(Ne)Aplikovatelnost GDPR při správě daní aneb nedůvodná obrana daňového subjektu

V rámci svého služebního působení, jsme se setkali s případem, který bychom zde rádi předestřeli. V rámci kontrolních postupů při správě daní, byly od daňového subjektu vyžádány listinné materiály (typicky např. objednávky, dodací listy, smlouvy, apod.) za účelem prokázání, že se prověřované obchodní případy odehrály tak, jak je uvedeno na daňových dokladech, o čemž měl správce daně důvodné pochybnosti. Předmětné oprávnění správce daně je ukotveno v ustanovení § 92 odst. 4 zákona č. 280/2009 Sb., daňový řád, ve znění pozdějších předpisů (dále jen „DŘ“), dle něhož je správce daně oprávněn, vyžaduje-li to průběh řízení a nelze-li potřebné informace získat z vlastní úřední evidence, vyzvat daňový subjekt k prokázání skutečností potřebných pro správné stanovení daně.

Daňový subjekt však odmítl požadované listinné materiály předložit s tím, že podléhají ochraně dle GDPR, přičemž, odkazujíc na ustanovení čl. 4 odst. 9 GDPR, máme za to, že tomu tak není. Dle ustanovení čl. 4 odst. 9 GDPR, se příjemcem rozumí: „…fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.“

Podrobněji viz důvodový odst. 31 GDPR: „Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.“

Ze shora uvedeného tedy vyplývá, že právní ochrany osobních údajů dle GDPR nepožívají ty údaje, jež správce vyžádal a obdržel v rámci daňového řízení. Takové údaje jsou chráněny ustanovením § 52 dost. 1 DŘ, které stanoví, že: „Úřední osoby a osoby zúčastněné na správě daní jsou vázány povinností mlčenlivosti o tom, co se při správě daní dozvěděly o poměrech jiných osob. To neplatí pro daňový subjekt, pokud jde o informace získané nebo použité při správě jeho daní.“

K našemu praktickému příkladu dále poznamenáváme, že neposkytnutí součinnosti s odkazem na GDPR, v tomto konkrétním případě, mohlo být jak neznalostního tak obstrukčního charakteru.

---

Zdroje

• Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
• Zákon č. 280/2009 Sb., daňový řád, ve znění pozdějších předpisů