Polskie przepisy umożliwiające nałożenia sankcji VAT są niezgodne z unijną dyrektywą – wynika z wyroku Trybunału Sprawiedliwości Unii Europejskiej, o którym informuje Deloitte.

TSUE wziął pod lupę sprawę toczącą się przed WSA we Wrocławiu. Dotyczyła sprzedaży nieruchomości. Otóż przedsiębiorcy uznali, że transakcja jest objęta VAT-em. Jednak w ocenie skarbówki była zwolniona z tego podatku, w związku z tym nabywca nie miał prawa odliczyć VAT.

Firma dostosowała się do zaleceń kontroli – skorygowała deklarację i zwróciła nienależnie pobraną kwotę. Wówczas skarbówka nałożyła na podatnika sankcję VAT w wysokości 20 proc. zawyżenia zwrotu VAT.

TSUE stanął po stronie przedsiębiorcy. Uznał, że polski przepis (art. 112b ust 2 ustawy o VAT) dopuszczający 20 proc. sankcję w opisanym przypadku jest sprzeczny z dyrektywą VAT (art. 273) i zasadą proporcjonalności.

Oszuści nie korygują VAT

Trybunałowi chodzi o sytuację, gdy nic nie wskazuje na oszustwo – firma nieświadomie popełniła błąd, a następnie dobrowolnie skorygowała deklarację i uregulowała należność, a w efekcie budżet fiskusa nie ucierpiał wskutek pomyłki (a nawet nieco zyskał dzięki odsetkom).

W ocenie TSUE nie może być tak, że nakładając sankcję VAT wg ww. przepisu skarbówka zupełnie nie bierze się pod uwagę intencji podatnika i tego, czy problem powstał w wyniku oszustwa czy też nieumyślnego błędu. Sędziowie z Luksemburga przytomnie zauważyli, że oszuści nie są zainteresowani składaniem korekt deklaracji VAT.

W ocenie ekspertów Deloitte wyrok TSUE może otwierać przed przedsiębiorcami możliwość odzyskania kwot dodatkowego zobowiązania podatkowego, zapłaconego w rezultacie błędów popełnionych przez przedsiębiorców w ocenie transakcji w kontekście VAT. Specjaliści radzą niezwłocznie wystąpić o zwrot już uiszczonej sankcji, a gdy sprawa jest jeszcze otwarta, podjąć kroki w celu jej pozytywnego zakończenia.

Sygnatura sprawy: C-935/19. Wyrok TSUE zapadł 15 kwietnia br.

Artykuł TSUE miażdży przepis o 20 proc. sankcji VAT pochodzi z serwisu CRN.

Polskie przepisy dotyczące odliczenia VAT przy wewnątrzspólnotowym nabyciu towarów są niezgodne z unijną dyrektywą VAT – orzekł Trybunał Sprawiedliwości Unii Europejskiej.

Konkretnie zakwestionował ograniczenie, jakie fiskus narzucił przedsiębiorcom. Otóż VAT naliczony można według krajowych przepisów odliczyć pod warunkiem wykazania podatku należnego w deklaracji, złożonej w terminie do 3 miesięcy od końca miesiąca, w którym powstał obowiązek podatkowy.

Zdaniem sędziów z Luksemburga skarbówka przesadza w swoich oczekiwaniach wobec polskich firm. TSUE uznał, że prawo do odliczenia VAT nie zależy od złożenia deklaracji czy rozliczenia VAT należnego w określonym terminie.

Trybunał zwrócił m.in. uwagę na art. 167 dyrektywy VAT. Zgodnie z jego brzmienim prawo do odliczenia naliczonego VAT powstaje w momencie, gdy podatek, który podlega odliczeniu, staje się wymagalny.

„Przełomowy wyrok”

Jak komentuje dla PAP Maciej Dybaś, starszy menedżer w Crido, to przełomy wyrok. Według niego kwestionuje założenia krajowego prawa dotyczącego odliczenia VAT w ramach WNT.

Ekspert radzi, by firmy zrobiły przegląd wcześniejszych rozliczeń VAT. Jeśli skarbówka ściągnęła odsetki w związku z zakwestionowanymi przepisami, warto korygować deklaracje i wnioskować o zwrot zapłaconych kwot.

Wyrok został wydany w związku ze sporem jednego z przedsiębiorców z Krajową Informacją Skarbową. Dotyczy nabycia towarów, jednak zdaniem menedżera Crido orzeczenie może być analogicznie przyjęte do importu usług.

Sygnatura sprawy: C‑895/19. Wyrok Trybunału z dn. 18 marca 2021 r.

„Art. 167 i 178 dyrektywy VAT należy interpretować w ten sposób, że stoją one na przeszkodzie stosowaniu przepisów krajowych, zgodnie z którymi wykonanie prawa do odliczenia VAT związanego z nabyciem wewnątrzwspólnotowym w tym samym okresie rozliczeniowym, w którym VAT jest należny, jest uzależnione od wykazania należnego VAT w deklaracji podatkowej, złożonej w terminie trzech miesięcy od upływu miesiąca, w którym w odniesieniu do nabytych towarów powstał obowiązek podatkowy” – konkluduje w wyroku TSUE.

Artykuł Fiskus się mylił. Przełomowy wyrok w sprawie VAT pochodzi z serwisu CRN.

CRN „No to TSUE dał (prawniczego) czadu. Dużo do przemyślenia. Privacy Shield is dead” – tak skomentował Pan wyrok w sprawie Schrems II. Pojawiły się też głosy o delegalizacji chmury czy też zakazie używania Google Analytics… Sprawa wydaje się więc poważna, ale nie wiemy, jak bardzo. A zatem?

Marcin Maruta  Bardzo. Zacznijmy od tego, że jakikolwiek transfer danych osobowych poza Europejski Obszar Gospodarczy wymaga podstawy prawnej. W relacjach między Unią a USA jedną z pierwszych i najważniejszych podstaw był program Safe Harbour. Jednak wyrok TSUE z 2015 roku w sprawie Schrems I zakwestionował jego sens. I trudno się dziwić, bo liberalne prawo amerykańskie dotyczące ochrony danych nijak się ma do europejskiego, które jest bardziej restrykcyjne i ideologicznie inaczej skonstruowane. Założenia programu nie miały więc odzwierciedlenia w rzeczywistości, poza tym, że firmy działające po obu stronach Atlantyku zabezpieczały się klauzulą, w której powoływały się na Safe Harbour. W ten sposób miały poczucie, że działają zgodnie z prawem. Safe Harbour został zastąpiony Privacy Shield, co z kolei zostało unieważnione najnowszym wyrokiem, a więc Schrems II. Szczerze mówiąc, to nie było wielkie zaskoczenie dla prawników, którzy zajmują się ochroną danych osobowych. Można się było tego spodziewać z tych samych powodów, co w przypadku Safe Harbour.

Dotychczasowe umowy, w których powoływano się na Privacy Shield, są więc już nieważne?

Kilka słów, aby uporządkować obraz sytuacji. Jak wspomniałem, do transferu danych potrzebujemy podstawy prawnej. Jest ich kilka, od porozumień międzynarodowych w rodzaju Privacy Shield, po zgody osób fizycznych. Wyrok TSUE dotyczył dwóch podstaw, najczęściej stosowanych – Privacy Shield i tzw. standardowych klauzul umownych. Privacy Shield została unieważniona, więc ta podstawa znika. Jeżeli na niej opieraliśmy transfer, to musimy albo go zaprzestać, albo znaleźć inną podstawę. Standardowe klauzule umowne to wzorcowe umowy zawierane między przedsiębiorcami z Unii i spoza Unii, a właściwie Europejskiego Obszaru Gospodarczego. One, jako mechanizm, przetrwały, ale na podmioty, które dokonują transferu danych nałożono obowiązek badania, czy kraj, do którego dane są przekazywane, zapewnia odpowiednią ochronę. I tu wpadamy w pułapkę, ponieważ Trybunał stwierdził, że w USA takiej ochrony nie ma, więc stosowanie klauzul na potrzeby transferu do tego kraju jest co najmniej wątpliwe.

Niemniej wyrok dotyczy wszystkich krajów?

Wyrok w zakresie standardowych klauzul dotyczy całego świata, niemniej faktycznie kluczowy w tym kontekście jest transfer danych osobowych w obrocie ze Stanami Zjednoczonymi, bo to dostawcy amerykańscy zdominowali rynek IT, w tym sektor chmurowy. Wiele amerykańskich firm szukało przy tym podstawy prawnej do transferu danych swoich klientów z terenu UE na teren USA, i w tym celu korzystało z zapisów Privacy Shield. Chodzi przede wszystkim o usługodawców, którzy nie mieli rozbudowanych przedstawicielstw czy centrów danych w Europie. A teraz ich tutejsi klienci mają problem. Taki problem mają też podmioty transferujące dane w oparciu o klauzule, choć tutaj mogą wystąpić przypadki, kiedy transfer da się obronić. W przypadku Tarczy – nie ma już takiej możliwości. 

Z tego wynika, że potrzebna jest nowa umowa pomiędzy UE a USA. Czy jest na to szansa i kiedy może to nastąpić?

Już dwie umowy nie wytrzymały próby czasu, a szanse na stworzenie trzeciej uważam za nikłe, bo podejście do tematu danych osobowych w Europie, USA i Chinach bardzo się od siebie różni. Na tyle, że kompromis wydaje się niemożliwy. Zresztą Amerykanie mniej lub bardziej wyraźnie dają znać, że do GDPR w stopniu wymaganym przez Unię się nie dostosują.

Co na to wszystko europejskie urzędy ds. ochrony danych osobowych? Jakie są ich wytyczne dla firm?

Niemal wszystkie milczą, wyraźnie czekając na rozwój wydarzeń – zapewne pracują nad rozwiązaniami. Pojawiają się wypowiedzi dość stanowcze, jak berlińskiego urzędu ds. ochrony danych osobowych, który uznał, że w ogóle nie można teraz transferować danych do USA i nie powinny one przekraczać unijnych granic. To najostrzejsze, jak do tej pory, oficjalne stanowisko. Co ciekawe, na poziomie federalnym Niemiec, stanowisko było łagodniejsze, dane nadal mogą trafiać za Atlantyk, ale przy spełnieniu dodatkowych warunków… których jeszcze nikt nie zna. Nasz polski prezes UODO postąpił podobnie, czyli zakomunikował, że można to robić, ale zgodnie z nowym prawem, przy czym ocena zgodności należy do każdej firmy z osobna. Nie ma zero-jedynkowych wytycznych i zapewne nie będzie.

Od czego, w takim razie, powinno się zacząć?

Każda firma, która korzysta z usług chmurowych musi się teraz zastanowić, gdzie konkretnie przetwarzane w ten sposób dane lądują. Jeśli okaże się, dajmy na to, że gdzieś na amerykańskim serwerze w ramach usługi Azure, wówczas należałoby sprawdzić, czy można zmienić lokalizację przetwarzania danych na data center w Europie. W wielu przypadkach jest to możliwe, zwłaszcza u kluczowych graczy na rynku chmurowym. W tym kontekście bardzo dobrze brzmią zapowiedzi Google’a i Microsoftu dotyczące wielkich inwestycji w „polskie” centra danych. To w przyszłości może bardzo ułatwić sprawę. Warto przy tym zwrócić uwagę, że na ocenę sytuacji może wpłynąć fakt, jakie dane przekazujemy do chmury – bo jest różnica między danymi identyfikującymi wprost osobę, a tylko pozwalającymi pośrednio ją identyfikować (jak adres IP) – oraz jak je zabezpieczamy, czyli w grę wchodzi kryptografia i kontrola nad kluczami.

Czy przeniesienie danych do Europy niweluje zagrożenia prawne?

Nie zawsze. Żeby spać spokojnie należy uważnie przeczytać wszystkie umowy z zagranicznymi dostawcami usług. Nawet, jeśli trzymają nasze dane tylko w Unii Europejskiej. Może się bowiem okazać, że w umowie jest na przykład zapis, zgodnie z którym w razie awarii tutejszego centrum danych usługodawca może dane, wyjątkowo, przerzucić do USA. Jestem jednak przekonany, że najwięksi dostawcy dostosują się do unijnych wymagań prawnych.

A co z kwestią danych, które są przetwarzane w ramach Google Analytics? Czy  jest to teraz nielegalne, bo na  amerykańskich serwerach analizowane są informacje dotyczące Europejczyków?

To są dane, które nie identyfikują wprost konkretnych osób, więc czeka nas dyskusja pomiędzy prawnikami, jak w tym przypadku interpretować wyrok TSUE. Ale bez sprawdzenia, jakie konkretne dane i w jakim wolumenie są transferowane, trudno to orzec. W moim odczuciu powinniśmy zastanowić się nad istotą orzeczenia, a więc poufnością danych i analizować, czy potencjalny dostęp do takich danych przez służby kraju trzeciego może naruszyć czyjeś prawa.

Jak wygląda sytuacja prawna waszych klientów w świetle decyzji trybunału?

Analizujemy teraz uważnie poszczególne przypadki i już widzimy, że praktyczny wpływ wyroku będzie poważny. Część klientów będzie musiała zrezygnować z niektórych narzędzi, czekamy też na reakcję dostawców, którzy już zmieniają swoje polityki.

Czy należy spodziewać się wysypu kar nakładanych przez UODO?

To zależy od UODO, ale wątpię. Sam organ musi umieć ocenić, gdzie leży granica pomiędzy szarą a czarną strefą. Na pewno zaniechanie analizy swojej sytuacji i pozostawienie transferu na podstawie Tarczy będzie dość oczywistym naruszeniem prawa. Natomiast z klauzulami sprawa nie jest aż tak oczywista. W każdym razie jestem pewny, że wyrok TSUE będzie bardzo serio traktowany przez europejskich regulatorów, bo dotyczy ważnego, ideologicznego sporu pomiędzy UE a resztą świata.

Czy czeka nas zatem rewolucja na rynku dostawców usług chmurowych na rzecz europejskich firm?

Z dużymi dostawcami ze świata europejscy klienci nie powinni mieć problemów, bo – ufam – ci się do unijnych wymogów dostosują. Problem może wystąpić w przypadku średnich i małych usługodawców spoza Europy, którzy mogą uznać, że im się to nie opłaci, ze względu na małą skalę działania czy zbyt wysokie koszty. Ich klienci będą więc wybierali bezpieczną alternatywę. W tym kontekście ciekawa wydaje się ogólna polityka Unii, wzmacniającej własne kompetencje cyfrowe, w tym chmurowe. Przykładem jest inicjatywa Gaia-X, która ma na celu stworzenie europejskiej infrastruktury chmurowej i zmniejszenie zależności europejskich podmiotów od amerykańskich dostawców usług cloudowych. Stoją za tym głównie Niemcy i Francja, za to polskich firm w tym projekcie nie ma, choć powinny się tym zainteresować. Zwłaszcza że obecnie nie brakuje funduszy unijnych dotyczących cyfryzacji.

Przypomnijmy na koniec, jak ta sprawa znalazła się w TSUE i kim jest Schrems… 

Maximilian Schrems to najbardziej znany obecnie na świecie aktywista od danych osobowych, który najpierw doprowadził do zniesienia Safe Harbour, a teraz Privacy Shield. Wykazał, że obie te konstrukcje prawne były wadliwe, gdyż systemy prawne USA i UE są ze sobą niekompatybilne. W świecie aktywistów od prywatności jest postacią wręcz kultową. Nie wątpię, że w razie ewentualnej kolejnej umowy pomiędzy UE a USA znowu o nim usłyszymy.

Rozmawiał Tomasz Gołębiowski

Artykuł Schrems II, czyli TSUE wywraca stolik pochodzi z serwisu CRN.