Faktura jest dokumentem zawierającym szczegółowe informacje dotyczące zawieranej transakcji, tj. określającym strony i przedmiot transakcji, wskazującym numery rachunków bankowych, terminy rozliczeń itp. Faktura VAT jest szczególnym rodzajem rachunku wystawianego przez podatników podatku VAT i jest uregulowana odrębnymi przepisami.
Zgodnie z art. 106e ust. 1 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług na fakturze znajdują się dane pozwalające (z łatwością) na identyfikację podatnika, czyli:
- imiona i nazwiska lub nazwy podatnika i nabywcy towarów lub usług oraz ich adresy;
- numer, za pomocą którego podatnik jest zidentyfikowany na potrzeby podatku (co do zasady NIP albo numer KRS);
- numer, za pomocą którego nabywca towarów lub usług jest zidentyfikowany na potrzeby podatku (co do zasady NIP albo numer KRS);
- w przypadku faktur wystawianych w imieniu i na rzecz podatnika przez jego przedstawiciela podatkowego – nazwa lub imię i nazwisko przedstawiciela podatkowego, jego adres oraz numer, za pomocą którego jest on zidentyfikowany na potrzeby podatku.
Czy dane przedsiębiorcy to dane osobowe
Jak już zostało wskazane, dane osobowe widniejące na fakturach odnoszą się przede wszystkim do przedsiębiorców (osób fizycznych prowadzących jednoosobową działalność gospodarczą oraz spółek). Powszechne jest przekonanie, że informacje te nie podlegają klasyfikacji jako dane osobowe w kontekście regulacji RODO. Może to wynikać z faktu, że zarówno ewidencja przedsiębiorców (CEIDG), jak i rejestr spółek (KRS) są łatwo dostępne i jawne. Jednak nie sposób zgodzić się z taką opinią.
Motyw 14 RODO wskazuje, że ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych […] w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.
W art. 4 pkt. 18 RODO przedsiębiorca jest zdefiniowany jako osoba fizyczna lub prawna prowadząca działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą. Prowadzenie działalności gospodarczej, jak to określono w definicji, obejmuje wszelkie aktywności dążące do osiągnięcia zysku, niezależnie od faktycznego efektu oraz celu, na który ten zysk jest przeznaczany. Zgodnie z tym przepisem pojęcie przedsiębiorcy obejmuje również podmioty, które prowadzą odpłatną działalność pożytku publicznego, a także organizacje takie jak stowarzyszenia lub fundacje, które regularnie prowadzą działalność o charakterze gospodarczym.
Spółki prawa handlowego, mimo że są zaliczane do osób prawnych, zatrudniają w swoich strukturach zarówno pracowników, osoby je reprezentujące, jak i składające oświadczenia w ich imieniu (pełnomocników).
Prezes Urzędu Ochrony Danych Osobowych (PUODO) wyraźnie wskazał, że takie osoby nie mogą być automatycznie traktowane jako osoby prawne, ich dane osobowe nie mieszczą się bowiem w definicji danych osoby prawnej, jak to opisano w motywie 14 RODO. Według stanowiska PUODO w przypadku identyfikacji osób prawnych w kontekście danych osobowych kluczowym kryterium dotyczącym ochrony przewidzianej przez RODO jest możliwość jednoznacznego zidentyfikowania poszczególnych osób.
Wobec powyższego ochronie będą podlegały następujące dane osobowe (szeroko pojętych) przedsiębiorców znajdujące się na fakturach:
- dane identyfikacyjne: imię, nazwisko, nazwa firmy (jeśli zawiera imię i nazwisko), numer identyfikacji podatkowej (NIP), numer identyfikacyjny REGON;
- dane kontaktowe: adres e-mail, numer telefonu, adres siedziby (oddziału);
- dane finansowe: numery rachunków bankowych, informacje o transakcjach finansowych;
- dane dotyczące transakcji: informacje o dostawach, zamówieniach.
Czy programy i platformy służące do wystawiania faktur muszą spełniać wymogi RODO
Odręczne czy nawet komputerowe wystawianie faktur „na piechotę” odeszło w zapomnienie. Obecnie organizacje, niezależnie od swojej wielkości czy branży, coraz częściej polegają na zaawansowanych narzędziach do fakturowania, aby usprawnić procesy księgowe i finansowe. Na rynku działa wiele firm oferujących zaawansowane rozwiązania kadrowo-księgowe, w tym służące do wystawiania faktur, często działające w systemie chmurowym oraz w aplikacjach. Zazwyczaj są one połączone z bazą klientów i kontrahentów, a co za tym idzie – gromadzą, przetwarzają i przechowują informacje o klientach i kontrahentach, produktach oraz transakcjach. Istotne jest zatem zrozumienie, że technologiczne udogodnienia nie zwalniają od odpowiedzialności za przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami. Dlatego przedsiębiorcy korzystający z takich rozwiązań powinni dokładnie zbadać, czy dana platforma spełnia wymogi RODO, aby zagwarantować swoim klientom i partnerom ochronę ich danych osobowych na odpowiednim poziomie. W praktyce oznacza to, że twórcy oraz operatorzy takich programów czy platform powinni zapewnić odpowiednie zabezpieczenia ochrony danych osobowych. Obejmuje to zastosowanie odpowiednich środków technicznych i organizacyjnych, a także realizację praw użytkowników.
W zakresie środków technicznych wykorzystywanych w programach i platformach do wystawiania faktur można wskazać: nadawanie stosownych uprawnień oraz uwierzytelnianie użytkowników, stosowanie rozwiązań chroniących systemy informatyczne przed skutkami awarii, np. funkcji automatycznego kasowania danych w razie nieodwracalnej awarii dysku, używanie programów antywirusowych, zabezpieczeń chroniących przed utratą danych czy nieuprawnionym dostępem, takich jak system firewall, regularne przeglądy systemów i ich uaktualnianie, a także przeprowadzanie testów nastawionych na weryfikację zabezpieczeń. W zakresie środków organizacyjnych systemy lub platformy powinny mieć regulamin działania oraz polityki bezpieczeństwa. Nieodłącznym elementem ochrony jest również przeszkolenie pracowników i współpracowników.
W zależności od ułożenia relacji biznesowej oraz przedmiotu umowy programy i platformy mogą działać jako odrębni administratorzy bądź jako podmioty przetwarzające dane osobowe w odniesieniu do danych użytkowników. Z tego powodu niezwykle istotne jest spełnienie obowiązków informacyjnych i wypełnienie obowiązków wynikających z RODO (w relacji administrator – administrator) lub zawarcie umowy powierzenia (relacja administrator – podmiot przetwarzający), która ureguluje kwestie związane z ochroną danych, zgodnie z postanowieniami art. 28 RODO. Taka umowa równocześnie zdefiniuje role i odpowiedzialności każdej ze stron w zakresie przetwarzania danych osobowych.
W tym kontekście nie można lekceważyć możliwości transferu danych poza UE/EOG, zwłaszcza w przypadku korzystania z rozwiązań opartych na chmurze. Takie procesy mogą wiązać się z transferem danych między różnymi państwami trzecimi i/lub jurysdykcjami. Dlatego kluczowe jest, aby zapewnić zgodność z regulacjami dotyczącymi międzynarodowego transferu danych, takimi jak mechanizmy ochrony danych przewidziane w RODO, tj. standardowe klauzule umowne lub stosowne certyfikacje.
Rozważając kwestię ochrony danych osobowych użytkowników platform i serwisów do wystawiania faktur, należy podkreślić, jak istotne jest przekazanie im odpowiedniej informacji na temat ich praw. Dla użytkowników najważniejsze jest zrozumienie, że posiadają kontrolę nad danymi osobowymi, które przekazują lub udostępniają. Dostęp do informacji na temat ich praw oraz sposobu, w jaki ich dane są przetwarzane, pozwala na podjęcie świadomych decyzji dotyczących korzystania z programów i platform. To nie tylko wzmacnia zaufanie użytkowników, lecz także daje pewność, że ich prywatność jest szanowana.Początek formularza
Użytkownicy powinni być świadomi, że posiadają m.in. prawo dostępu do swoich danych, możliwość ich sprostowania, żądania ich usunięcia czy złożenia skargi do organu nadzorczego. Ważne jest również, aby umożliwić im zapoznanie się z polityką bezpieczeństwa, która wyjaśnia, jakie działania zostały podjęte w celu ochrony ich danych osobowych.
Szkolenie pracowników i współpracowników jako techniczny środek ochrony danych
Choć nowoczesne narzędzia do fakturowania często mają wbudowane mechanizmy zabezpieczające, nie można polegać jedynie na ich funkcjonalności. Ludzki czynnik w procesie przetwarzania danych pozostaje istotny i nieodłącznie związany z ryzykiem naruszenia bezpieczeństwa. Nawet najbezpieczniejsze narzędzia mogą stać się źródłem zagrożenia, jeśli pracownicy i współpracujący nie są odpowiednio przeszkoleni w zakresie ochrony danych osobowych. Jak wskazują badania, blisko 95% przypadków wycieków danych osobowych spowodowanych jest błędem ludzkim.
Ponadto można przyjąć, że wymóg przeszkolenia pracowników i współpracowników wynika wprost z art. 32 ust. 1 RODO, który stanowi, że administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Szkolenia z ochrony danych osobowych mają fundamentalne znaczenie dla każdego pracownika, który ma dostęp do danych osobowych i je przetwarza. Nie tylko pozwalają zrozumieć ryzyka i konsekwencje naruszenia bezpieczeństwa danych, lecz także edukują w zakresie właściwych praktyk, procedur i polityk ochrony danych obowiązujących w danej firmie. Pracownicy i współpracownicy, którzy zdobywają wiedzę na temat ochrony danych osobowych, stają się świadomymi uczestnikami procesu i skuteczniejszymi strażnikami bezpieczeństwa.
Podczas wprowadzania nowych narzędzi do fakturowania firma powinna łączyć inwestycje w technologię z inwestycjami w kapitał ludzki. Bezpieczeństwo danych osobowych to nie tylko kwestia techniczna, lecz także kultura organizacyjna. Dlatego też skuteczne szkolenia powinny być integralną częścią strategii wprowadzania nowych narzędzi do pracy.
Faktury a proces przetwarzania danych
Wystawianie faktur (stanowiące element księgowości) to jeden z podstawowych procesów w działalności biznesowej, który ściśle wiąże się z przetwarzaniem danych osobowych. Przede wszystkim proces tworzenia faktur wymaga zgromadzenia danych identyfikacyjnych klientów, a także danych finansowych. Dlatego podczas fakturowania ważne jest stosowanie właściwych środków zabezpieczających, aby uniknąć naruszenia prywatności klientów.
Szczególnie istotnym aspektem dla administratorów danych jest uwzględnienie tego procesu w rejestrze czynności przetwarzania danych. To dokument, w którym wskazuje się następujące informacje: cele przetwarzania, kategorie osób, których dane dotyczą, kategorie danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (jeśli zajdzie taka konieczność), planowane terminy usunięcia danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Podsumowanie
Zmiany w sposobie prowadzenia biznesu oraz wymiany dokumentów, w tym faktur, są efektem wzrastającej zależności od technologii informacyjnych. Jednak w kontekście rygorystycznych przepisów dotyczących ochrony danych osobowych nowego wymiaru nabierają rola i przetwarzanie danych osobowych znajdujących się na fakturach. Bezpieczeństwo danych osobowych przedsiębiorców jest niezwykle ważne. Zawarte na fakturach dane identyfikacyjne, finansowe czy dotyczące transakcji to dane, które podlegają ochronie zgodnie z regulacjami RODO. Choć wiele systemów i platform do fakturowania oferuje zabezpieczenia, nie można polegać jedynie na ich działaniu. Muszą spełniać wymogi nałożone przez przepisy o ochronie danych osobowych, zapewniając odpowiednie zabezpieczenia oraz uwzględniając prawa użytkowników. Znaczenie ma także przeszkolenie pracowników w zakresie ochrony danych osobowych, gdyż ludzki czynnik w procesie przetwarzania pozostaje istotny, a dbałość o prywatność klientów i kontrahentów to fundament odpowiedzialnej i etycznej działalności biznesowej.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Czy dane przedsiębiorcy są uznawane za dane osobowe zgodnie z RODO?