Poradnik Przedsiębiorcy

Faktury a ochrona danych osobowych

Przepisy o ochronie danych osobowych obligują do rygorystycznego traktowania danych osobowych oraz ich przetwarzania. Szczególną uwagę należy zwrócić na legalność posiadanych zbiorów danych oraz ich odpowiednie zabezpieczenie m.in. poprzez ich szyfrowanie. Przepisom o ochronie danych osobowych podlegają również faktury. Przyjrzyjmy się bliżej danym osobowym zawartych na fakturach - czy ochrona danych osobowych dotyczy również informacji w niej zawartych?

Ochrona danych osobowych - pojęcie ogólne

W szerokim tłumaczeniu ochrona danych osobowych polega na ochronie danych, w posiadaniu których jest przedsiębiorca, tworzących zbiór danych osobowych. Zbiór danych osobowych to wszelkie dane osobowe dające możliwość identyfikacji konkretnej osoby. Żaden przepis nie opisuje dokładnych danych, które mogą zostać uznane za osobowe. Pozostaje więc kryterium możliwości zidentyfikowania pojedynczej osoby. 

Imię i nazwisko przedsiębiorcy na fakturze

Przepisom o ochronie danych osobowych podlegają również dane, które pozwalają na zidentyfikowanie osób prowadzących działalność gospodarczą, o ile dla konkretnej sytuacji stanowią dane osobowe. Oznacza to, że administratorzy danych przedsiębiorców zobligowani są do przestrzegania przepisów o ochronie danych osobowych.

Art. 4. rozporządzenia RODO

Ilekroć w ustawie jest mowa o :

7) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania

Dane na fakturze to dane osobowe

Od 2014 roku wszyscy podatnicy są zobowiązani do wystawiania faktur. Podatnicy zwolnieni podmiotowo z VAT, u których wartość obrotu nie przekroczyła 200 tys. zł rocznie, również mają taki obowiązek jeżeli odbiorca zażąda faktury.

Szczegółowy zakres danych, które należy umieścić na fakturze zawarty jest w rozporządzeniu ministra finansów, m. in. jest to

  • imię i nazwisko przedsiębiorcy,
  • jego adres,
  • dane kontaktowe

- a więc są to dane, które ustawowo podlegają ochronie. 

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje tzw. podstawa prawna przetwarzania danych. 

W przypadku przedsiębiorców, typowymi podstawami przetwarzania danych zwykłych są:

  • zgoda osoby, której dane dotyczą,

  • przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą,

  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,

  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Uwaga!

W przypadku wystawiania faktur, podstawą prawną przetwarzania danych jest wykonanie obowiązku prawnego (obowiązek wystawienia faktury w związku ze sprzedażą) ciążącego na administratorze. A więc w tym przypadku nie jest wymagana zgoda osoby, której dane dotyczą.

Programy służące do wystawiania faktur a ochrona danych osobowych

Z racji tego, że na fakturach znajdują się dane osobowe - programy, za pomocą których wystawiane są faktury muszą spełniać wymagania stawiane przez przepisy o ochronie danych osobowych. Cały system musi być zabezpieczony przed nieautoryzowanym dostępem - na gruncie samej aplikacji (klient) jak i serwera (bazy danych). Nie wolno zapominać, że programy te muszą spełniać wymagania integralności treści oraz autentyczności pochodzenia.

Obowiązek przeszkolenia pracowników z zakresu ochrony danych osobowych

Administrator danych osobowych ma obowiązek zastosowania wszelkich niezbędnych środków technicznych i organizacyjnych zapewniających właściwą ochronę danych osobowych. Samo posiadanie bezpiecznych narzędzi do fakturowania nie może być tutaj wystarczające, ponieważ, jak stanowią badania, to błąd ludzki w większości powoduje wyciek danych osobowych. Odpowiednie przeszkolenie personelu to niezbędne działanie w celu zabezpieczenia się przed nieoczekiwanym wypływem danych osobowych poza firmę i wyczerpującego zastosowania przepisów o ochronie danych osobowych.