KSeF i RODO łączą się ze sobą poprzez dodatkowe obowiązki, które bardzo łatwo przeoczyć

Dane pracowników kontrahenta w e-fakturze to dane osobowe w rozumieniu przepisów RODO, a my jesteśmy ich administratorem

Już za nieco ponad miesiąc konieczność wystawiania faktur za pomocą Krajowego Systemu e-Faktur obejmie praktycznie wszystkich polskich przedsiębiorców. Co prawda ponownie odżywają nadzieje na przesunięcie daty 1 kwietnia na bliżej nieokreśloną przyszłość, ale ja pozostaję sceptyczny co do takiej możliwości. Miesiąc z niewielkim zapasem to bardzo mało czasu na przeprowadzenie całego procesu legislacyjnego. Tym razem jednak mamy przynajmniej po drodze trzy posiedzenia Sejmu. Historia opóźnień KSeF jest długa – system miał być obowiązkowy już od 2024 roku.

Całe zamieszanie związane ze wdrażaniem KSeFu przypomina mi o podobnej sytuacji, którą już świat polskiego biznesu doświadczył wcześniej. Mam na myśli oczywiście wdrażanie w naszym kraju unijnego rozporządzenia o ochronie danych osobowych, znanego szerzej jako RODO. Również mieliśmy do czynienia ze swego rodzaju prowizorką, pośpiechem i osobliwymi interpretacjami przepisów zarówno przez krajowego ustawodawcę i instytucje państwowe jaki przez samych przedsiębiorców.

KSeF i RODO łączą się ze sobą nie tylko w formie publicystycznej analogii. Razem tworzą dodatkowe obowiązki dla przedsiębiorców, które dość łatwo przeoczyć, jeśli się akurat nie zastanawiamy nad niuansami sprawy związanymi z ochroną danych osobowych.

SPRAWDŹ OFERTĘ

KSeF - mobilna pieczęć elektroniczna mSzafir

KIR

IDŹ DO STRONY

mSzafir - mobilny podpis kwalifikowany

KIR

IDŹ DO STRONY

Jeżeli to zrobimy, to z pewnością zwrócimy także uwagę na art. 106e ustawy o podatku od towarów i usług. Zawiera on obowiązkowe elementy składowe faktury. Wśród nich występują między innymi imiona i nazwiska lub nazwy podatnika i nabywcy towarów lub usług oraz ich adresy. To nic innego jak dane osobowe z punktu widzenia RODO i krajowych przepisów. Przy czym należy wspomnieć, że przez "dane osobowe" rozumiemy dane umożliwiające identyfikację osób fizycznych. Nawet w relacjach B2B ze spółkami kapitałowymi pozyskujemy dane osób, które reprezentują taką spółkę. UODO potwierdził, że dane członków zarządów i pełnomocników osób prawnych to dane osobowe.

Wydawać by się mogło, że skoro trafiają one do państwowego KSeF, to wszelkie niedogodności związane z byciem administratorem danych osobowych spadają na Ministerstwo Finansów, albo inny podmiot obsługujący cały system dla resortu. Okazuje się jednak, że nie. Resort zapewnia infrastrukturę techniczną, ale administratorem pozostajemy my.

Obowiązek korzystania z KSeF dla przedsiębiorców oznacza konieczność kolejnej aktualizacji klauzul informacyjnych RODO

Status administratora danych oznacza dla nas te same obowiązki, które RODO nakłada na nas przy okazji gromadzenia i przetwarzania danych osobowych w trakcie prowadzenia naszej działalności gospodarczej. Dobra wiadomość jest taka, że tym razem mamy do czynienia z podstawą prawną, której nie sposób zakwestionować. Do fakturowania w KSeF stosujemy art. 6 ust. 1 lit. c RODO. Gromadzimy i przetwarzamy dane osobowe naszych kontrahentów i ewentualnie pracowników którejś ze stron umowy dlatego, że wypełniamy obowiązek prawny, który na nas ciąży. Robimy to, bo musimy. Tym samym nasze działanie jest niezbędne w rozumieniu przepisów RODO.

Teraz musimy należycie przygotować się do zadania. Przede wszystkim czeka nas analiza ryzyka związanego z przetwarzaniem danych osobowych. Przepisy RODO nakazują nam przedsięwziąć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

W praktyce chodzi przede wszystkim o wypracowanie w przedsiębiorstwie takich procedur, by nikt niepowołany przypadkiem nie uzyskał nieuprawnionego dostępu do KSeF poprzez nasze firmowe kanały dostępu do systemu. Musimy więc uważać na przydzielanie pracownikom uprawnień do korzystania z KSeF i stosowane w firmie programy księgowe. Powinniśmy także odpowiednio przeszkolić personel oraz zadbać o ogólne cyberbezpieczeństwo w firmie. Są to dość standardowe wyzwania, z którymi mierzylibyśmy się niezależnie od istnienia przepisów RODO. Bezpieczeństwo IT w firmie to nie tylko RODO – to także hasła i odpowiednie zabezpieczenia techniczne.

Bardziej specyficznym obowiązkiem jest konieczność poinformowania osób, których dane będziemy gromadzić i przetwarzać za pośrednictwem KSeF, o tym fakcie. Tym samym czeka nas aktualizacja firmowej polityki prywatności oraz klauzul informacyjnych. W tym drugim przypadku powinniśmy uwzględnić przede wszystkim KSeF jako osobny sposób przetwarzania danych osobowych oraz wskazać inne podmioty, które będą miał do nich dostęp. Powinniśmy do nich zaliczyć między innymi organy podatkowe, sądy i prokuraturę.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj