Ухвала ВАСУ від 16.05.2017 р. у справі № 820/10192/15
З часу прийняття Закону “Про захист персональних даних” (далі — Закон № 2297) значно змінилось ставлення до персональних даних та питання їх використання й захисту.
Але, на жаль, заборона їх неправомірного розповсюдження, передбачена Законом, не гарантує непоширення таких даних різними шляхами та окремими особами. Зокрема, і контролерами, які під час виконання професійних обов’язків отримають доступ до персональних даних (баз даних) фізичних осіб.
Зокрема, інформація про платників податків - фізичних та юридичних осіб, яка одержана органами ДФС у зв'язку з виконанням покладених на них функцій, є інформацією «з обмеженим доступом» і надається ними лише за вмотивованими письмовими запитами (Київський окружний адміністративний суд, постанова від 27.04.2017 р № 810/1947/16).
А ось коли йдеться про податкову інформацію, яку самі ж фіскали запитами просять надати платників податків, то на обсяг персональних даних, які підлягають захисту, вони вже дивляться під зовсім іншим кутом.
Персональні дані — що саме підлягає захисту?
Нагадаємо, що персональні дані - це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (ст. 1 Закону №2297).
Як визначити, який саме обсяг персональних даних підпадає під захист, а який слід надавати на офіційні запити органів державної влади, які діють в межах встановлених законом повноважень?
Суд у справі № 507/1326/13-а вважає, що відповідно до ст. 5 Закону № 2297, об'єктами захисту є персональні дані, які обробляються в базах персональних даних. Частиною 2 ст. 5 Закону передбачено, що персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
Знеособлення персональних даних означає вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати фізособу. Отже, якщо прибрати з даних, які вимагають за запитом податківці, персональні дані фізосіб, з якими працював платник податків, така інформація обмеженого доступу не матиме і її подання контролерам Закон №2297 не порушуватиме.
Однак обмеженому доступу підлягає інформація, а не документ. А податківці часто вимагають не лише надати інформацію, а й підтвердити її копіями первинних документів. І вони мають на це право (згідно з п. 73.3 ПКУ).
Як в такому випадку вчинити платнику податків, щоб не порушити Закон № 2297?
1) Уважно проаналізувати запит і встановити, яку саме інформацію вимагають надати податківці.
2) Якщо йдеться про персональні дані, їх надавати не можна.
3) Якщо вимагається надати документи, які не є первинними, це теж привід відмовитися їх надавати.
4) А якщо первинні документи, які вимагається надати, містять інформацію з обмеженим доступом, для ознайомлення надається лише інформація, доступ до якої необмежений. Тобто в копії первинного документа перед її наданням податківцям прибираються усі персональні дані фізосіб, які в ньому зазначені (за наявності).
Отже, для того, щоб визначати обсяг інформації про фізособу, яка підлягає захисту, кожному госпсуб'єкту варто звернути увагу на ті документи (у т.ч. й первинні), які вони отримують від таких фізосіб. Звісно, що захищати персональні дані, зазначені в цих документах, слід не лише від контролерів, а й від інших осіб. І працівники, які з ними працюють, повинні бути попереджені про відповідальність за розповсюдження такої інформації.
ДФС не може запитувати персональні дані
Звісно, фіскальні органи доволі широко розуміють межі своїх повноважень.
І яскравим прикладом цьому може бути одна судова справа, яка наглядно пояснює дії платника податків, який отримав запит про надання інформації щодо своєї госпдіяльності з вимогою розкрити даних всіх своїх покупців — фізосіб.
Такий запит надійшов до дочірнього підприємства з іноземними інвестиціями "Книжковий клуб "Клуб сімейного дозвілля". ДФС було направлено на адресу Клубу лист про надання пояснень та їх документального підтвердження.
Цим запитом фіскали просили надати інформацію, яка стосується членів Клубу — фізичних осіб, а саме:
- щодо переліку членів Клубу, яким надавались знижки з вказанням ПІБ, ідентифікаційного номеру, номеру картки, переліку придбаної продукції з вказанням розміру знижки за 2013-2014 роки в розрізі місяців;
- по кожному члену Клубу надати обґрунтування розміру наданої знижки;
- надати затверджені прейскуранти роздрібних цін в магазинах роздрібної мережі та для членів клубу, накази або інші документи, якими затверджено розмір знижок для членів клубу та інших покупців.
Вивчивши запит фіскалів, Клуб дійшов однозначного висновку — ВІДМОВИТИ! І був готовий захищати персональні дані своїх покупців у суді.
Національні суди за всіма інстанціями підтримали Клуб з наступним формулюванням: “запитувана контролюючим органом в листі ... інформація щодо членів Клубу є персональною інформацією, розголошення якої допустимо лише за згодою суб'єкта персональних даних та у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини, а тому позивач відмовляючи відповідачу в наданні даної інформації діяв в межах закону, при цьому, не порушуючи охоронюваних прав та інтересів членів Клубу.”
І ще один момент: у коментованій ухвалі суд звернув увагу на те, що перелік членів Клубу, яким надавались знижки із зазначенням ПІБ, ідентифікаційного номеру, номеру картки, переліку придбаної продукції з зазначенням розміру знижки за 2013-2014 роки в розрізі місяців та обґрунтування по кожному члену Клубу щодо розміру наданої йому знижки не є первинним документом. Принаймні, у 2015 році, щодо якого податківці надали запит, вони первинними документами не вважалися. Це, скоріше, вже аналітика, зроблена на підставі первинних документів. А отже, у Клуба немає обов’язку їх надавати. І покарати Клуб за те, що він відмовився надати такі переліки, не можна.
Тому, на нашу думку, платники податків за потреби можуть скористатись наведеним вище для обґрунтування відмови у наданні інформації про своїх покупців — фізичних осіб при отриманні подібних письмових запитів від органів ДФС.
