Faktury zawierają mnóstwo danych osobowych – imiona i nazwiska, adresy, numery telefonów, a czasem nawet PESEL. Kiedy trafiają do Krajowego Systemu e-Faktur, dostęp do nich ma nie tylko wystawca i odbiorca, ale potencjalnie także Ministerstwo Finansów. Jak pogodzić obowiązek e-fakturowania z ochroną danych osobowych?
Jakie dane osobowe są na fakturach?
Typowa faktura budowlana zawiera:
- Imię i nazwisko osoby fizycznej prowadzącej działalność
- Adres zamieszkania = adres firmy
- Numer telefonu, email
- Czasem PESEL (jeśli osoba nie ma NIP)
- Dane osób upoważnionych do odbioru (np. kierownik budowy)
Ochrona danych osobowych na fakturze to nie fanaberia – to wymóg prawny wynikający z RODO. Złamanie przepisów może kosztować firmę karę do 20 milionów euro lub 4% rocznego obrotu.
KSeF a RODO – czy jest konflikt?
Teoretycznie tak – RODO nakazuje minimalizować przetwarzanie danych, a KSeF zmusza do wysyłania faktur (z danymi osobowymi) do systemu państwowego. Jednak prawodawca przewidział ten problem. Obowiązek prawny (jakim jest e-fakturowanie) stanowi podstawę legalności przetwarzania danych bez zgody osoby.
Problem zaczyna się, gdy na fakturze umieszczasz WIĘCEJ danych niż konieczne. Przykład: Faktura dla Jana Kowalskiego, jednoosobowa firma budowlana. Wystarczy: imię, nazwisko, adres, NIP. Nie ma potrzeby umieszczać: numeru dowodu osobistego, nr telefonu prywatnego, adresu email prywatnego. Jeśli to zrobisz, możesz mieć problem z RODO.
Minimalizacja danych na fakturach
Dane KONIECZNE (muszą być):
- Imię i nazwisko osoby fizycznej prowadzącej działalność
- Adres (siedziby firmy = często adres zamieszkania)
- NIP (a jeśli go nie ma – PESEL)
Dane OPCJONALNE (ale często używane):
- Telefon kontaktowy (lepiej firmowy niż prywatny)
- Email (koniecznie firmowy, nie prywatny Gmail)
- Dane osoby odbierającej (tylko jeśli konieczne)
Dane ZAKAZANE (nie umieszczaj bez wyraźnej zgody):
- Numer dowodu osobistego
- Prywatny adres email/telefon (jeśli firma ma osobne)
- PESEL (tylko jeśli brak NIP, nie „dla pewności”)
Szkolenia pracowników – kluczowa sprawa
Szkolenie KSeF musi obejmować aspekty RODO. Księgowi muszą wiedzieć:
- Jakie dane można umieszczać na fakturach
- Jak obsługiwać żądania dostępu/usunięcia danych (prawo do bycia zapomnianym)
- Jak postępować z danymi wrażliwymi (np. faktury za usługi medyczne na budowie)
- Jak bezpiecznie przechowywać kopie faktur
Błąd pracownika, który na fakturze umieści zbędne dane osobowe kontrahenta, to odpowiedzialność pracodawcy wobec UODO (Urzędu Ochrony Danych Osobowych).
Faktury zagraniczne – dodatkowy problem
KSeF faktury zagraniczne mogą zawierać dane osób spoza UE. Tu sprawa robi się skomplikowana – przetwarzanie danych osobowych z krajów trzecich podlega dodatkowym wymogom RODO (tzw. transfer danych poza EOG).
Praktyczny problem: Faktura dla ukraińskiego podwykonawcy (osoba fizyczna) – jego dane osobowe trafiają do polskiego KSeF. Czy to legalne? Tak, pod warunkiem że:
- Masz podstawę prawną (obowiązek wystawienia faktury)
- Informujesz kontrahenta o przetwarzaniu danych
- Dane są minimalne (tylko to, co konieczne)
Prawa kontrahentów – jak je realizować?
Kontrahent ma prawo:
- Dostępu do danych – musisz mu udostępnić jego faktury (łatwe w KSeF – po prostu daj mu dostęp)
- Sprostowania – jeśli na fakturze jest błąd w danych osobowych, wystawiasz korektę
- Usunięcia – tu jest problem, bo faktury trzeba przechowywać 5 lat (obowiązek podatkowy). Rozwiązanie: nie możesz usunąć, ale możesz ograniczyć przetwarzanie
- Wniesienia skargi – może zgłosić sprawę do UODO
Musisz mieć procedurę obsługi takich żądań. Wzór odpowiedzi na żądanie dostępu/usunięcia powinien być przygotowany z prawnikiem.
Zabezpieczenia techniczne
Dane na fakturach w KSeF są szyfrowane, ale to nie wszystko:
- Dostęp do KSeF – nadawaj tylko koniecznym osobom
- Hasła – mocne, zmieniane co 90 dni
- Logi dostępu – kto i kiedy wystawiał/przeglądał faktury
- Kopie zapasowe – szyfrowane, przechowywane bezpiecznie
- Usuwanie danych – po okresie przechowywania (5 lat od końca roku) bezpieczne kasowanie
Audyt RODO powinien obejmować również procesy fakturowania w KSeF.
Klauzula informacyjna dla kontrahentów
Przy pierwszej współpracy z kontrahentem (zwłaszcza osobą fizyczną) powinieneś przekazać klauzulę informacyjną:
„Informujemy, że Państwa dane osobowe zawarte na fakturach będą przetwarzane w Krajowym Systemie e-Faktur na podstawie obowiązku prawnego (Art. 6 ust. 1 lit. c RODO). Dane będą przechowywane przez 5 lat zgodnie z ustawą o rachunkowości. Przysługuje Państwu prawo dostępu, sprostowania i wniesienia skargi do UODO.”
To minimum, które zabezpiecza Cię przed zarzutem braku informacji o przetwarzaniu.
E-fakturowanie a ochrona danych osobowych to temat, którego nie można ignorować. Kluczem jest minimalizacja danych na fakturach, szkolenie pracowników i procedury obsługi praw kontrahentów. RODO i KSeF da się pogodzić – wymaga to jednak świadomości i odpowiedniej organizacji. Kary za naruszenie RODO są na tyle wysokie, że warto poświęcić czas na odpowiednie przygotowanie.
