia potrzebę gromadzenia danych o wszystkich transakcjach (także drobnych)?

Według projektu ustawy o przeciwdziałaniu wyłudzeniom banki mają przekazywać do Centralnego Rejestru Danych Podatkowych prowadzonego przez Krajową Administrację Skarbową m.in. dane o zleceniach płatniczych uznających lub obciążających rachunki przedsiębiorców. Dane te obejmują m.in.:

• dane nadawcy i odbiorcy zlecenia płatniczego,
• kwotę i walutę,
• tytuł i opis zlecenia

(por. projektowany art. 119 zm. § 1 i § 2 ordynacji podatkowej).

Informacje te będą przesyłane do centralnego rejestru nie później niż do momentu przekazania izbie rozliczeniowej zleceń płatniczych rozliczanych za pośrednictwem izby (por. projektowany art. 119 zm. § 6 ordynacji podatkowej).

Z kolei zgodnie z propozycjami zawartymi w drugim projekcie banki przekazywać będą do Krajowej Administracji Skarbowej wyciągi zawierające m.in.:

• dane identyfikacyjne nadawcy i odbiorcy zlecenia płatniczego,
• kwotę i walutę,
• tytuł i opis zlecenia (por. projektowany art. 82 § 1e ordynacji podatkowej).

Dane przekazywane będą dobowo (por. projektowany art. 82 § 1f ordynacji podatkowej).

W efekcie powstanie gigantyczna baza danych, mapująca wszystkie finansowe ruchy przedsiębiorców – od dużych i małych transakcji zawieranych z klientami, przez wypłacane wynagrodzenia, po bieżące i drobne wydatki, jeśli tylko trafią na firmowe konto.

Tymczasem przestępczość skarbową, z którą chce walczyć rząd, cechuje przepływ dużych środków finansowych (liczonych w dziesiątkach i setkach tysięcy złotych) pomiędzy kilkoma powiązanymi podmiotami (często pełnomocnictwa do kont bankowych w karuzeli VAT-owskiej mają te same osoby), z których jeden występuje o zwrot VAT. Często pojawia się charakterystyczny schemat w postaci kilku wcześniej zleconych transakcji, o typowych odstępach w terminach płatności. Aby wykryć taki schemat działania, KAS w ogóle nie potrzebuje analizować drobnych transakcji, angażujących konsumentów czy pracowników firm. Czemu zatem ma służyć powszechny, prewencyjny system kontroli, dotyczący wszystkich przedsiębiorców, a pośrednio także ich klientów i pracowników?

2. Czy na gruncie obu projektów ustaw nie dojdzie do dublowania zakresu przekazywanych danych?

Oba opublikowane przez Ministerstwo Rozwoju i Finansów projekty zakładają wprowadzenie zmian w ordynacji podatkowej. Jeden zakłada przekazywanie na bieżąco danych o transakcjach wszystkich przedsiębiorców, drugi – wyciągów z rachunków przedsiębiorców (z wyłączeniem mikroprzedsiębiorców). Przy czym wyciąg został zdefiniowany jako pełne zestawienie transakcji zaksięgowanych w danym dniu. Lektura tych przepisów prowadzi do wniosku, że na banki zostaną nałożone dwa niezależne obowiązki przekazywania KAS danych, których zakres w dużej mierze się pokrywa. Czy taka jest intencja projektodawcy? Jakie względy uzasadniają dublowanie zakresu przekazywanych danych?

3. Czy system kontroli, nieobejmujący osób fizycznych i zagranicznych transakcji, może być szczelny?

Ustawa o przeciwdziałaniu wyłudzeniom zakłada, że do KAS będą trafiać na bieżąco transakcje wszystkich przedsiębiorców, a więc m.in. osób fizycznych prowadzących działalność gospodarczą (por. projektowany art. 119 zm. pkt 5 ordynacji podatkowej). Z kolei zmiany w ordynacji podatkowej zakładają, że do KAS trafiać będą co dobę wyciągi bankowe przedsiębiorców, ale z wyłączeniem mikroprzedsiębiorców, czyli podmiotów, które zatrudniają mniej niż 10 pracowników i mają roczne obroty poniżej 2 mln euro (por. art. 104 ustawy o swobodzie działalności gospodarczej).

Z jednej strony mamy zatem do czynienia z logiką gromadzenia wszystkiego na wszelki wypadek, z drugiej – z wyłączeniem podmiotowym, obejmującym (w przypadku dobowego przekazywania wyciągów bankowych) mikroprzedsiębiorców oraz (również w przypadku bieżącego rejestrowania transakcji) osoby fizyczne i wszystkie podmioty, które korzystają z usług zagranicznych banków. Czy osoba fizyczna nie może wystąpić w roli „słupa”? Czy z perspektywy przestępców nie wystarczy firma krzak z kontem na Malcie lub Cyprze, by uniknąć kontroli? Czy system, który nie obejmuje tych przypadków, może być szczelny i dobrze spełniać swoją funkcję?

4. Dlaczego dane o transakcjach finansowych mają być przechowywane od 4 miesięcy do 15 lat?

Zgodnie z ustawą o przeciwdziałaniu wyłudzeniom dane o transakcjach, które trafią do KAS, będą usuwane w terminie do 4 miesięcy od dnia ich uzyskania przez KAS, z wyłączeniem danych dotyczących przedsiębiorców, których „wynik analizy ryzyka wskazuje na uzasadnione podejrzenie wykorzystywania działalności banków i SKOK do celów mających związek z wyłudzeniami skarbowymi” (analiza ryzyka). Te, które nie zostaną usunięte, mogą być przechowywane przez okres 15 lat, chyba że nie upłynął termin przedawnienia zobowiązania podatkowego, zwrotu podatku lub wyłudzenia skarbowego, w związku z którym dane te mogłyby stanowić dowód w postępowaniu – czyli 15 lat albo dłużej (por. projektowany art. 119 zm. § 13 i § 14 ordynacji podatkowej). Z kolei projekt zmian w ordynacji podatkowej nie precyzuje, jak długo KAS przechowywać będzie przekazywane mu wyciągi.

Jednocześnie z uzasadnień obu projektów wynika, że skuteczne zwalczanie przestępczości skarbowej to wyścig z czasem. Wykrycie karuzeli VAT-owskiej po trzech miesiącach od dokonania wyłudzenia to żadna filozofia, wręcz trudno jej nie zauważyć. Skuteczny system kontroli musi działać dużo szybciej, najlepiej w czasie rzeczywistym. Dlatego banki mają niezwłocznie przekazywać skarbówce informacje o realizowanych transakcjach (nie później niż do rozpoczęcia następnej sesji rozliczeniowej), a specjalna komórka w KAS ma je analizować 24 godziny na dobę. W przypadku wykrycia podejrzanej transakcji KAS może zażądać od banku natychmiastowego zamrożenia konta na maksymalnie 72 godziny. W tym kontekście nawet najkrótszy z przewidzianych okresów retencji danych (4 miesiące) musi budzić zdziwienie. Co będzie się działo z danymi przedsiębiorców i ich klientów przez ten czas? Jakie cele uzasadniają tak długie okresy przechowywania danych?

5. Czy kryteria analizy ryzyka stosowane przez KAS pozostaną tajne?

Projekt ustawy o przeciwdziałaniu wyłudzeniom nie określa kryteriów, na podstawie których przeprowadzana będzie analiza ryzyka, na ile dana transakcja wydaje się podejrzana. A na podstawie wyników tej analizy pracownicy KAS będą decydować o tym, czy należy na 72 godziny zablokować przedsiębiorcy konto. Pierwsza wersja projektu tej ustawy zawierała ogólne, mało precyzyjne, wskazanie takich kryteriów (np. geograficzne czy behawioralne…). Z obecnej, drugiej wersji zniknęły nawet te ogólnikowe przepisy.

Brak przejrzystości już na poziomie przepisów prawa źle wróży przejrzystości projektowanego systemu analizy ryzyka. Czy rozbicie jednej transakcji na mniejsze kwoty może spowodować zamrożenie środków? Czy podejrzana może się okazać „nagła” zaliczka w obcej walucie od nowego kontrahenta? Nie ulega wątpliwości, że – z perspektywy przedsiębiorców – konsekwencje nieoczekiwanego zamrożenia konta mogą być poważne (łatwo wyobrazić sobie brak środków na opłacenie wadium w przetargu, zrealizowanie pilnej dostawy czy spłatę raty kredytu).

W jaki sposób uczciwie działający przedsiębiorca może się zabezpieczyć przed arbitralnym zamrożeniem środków na jego koncie? Jeśli w ostatecznie przyjętych przepisach nie pojawi się przybliżenie kryteriów, zgodnie z którymi KAS wytypuje podejrzane transakcje, będzie to bardzo trudne. Na szczęście projekt przepisów dopuszcza (w przypadku zamrożenia konta) poproszenie szefa KAS o zgodę na zapłacenie należności podatkowych…

6. Czy i w jakim celu KAS będzie przetwarzał dane osobowe klientów i pracowników przedsiębiorstw?

Uzasadnienia obu projektów koncentrują się na przetwarzaniu i analizie danych przedsiębiorców (jako potencjalnych oszustów podatkowych). Jednak realny zakres nowego systemu kontroli będzie o wiele szerszy. Z obowiązku przekazywania danych KAS nie zostały wyłączone żadne transakcje (ze względu na kwotę czy rodzaj), a to oznacza, że obejmie on także dane osób fizycznych, występujących w charakterze klientów lub pracowników przedsiębiorstw. Na Centralny Rejestr Danych Podatkowych można zatem spojrzeć jak na listę płac sektora prywatnego i (na bieżąco aktualizowaną) historię naszych zakupów. Na podstawie takich danych można z powodzeniem profilować i kontrolować również podatników niebędących przedsiębiorcami (ustalać ich stan majątkowy, powiązania zawodowe, realne dochody i wydatki).

Ustawa o przeciwdziałaniu wyłudzeniom wskazuje (por. projektowany art. 119 zm. § 12 ordynacji podatkowej), że do przetwarzania danych stosuje się przepisy ustawy o ochronie danych osobowych, z tym że dane te mogą być przetwarzane bez wiedzy i zgody osoby, której dane te dotyczą. W kontekście szerokiego zakresu i bliżej niesprecyzowanych celów przetwarzania danych osób fizycznych nasuwa się jednak wątpliwość, czy Ministerstwo Rozwoju i Finansów przeanalizowało zgodność obu projektów z generalnym rozporządzeniem o ochronie danych osobowych (od maja 2018 r. będzie bezpośrednio stosowane).

Czy przetwarzanie danych osobowych w Centralnym Rejestrze Danych Podatkowych to zamierzony efekt? Jeśli tak, jakie cele uzasadniają przetwarzanie tych danych? Jeśli nie, w jaki sposób dane o transakcjach z udziałem osób fizycznych będą usuwane z systemu?

7. Czy Ministerstwo analizowało wpływ nowych regulacji na ustawowo chronione tajemnice, np. adwokacką i lekarską?

Projektowane przepisy nie wyłączają żadnego typu transakcji spod ścisłej kontroli Krajowej Administracji Skarbowej. Oznacza to, że do Centralnego Rejestru Danych Podatkowych trafiać będą również informacje o płatnościach realizowanych przez kancelarie adwokackie czy zakłady opieki zdrowotnej (także poradnie psychiatryczne, epidemiologiczne czy seksuologiczne).

Czy do realizacji zamierzonych celów Ministerstwo potrzebuje informacji o tym, że konkretna osoba skorzystała z usług adwokata, odwiedziła klinikę leczenia niepłodności lub dentystę?

8. Czy dzięki Centralnemu Rejestrowi Danych Podatkowych inne służby zyskają dostęp do danych chronionych tajemnicą bankową bez kontroli sądu?

Ustawa o przeciwdziałaniu wyłudzeniom wskazuje, że szef KAS przekazuje dane o transakcjach, w szczególności wyniki analizy ryzyka (a więc nie tylko!), organom KAS „w związku z wykonywaniem ich ustawowych zadań”, a także „podmiotom wymienionym w art. 297–299 Ordynacji podatkowej na zasadach określonych w tych przepisach” (por. projektowany art. 119 zm. § 6 ordynacji podatkowej).

Do ustawowych zadań KAS należy m.in. prowadzenie działalności informacyjnej i edukacyjnej w zakresie przepisów prawa podatkowego i celnego, wykonywanie audytu, czynności audytowych i urzędowego sprawdzenia, a także prowadzenie działalności analitycznej, prognostycznej i badawczej dotyczącej zjawisk występujących we właściwości KAS oraz analizy ryzyka (por. art. 2 ust. 1 pkt 7–10 ustawy o KAS). A więc zostały one przez ustawodawcę zdefiniowane bardzo szeroko. Z kolei w art. 297–299 ordynacji podatkowej kryje się cały szereg podmiotów: wszystkie służby specjalne (m.in. ABW, CBA, SKW), ale też m.in Rzecznik Praw Obywatelskich, Najwyższa Izba Kontroli, sądy i prokuratura czy nawet organ nadzoru górniczego, powiatowy urząd pracy i jednostki organizacyjne ZUS i KRUS. Przy czym przepisy wskazują, do jakich działań mogą być wykorzystane dane, np. w przypadku RPO – „w związku z jego udziałem w postępowaniu przed sądem administracyjnym”.

Taka konstrukcja przepisów otwiera możliwość pobierania i przetwarzania danych chronionych tajemnicą bankową przez wszystkie uprawnione podmioty – szczególnie służby specjalne – poza kontrolą sądu. To radykalne i niepokojące odstępstwo od obecnie obowiązującego standardu, zgodnie z którym uchylenie tajemnicy bankowej wymaga zgody sądu, odpowiednio umotywowanej i podjętej w konkretnej sprawie. Czy intencją rządu jest stworzenie służbom specjalnym szerokiego i niekontrolowanego dostępu do danych bankowych?

9. Czy w tym gigantycznym stogu siana nie zginą podejrzane transakcje?

Według szacunków opartych na danych GUS w Polsce jest aktywnych około 2 mln przedsiębiorców. Wszystkie dokonywane przez nich transakcje będą trafiać do Centralnego Rejestru Danych Podatkowych i mają być poddawane analizie ryzyka. Nietrudno wyobrazić sobie tempo przyrostu danych w takiej bazie, szczególnie mając na uwadze długie okresy ich przechowywania. Z pewnością trudniej będzie zaprojektować algorytm, który w tej masie będzie w stanie wyłapać nietypowe schematy i zidentyfikować podejrzane transakcje. Czy nie prościej byłoby ograniczyć gromadzone przez KAS dane do większych transakcji (np. o wartości powyżej 15 tys. złotych)? A przede wszystkim, jaki sens ma tworzenie równoległego systemu informatycznego, skoro wszystkie dane niezbędne do analizy ryzyka i tak są przetwarzane w systemie bankowym (vide kolejne pytanie)?

10. Jakie względy uzasadniają tworzenie odrębnej bazy danych i niezależnego systemu oceny ryzyka – poza systemem bankowym?

Zgodnie z obowiązującym prawem, w ramach przeciwdziałania praniu brudnych pieniędzy, banki są zobowiązane do wykrywania i zgłaszania podejrzanych transakcji. Niezależnie od realizacji tych obowiązków banki rozwijają własne, bardzo wyrafinowane systemy analizy ryzyka. Dzięki nim są w stanie zidentyfikować podejrzane transakcje i przeciwdziałać oszustwom czy wyłudzeniom. Utrzymanie i odpowiednie zabezpieczenie bankowych baz danych i systemów informatycznych pochłania poważne środki finansowe. Ostatecznie ten koszt jest przerzucany na klientów banków – obywateli i przedsiębiorców. Jakie względy uzasadniają tworzenie równoległego systemu o podobnej funkcji, który będzie finansowany ze środków publicznych? Czy dostępna jest ocena skutków regulacji, zawierająca oszacowanie kosztów stworzenia i utrzymania tego systemu (w szczególności stałych kosztów zabezpieczenia danych)?

CHCESZ WESPRZEĆ NASZĄ WALKĘ O WOLNOŚĆ I PRYWATNOŚĆ? DOŁÓŻ SWOJĄ DAROWIZNĘ (NR KONTA: PL 43 1440 1101 0000 0000 1044 6058)!