Kontrola podatkowa a RODO — jak chronić dane pracowników i kontrahentów?
Krótka odpowiedź: RODO nie pozwala odmówić przekazania dokumentów, których urząd skarbowy zgodnie z prawem żąda w toku kontroli. Przedsiębiorca nie powinien jednak automatycznie udostępniać całych teczek pracowniczych, skrzynek e-mail ani baz klientów. Trzeba sprawdzić zakres kontroli, wybrać dane niezbędne do jej przeprowadzenia i przekazać je w bezpieczny, udokumentowany sposób.
Stan prawny: lipiec 2026 r.
Czy można odmówić przekazania danych, powołując się na RODO?
Samo powołanie się na ochronę danych osobowych nie blokuje kontroli podatkowej. Kontrolujący mogą żądać udostępnienia akt, ksiąg i dokumentów związanych z przedmiotem kontroli, sporządzać z nich kopie oraz pobierać dane w formie elektronicznej. Przedsiębiorca ma obowiązek dostarczać żądane dokumenty i udzielać wyjaśnień dotyczących kontrolowanego zagadnienia.
Podstawą przekazania danych nie jest w takim przypadku zgoda pracownika, klienta ani kontrahenta. Przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania obowiązku prawnego ciążącego na administratorze. Taką podstawę przewiduje RODO, a urzędowy wzór upoważnienia do kontroli podatkowej wskazuje wprost, że dane są przetwarzane w celu prowadzenia kontroli i ewentualnych późniejszych postępowań.
Przedsiębiorca nie powinien więc pytać każdego pracownika o zgodę na przekazanie listy płac urzędowi. Zgoda byłaby w tej sytuacji niewłaściwą podstawą, ponieważ obowiązek współpracy wynika z przepisów.
Nie oznacza to jednak, że urząd otrzymuje automatycznie dostęp do wszystkich danych znajdujących się w firmie.
Zakres danych powinien odpowiadać zakresowi kontroli
Uprawnienia kontrolujących są ograniczone zakresem wskazanym w upoważnieniu. Organ może żądać dokumentów związanych z przedmiotem kontroli, a nie dowolnych informacji tylko dlatego, że znajdują się one w firmowym systemie.
Jednocześnie RODO wymaga, aby dane były:
- adekwatne do celu;
- stosowne;
- ograniczone do tego, co niezbędne;
- zabezpieczone przed nieuprawnionym dostępem;
- przechowywane nie dłużej, niż wymaga tego cel.
Administrator musi również być w stanie wykazać przestrzeganie tych zasad. Jest to zasada rozliczalności.
Przykład: kontrola dotyczy rozliczenia wynagrodzenia jednego członka zarządu za okres od stycznia do czerwca 2025 r. Urząd może potrzebować umowy, uchwały, list płac, przelewów i informacji o wykonanych obowiązkach. Nie oznacza to jednak automatycznej potrzeby przekazania pełnych akt osobowych wszystkich pracowników, dokumentacji medycznej ani danych członków ich rodzin.
Jeżeli żądanie jest bardzo szerokie, warto wystąpić o jego doprecyzowanie. Należy wskazać, które z żądanych zbiorów zawierają dane niezwiązane z kontrolą i zaproponować sposób przekazania informacji istotnych dla sprawy.
Czy można anonimizować lub zasłaniać dane?
Anonimizacja albo ograniczenie zakresu danych może być uzasadnione, gdy dokument zawiera informacje całkowicie niezwiązane z kontrolowanym rozliczeniem.
Można rozważyć zasłonięcie na kopii między innymi:
- prywatnego numeru telefonu;
- danych członków rodziny;
- informacji o stanie zdrowia;
- prywatnej korespondencji;
- numerów dokumentów tożsamości;
- danych innych pracowników niezwiązanych ze sprawą.
Nie wolno jednak usuwać informacji, które mogą mieć znaczenie podatkowe. Jeżeli urząd bada prawo do ulgi B+R, dane identyfikujące pracownika, jego wynagrodzenie, stanowisko i czas pracy mogą być niezbędne. Przy kontroli podatku od wynagrodzeń istotne mogą być również informacje wpływające na sposób obliczenia zaliczki.
Najbezpieczniejszym rozwiązaniem jest sporządzenie kopii z oznaczonymi wyłączeniami oraz zachowanie pełnego oryginału. W piśmie przewodnim warto wskazać, jakie dane pominięto i dlaczego nie mają związku z przedmiotem kontroli.
Nie należy samodzielnie modyfikować dokumentu w sposób, który może wyglądać jak ukrywanie dowodu. Gdy znaczenie informacji budzi wątpliwości, lepiej zwrócić się do organu o potwierdzenie zakresu żądania.
Dane szczególnej kategorii wymagają większej ostrożności
Dokumenty księgowe i kadrowe mogą zawierać dane dotyczące zdrowia, niepełnosprawności, przynależności związkowej albo sytuacji rodzinnej. Są to informacje wymagające szczególnej ochrony.
Przekazanie takich danych może być zgodne z prawem, jeżeli są rzeczywiście potrzebne do wykonania obowiązku wynikającego z przepisów. Urzędowa informacja dotycząca kontroli podatkowej wskazuje jako podstawę przetwarzania danych szczególnej kategorii ważny interes publiczny wynikający z prawa.
Nie oznacza to jednak, że wraz z listą wynagrodzeń należy wysyłać wszystkie zwolnienia lekarskie, zaświadczenia medyczne i dokumenty dotyczące rodziny pracownika.
Przykład: urząd sprawdza wysokość kosztów wynagrodzeń. Zamiast przekazywać pełne akta osobowe można przygotować zestawienie wynagrodzeń, umowy, listy płac i dokumenty potwierdzające zapłatę. Dokument medyczny należy dołączyć tylko wtedy, gdy jego treść ma rzeczywiste znaczenie dla kontrolowanego rozliczenia.
Jak przekazywać korespondencję i dane z systemów?
Szczególne ryzyko występuje przy żądaniu korespondencji elektronicznej, danych z CRM albo dostępu do firmowego dysku. W takich systemach informacje dotyczące kontrolowanej transakcji są często wymieszane z danymi innych klientów oraz prywatnymi wiadomościami pracowników.
Nie należy bez potrzeby udostępniać kontrolującym całej skrzynki pocztowej ani pełnego konta administratora systemu.
Bezpieczniejszy model obejmuje:
- wyszukanie wiadomości dotyczących wskazanej transakcji
- eksport pełnych wątków wraz z datami i nadawcami
- zachowanie metadanych i załączników
- sprawdzenie, czy korespondencja nie zawiera danych niezwiązanych ze sprawą
- przygotowanie indeksu przekazywanych plików.
Jeżeli kontrolujący chce przeprowadzić oględziny systemu w siedzibie firmy, warto utworzyć konto z ograniczonymi uprawnieniami albo zapewnić obsługę przez wyznaczonego pracownika. Kontrolujący powinien mieć dostęp do materiałów objętych kontrolą, ale nie musi otrzymywać nieograniczonego dostępu do wszystkich danych przedsiębiorstwa.
Jak zabezpieczyć dane w czasie kontroli w siedzibie firmy?
Kontrola podatkowa nie zwalnia przedsiębiorcy z obowiązku ochrony danych przed dostępem osób nieuprawnionych. Trzeba więc zorganizować pracę w sposób, który pozwala urzędnikom wykonywać czynności, a jednocześnie nie otwiera przed nimi całego archiwum firmy.
W praktyce warto:
- wyznaczyć osobne pomieszczenie do kontroli;
- wskazać jedną osobę koordynującą przekazywanie dokumentów;
- prowadzić rejestr udostępnionych materiałów;
- nie pozostawiać otwartych akt innych klientów;
- blokować komputery podczas nieobecności pracowników;
- nie udostępniać wspólnych haseł;
- przekazywać nośniki za potwierdzeniem;
- zachowywać kopię każdego zestawu przekazanego kontrolującym.
Dokumenty wydane organowi na czas kontroli powinny zostać przekazane za pokwitowaniem. Ordynacja podatkowa przewiduje możliwość czasowego odebrania akt, ksiąg i dokumentów między innymi wtedy, gdy istnieje podejrzenie ich nierzetelności albo przedsiębiorca nie zapewnia warunków do badania dokumentacji.
Czy urząd skarbowy chroni otrzymane dane?
Indywidualne dane znajdujące się w deklaracjach, dokumentach podatników, aktach kontroli podatkowej i materiałach uzyskanych przez KAS są objęte tajemnicą skarbową. Do jej przestrzegania zobowiązani są między innymi pracownicy administracji skarbowej i funkcjonariusze.
Tajemnica skarbowa nie zwalnia jednak przedsiębiorcy z odpowiedzialności za sposób przekazania danych. Wysłanie niezaszyfrowanego archiwum na błędny adres albo pozostawienie nośnika w miejscu dostępnym dla osób postronnych może stanowić naruszenie ochrony danych po stronie firmy, zanim dokumenty znajdą się pod kontrolą organu.
Dlatego należy korzystać z oficjalnego kanału wskazanego przez urząd, dokładnie sprawdzić adresata i ograniczyć liczbę osób mających dostęp do przygotowanego zestawu. Hasło do zabezpieczonego archiwum powinno być przekazywane innym kanałem niż sam plik.
Co zrobić po omyłkowym ujawnieniu danych?
Jeżeli pliki zostaną wysłane do niewłaściwego urzędu, pracownika lub osoby trzeciej, trzeba uruchomić firmową procedurę reagowania na naruszenia.
Należy przede wszystkim:
- ustalić zakres ujawnionych danych;
- podjąć próbę odzyskania lub usunięcia pliku;
- zabezpieczyć dowody zdarzenia;
- ocenić ryzyko dla osób, których dane dotyczą;
- udokumentować decyzję o dalszych działaniach.
Jeżeli naruszenie może powodować ryzyko dla praw lub wolności osób fizycznych, administrator zgłasza je Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od jego stwierdzenia. Gdy ryzyko jest wysokie, może być również konieczne zawiadomienie osób, których dane dotyczą.
Najlepszym zabezpieczeniem jest procedura, zgodnie z którą żaden dokument nie trafia do urzędu bez sprawdzenia przez drugą osobę. Przed wysłaniem należy zweryfikować adresata, okres kontroli, zakres danych, liczbę załączników i sposób ich zabezpieczenia.
Kontrola podatkowa i RODO nie są ze sobą sprzeczne. Urząd ma prawo otrzymać dane potrzebne do kontroli, natomiast przedsiębiorca odpowiada za to, aby przekazać je w zakresie uzasadnionym sprawą i w sposób ograniczający ryzyko ujawnienia informacji niezwiązanych z postępowaniem.
Treść ma charakter informacyjny i nie stanowi porady prawnej w indywidualnej sprawie.