Artykuł 17.03.2016 4 min. czytania Tekst Image Ministerstwo Finansów na początku lutego przedstawiło projekt ustawy zakładającej powołanie spółki celowej, która przygotować ma rozwiązania informatyczne dla administracji podatkowej. Nowe narzędzia służyć mają analizie prawdopodobieństwa występowania naruszeń prawa podatkowego w oparciu o dane o podatnikach z systemów teleinformatycznych ministra finansów, organów administracji podatkowej oraz kontroli skarbowej. Choć projekt wywołał sporą dyskusję, nie dotyka ona sedna problemu: czy automatyczne profilowanie podatników rzeczywiście pozwoli wyłapać tych nieuczciwych, jednocześnie nie narażając na błędne decyzje wszystkich pozostałych? Opublikowany projekt wzbudził sporo kontrowersji. W mediach pojawiały się artykuły zwracające uwagę na to, że spółka uzyska dostęp do danych o podatnikach, a ci mogą się nigdy o tym nie dowiedzieć, czy to, że jej powołanie jest sposobem na obejście przepisów tzw. ustawy kominowej. Ministerstwo zareagowało, publikując na swojej stronie komentarz tłumaczący cel działania spółki (przygotowanie rozwiązań informatycznych i wyposażenie administracji podatkowej i kontroli skarbowej w systemy teleinformatyczne, a nie pozyskiwanie i administrowanie danymi podatników), jej rolę (narzędzie analityczno-doradcze) i wyjaśniający, że dane będą jej przekazywane po to, by stworzyć algorytmy wykrywające nieprawidłowości. Takie wyjaśnienia powinny być częścią uzasadnienia projektu, tym bardziej że mowa o wykorzystywaniu danych obywateli, więc ich brak budzi spore wątpliwości. Projekt nie został poddany konsultacjom społecznym, a jedynie uzgodnieniom międzyresortowym, które trwały bardzo krótko – bo jedynie 7 dni. Dopiero ponad miesiąc po publikacji (17 marca) na stronie Rządowego Centrum Legislacji zamieszczono dokumenty ze stanowiskami innych organów. Generalna Inspektor Ochrony Danych Osobowych przygotowała opinię (dostępną na stronie GIODO), w której wskazuje, że zaproponowana regulacja jest szczątkowa, przez co trudno w pełni ocenić jej zgodność z konstytucyjną zasadą proporcjonalności ingerencji w prawo do prywatności obywateli. Do tego podkreśla szereg braków projektu, gdy chodzi o kwestie przetwarzania danych, m.in. brak jasnych celów przetwarzania danych, opisu kategorii osób i zakresu przetwarzanych danych oraz informacji o tym, jak długo dane będą przechowywane. GIODO odnosi się także do komentarza Ministerstwa dotyczącego konieczności wykorzystania danych z rejestrów do przetestowania skuteczności przygotowanego programu wykrywającego nadużycia. Zwraca uwagę, że do takich działań wcale nie jest potrzebny dostęp do danych o obywatelach, w zupełności wystarczy dostęp do struktury danych bądź przekazanie ograniczonego zanonimizowanego ich zbioru. Na zakończenie swojego wywodu GIODO przypomina, że ustawa o ochronie danych zabrania wydawania rozstrzygnięć indywidualnych spraw jedynie w oparciu o automatyczne operacje na danych. I tym samym dotyka najważniejszego problemu: czy profilowanie predykcyjne, oparte na działaniu algorytmów, a nie ocenie urzędnika, może być wykorzystywane do wyłapywania oszustw podatkowych? Nie chodzi oczywiście o ostateczne decyzje, stwierdzające nieprawidłowość i wymierzające karę, bo te musi wydać człowiek, ale o wyselekcjonowanie podatników podejrzanych o nadużycia. Sęk w tym, że w polskich realiach już sama decyzja o przeprowadzeniu kontroli i bliższym przyjrzeniu się konkretnemu podatnikowi może mieć poważne konsekwencje (np. zamrożenie środków czy sparaliżowanie przedsiębiorstwa na czas kontroli). Ministerstwo twierdzi, że potrzebuje rozwiązań informatycznych po to, by zwiększyć skuteczność wykrywania i karania sprawców przestępstw i wykroczeń skarbowych, w szczególności zaś – by usprawnić pobór podatku VAT i przeciwdziałać nadużyciom w tym obszarze. Chodzi więc o to, by państwo skutecznie zbierało należne mu podatki. To cel, z którym trudno dyskutować. Jednak sposób, w jaki chce ono to zrobić, jest mocno problematyczny. System, w którym to niejawny algorytm ma przesądzać o tym, czy konkretna osoba znajdzie się na celowniku skarbówki, niesie ze sobą poważne ryzyko błędów i krzywdzących postępowań. Standardowo o przetwarzaniu danych przez algorytm podatnicy nie będą informowani – to oznacza, że o zakwalifikowaniu do grupy ryzyka najprawdopodobniej dowiemy się dopiero w momencie wszczęcia w naszej sprawie postępowania. A i to przy założeniu, że w aktach sprawy pojawią się informacje o tym, że wytypowano nas do weryfikacji właśnie w oparciu o wynik działania algorytmu. Ministerstwo wskazuje, że podobne rozwiązania z sukcesami wykorzystywane są w innych krajach, zapomina jednak, że kiedy mowa o ograniczaniu praw obywateli – a z czymś takim mamy do czynienia za każdym razem, gdy przetwarzane są ich dane – konieczna jest rzetelna ocena niezbędności, adekwatności i proporcjonalności proponowanych rozwiązań. Uzasadnienie nie zawiera takich rozważań, jak również nie odnosi się do zwiększonego ryzyka błędów i krzywdzących decyzji, do jakich może doprowadzić profilowanie podatników przez program komputerowy. Anna Walkowiak Fundacja Panoptykon Autor Temat dane osobowe prawo Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Zobacz także Artykuł Pomóż sprawdzić ubezpieczycieli Bankom i ubezpieczycielom nie opłaca się ryzykować. Nic dziwnego, że chcą o nas wiedzieć jak najwięcej. Ile? Trudno powiedzieć, bo niechętnie przyznają, jakie dane nasz temat gromadzą. Naukowcy z Uniwersytetu Lund (Szwecja) chcą prześwietlić europejskich ubezpieczycieli, w tym również firmy… 14.01.2021 Tekst Artykuł Numer IP w rękach skarbówki Ministerstwo Finansów przygotowało projekt zmian w działaniu mechanizmu STIR, za pomocą którego banki wspólnie z Krajową Administracją Skarbową mają wyłapywać tzw. karuzele VAT-owskie. 23.05.2018 Tekst Artykuł Fikcyjna reforma w służbach Czy Policja i służby specjalne wdrożyły RODO? Nie. Dlaczego? Bo mają – a w zasadzie powinny mieć – odrębne zasady. Regulacje dotyczące ochrony danych osobowych w sektorze bezpieczeństwa zawiera unijna dyrektywa policyjna. W polskim wydaniu będzie to tylko fikcja, a służby będą mogły więcej niż… 27.11.2018 Tekst